تشهد برامج مكافآت الثغرات الأمنية تزايداً ملحوظاً في حجم التقارير الواردة، مدفوعاً بالتقدم في نماذج الذكاء الاصطناعي المتقدمة التي تعزز قدرات الأمن السيبراني. تواجه المنظمات تحديات في فصل الثغرات الحقيقية عن التقارير غير مكتملة أو التي تعتمد على سيناريوهات غير واقعية.
تزايدت تقارير الثغرات الأمنية بشكل كبير خلال العام الماضي، مما أدى إلى ضغط على منصات مثل GitHub لتشديد معايير “التقرير المكتمل”. هذا الاتجاه ليس مقتصراً على GitHub، بل تواجهه العديد من الشركات في قطاع الأمن السيبراني، وبعضها اضطر إلى إغلاق برامجه.
تحديات التعامل مع تقارير ثغرات الذكاء الاصطناعي
أظهرت نماذج الذكاء الاصطناعي الجديدة، مثل Mythos من Anthropic وDaybreak من OpenAI، قدرات فائقة في اكتشاف الثغرات. ومع ذلك، فإن سهولة توليد هذه التقارير بواسطة الذكاء الاصطناعي تتطلب من الباحثين بذل جهد إضافي للتحقق من قابلية استغلال هذه الثغرات في العالم الواقعي.
تكمن المشكلة الرئيسية في أن العديد من التقارير الواردة لا تتضمن إثبات مفهوم (Proof of Concept) فعال، أو تعتمد على سيناريوهات هجوم غير واقعية، أو تغطي مشاكل تم الإبلاغ عنها سابقاً. هذا يؤدي إلى صعوبة في التمييز بين الإشارات الهامة والضوضاء.
وفقاً لجيروم براون، كبير مهندسي أمن المنتجات في GitHub، فإن استخدام الذكاء الاصطناعي يمكن أن يكون “مضاعفاً للقوة” للأمن السيبراني في السياق الصحيح. ومع ذلك، شدد على أن التقارير غير الموثقة أو التي لم تثبت قابليتها للتطبيق العملي ليست مقبولة.
من جهة أخرى، يرى جرانت بورزيكاس، كبير مسؤولي الأمن في Cloudflare، أن تدقيق الثغرات وإثبات قابليتها للاستغلال كان دائماً من أصعب جوانب أبحاث الثغرات. وقد أدت ماسحات الكود وأدوات الذكاء الاصطناعي إلى تفاقم هذه المشكلة.
تأثير نماذج الأمان على قابلية الاستغلال
على سبيل المثال، اللغات البرمجية مثل C و C++ عرضة لأنواع مختلفة من الاستغلالات التي لا توجد في اللغات الآمنة حافظة للذاكرة مثل Rust. أدوات الذكاء الاصطناعي التي تفحص البرامج المكتوبة بلغات غير آمنة حافظة للذاكرة تكون أكثر عرضة لتوليد نتائج إيجابية خاطئة.
إضافة إلى ذلك، تميل أدوات الذكاء الاصطناعي إلى تقديم ما يطلبه المستخدم، حتى لو كان غير موجود. هذا يؤدي إلى توليد تقارير ثغرات مليئة بالتكهنات والمتطلبات الإضافية التي تتطلب متابعة بشرية.
يشير بورزيكاس إلى أن هذا التحيز معقول للأدوات الاستكشافية، ولكنه مدمر لطابور التدقيق، حيث يتطلب كل اكتشاف تخميني اهتماماً بشرياً ورموزاً لرفضه، وتتضاعف هذه التكلفة عبر آلاف الاكتشافات.
في المقابل، شاركت Cloudflare نتائج اختبار Mythos على 50 من مستودعات الكود الخاصة بها، مشيرة إلى أن Mythos يمثل “نوعاً مختلفاً من الأدوات التي تقوم بنوع مختلف من العمل” مقارنة بالنماذج الأخرى. وأحرز النموذج تقدماً كبيراً في تقليل النتائج الإيجابية الخاطئة.
بينما استطاعت النماذج القديمة اكتشاف العديد من الثغرات نفسها، إلا أنها غالباً ما فشلت في تحديد كيفية استغلالها بفعالية، أو إظهار إمكانية استغلال المشكلة في ظروف العالم الواقعي.
دقة نماذج الذكاء الاصطناعي المتقدمة
جادل البعض بأن الفجوة في قدرات اكتشاف الثغرات بين نماذج الذكاء الاصطناعي المتطورة والنماذج الأقدم، أو تلك مفتوحة المصدر المتاحة حالياً، ليست كبيرة كما يتم الإعلان عنه.
دانيال ستينبرغ، المطور السويدي لـ curl، أداة نقل الملفات مفتوحة المصدر، كتب مؤخراً عن تجربته مع Mythos Preview. على الرغم من أنه شهد زيادة في حجم تقارير الثغرات المدعومة بالذكاء الاصطناعي، إلا أنه لاحظ انخفاضاً كبيراً في جودة التقارير المنخفضة منذ مارس، بالتزامن مع تحسن النماذج.
يعتبر curl برنامجاً ناضجاً ومصقولاً، وقد استخدم ستينبرغ أدوات بشرية وذكاء اصطناعي لإجراء مئات الإصلاحات على مر وجوده. هذا يجعله أرضية اختبار فريدة لقدرات Mythos المحسنة، والتي قيل إنها قوية لدرجة أن Anthropic اختارت عدم إطلاقها للجمهور.
بعد الحصول على إمكانية الوصول إلى Mythos، استلم ستينبرغ نتائج فحص لـ 178,000 سطر من كود curl، والتي أبلغت عن خمس ثغرات “مؤكدة”. اكتشف الباحثون البشريون لاحقاً أن 4 من هذه الثغرات كانت نتائج إيجابية خاطئة أو لم يكن لها تأثير أمني. أما الثغرة الوحيدة المتبقية التي وجدها Mythos، فكانت مشكلة ذات أولوية منخفضة سيتم إصلاحها في تحديث يونيو.
على الرغم من إشادته بتأثير الذكاء الاصطناعي على الأمن السيبراني بشكل عام، خلص ستينبرغ إلى أن Mythos هو “أفضل قليلاً” من النماذج السابقة، وأن الضجة المحيطة به كانت في الأساس تسويقاً، حيث لا يرى دليلاً على أن هذا الإعداد يجد المشكلات بدرجة أعلى أو أكثر تقدماً من الأدوات التي سبقته.