أعلنت شركة OpenAI الرائدة في مجال الذكاء الاصطناعي عن إطلاق نموذجها الجديد المرتكز على الأمن، والذي يهدف إلى أتمتة عمليات اكتشاف الثغرات الأمنية وإصلاحها. يأتي هذا الإطلاق في وقت تتسارع فيه وتيرة التهديدات السيبرانية، مما يزيد من أهمية الأدوات المبتكرة في تعزيز البنية التحتية الرقمية.
النموذج، الذي أطلقت عليه الشركة اسم “Aardvark”، يعمل بالاستعانة بتقنية ChatGPT-5، وقد تم اختباره داخلياً لدى OpenAI ومع شركاء خارجيين. حالياً، يتوفر النموذج في نسخة تجريبية بموجب دعوات خاصة، وهو مصمم لمسح مستودعات الكود البرمجي بشكل مستمر بحثاً عن الثغرات المعروفة والأخطاء، وتقييم وتحديد أولويات خطورتها المحتملة، ومن ثم اقتراح الإصلاحات اللازمة.
نموذج Aardvark: ثورة في اكتشاف الثغرات الأمنية
يختلف نموذج “Aardvark” عن الأساليب التقليدية في تحليل البرمجيات، حيث لا يعتمد على تقنيات مثل “fuzzing” أو تحليل تكوين البرمجيات (SCA). بدلاً من ذلك، يستفيد النموذج من قدرات نماذج اللغة الكبيرة (LLMs) في الفهم والاستدلال، بالإضافة إلى استخدام الأدوات المتخصصة، وذلك لفهم سلوك الكود وتحديد نقاط الضعف فيه.
وتوضح OpenAI في مدونتها أن “Aardvark” يقوم بالبحث عن الأخطاء بطريقة مشابهة للباحثين الأمنيين البشريين، وذلك من خلال قراءة الكود وتحليله، وكتابة وتشغيل الاختبارات، واستخدام الأدوات المختلفة، وغيرها من الإجراءات.
آليات عمل Aardvark المتقدمة
بالإضافة إلى اكتشاف الثغرات، يستطيع “Aardvark” تطوير نماذج تهديدات بناءً على محتويات المستودعات وأهداف المشروع الأمنية وتصميمه. كما يمكنه عزل الثغرات لاختبار قابليتها للاستغلال، ووضع علامات على الكود الإشكالي، وتقديم اقتراحات لإصلاحات تحتاج إلى مراجعة بشرية.
وأشارت الشركة إلى أن النموذج أظهر فعالية في اكتشاف ليس فقط الثغرات الأمنية، بل أيضاً الأخطاء المنطقية والمتعلقة بالخصوصية في قواعد الكود. وقد نجح في تحديد 92% من الثغرات المعروفة والمُدخلة بشكل مصطنع في مستودعات “ذهبية” لم يتم تحديدها. وستكون الشركات والمطورون في مجتمع المصادر المفتوحة الذين يديرون مستودعات غير تجارية قادرين على استخدام الماسح الضوئي مجاناً.
وتعكس هذه الخطوة حرص OpenAI على الاستفادة من تقنياتها المتطورة في مجال المسح الأمني الآلي وإصلاح الثغرات، وهو مجال أظهرت فيه نماذج اللغة الكبيرة إمكانيات واعدة بشكل متزايد خلال العام الماضي. وقد تمكن “Aardvark” حتى الآن من تحديد 10 ثغرات حصلت على تسميات CVE (Common Vulnerabilities and Exposures).
من جهة أخرى، شهدنا في الفترة الأخيرة شركات ناشئة مثل XBOW قد طورت نماذج ذكاء اصطناعي أمنية قادرة على المنافسة بقوة في منصات اكتشاف الثغرات. هذه النماذج تعمل بشكل مستمر ليلاً ونهاراً، وتنجح في تحديد وإصلاح مئات الثغرات.
التحديات والتوقعات المستقبلية
تجدر الإشارة إلى أن بعض الخبراء في مجال أبحاث الثغرات يرون أن نماذج مثل XBOW تكون أكثر فعالية في التعامل مع الثغرات ذات التأثير المنخفض وعالية الحجم. ومع ذلك، تسعى هذه الشركات لإظهار قدرة نماذجها المتطورة على معالجة الثغرات والأخطاء الأكثر تعقيداً.
إن وجود برنامج آلي لمعالجة الآلاف من الثغرات ذات الخطورة المنخفضة التي تنتشر عبر الإنترنت، مع إتاحة المجال للعاملين البشريين للتركيز على قضايا الأمن الأكثر تعقيداً، يمثل قيمة هائلة. فالعديد من الاختراقات السيبرانية الكبرى والهجمات البرمجية متعددة المراحل غالباً ما لا تعتمد على استغلال ثغرات صفراً أو ثغرات عالية الخطورة، بل على تسلسل ثغرات ذات تأثير منخفض ومتوسط موجودة في أنظمة غير محدثة.
ومع ذلك، هناك اعتبار آخر يتعلق بالاستهلاك الهائل للطاقة الذي قد تتطلبه هذه النماذج. ففي حين أن هذه النماذج قد تحل آلاف الثغرات وتحصل على مكافآت، فإن تكاليف التشغيل الحاسوبية قد تفوق الأرباح المحققة.