خبير الأمن السيبراني د. محمد عزت الحماحمي يكتب: الأخطاء في البرامج اليوم هي نقاط ضعف وأسلحة الغد
بقلم: د. محمد عزت الحماحمي خبير الأمن السيبراني
في عصر التحول الرقمي أصبحت الثغرات الأمنية في التطبيقات البرمجية تهديداً رئيسياً لأمن التطبيقات ليس على مستوى الافراد والشركات فحسب بل على مستوى الدول.
هنا يبرز دور الذكاء الاصطناعي (AI) كأداة ثورية في اكتشاف هذه الثغرات، مما يساعد في تعزيز الدفاعات قبل استغلالها من قبل المهاجمين.
يعتمد الذكاء الاصطناعي على تقنيات مثل التعلم الآلي، الشبكات العصبية، والذكاء الاصطناعي التوليدي لتحليل الكود البرمجي، بهدف اكتشاف الأنماط غير الطبيعية، وتوقع الثغرات المحتملة.
فعلى سبيل المثال، أدوات مثل GitHub Copilot أو CodeQL المدعومة بالذكاء الاصطناعي تقوم بفحص الكود أثناء التطوير، مما يقلل من الأخطاء البشرية ويسرع عملية التصحيح.
يعمل الذكاء الاصطناعي في اكتشاف الثغرات من خلال عدة آليات، أولاً تقنية المنطق العشوائي (Fuzzing) المدعومة بالذكاء الاصطناعي، مثل أداة Mayhem من ForAllSecure، التي تستخدم خوارزميات التعلم لإنشاء مدخلات عشوائية ذكية تستخدم لكشف الثغرات الأمنية في البرمجيات والأنظمة، مكتشفة ثغرات مثل تجاوز الذاكرة أو حقن الشفرة.
ثانياً، نماذج الذكاء الاصطناعي التوليدي، مثل تلك المبنية على GPT، والتي يمكنها توليد سيناريوهات هجوم افتراضية لتحديد نقاط الضعف، فهذه الأدوات لا تقتصر على الكشف، بل تقترح تصحيحات أوتوماتيكية، مما يوفر الوقت والجهد لفرق الأمن.
أحد الأدلة البارزة على فعالية هذه التكنولوجيا هو تحدي الذكاء الاصطناعي السيبراني (AIxCC) الذي أقامته DARPA بالتعاون مع Black Hat وDEF CON في عام 2025، ففي الجولة النهائية شارك سبعة فرق نهائية (Team Atlanta)، (Trail of Bits)، (Theori)، (All You Need IS A Fuzzing Brain)، (Shellphish)، (42-b3yond-6ug)، (Lacrosse) فاز فريق Team Atlanta بالجائزة الأولى بقيمة 4 ملايين دولار، تلاه Trail of Bits بـ3 ملايين دولار، ثم Theori بـ 1.5 مليون دولار.
اكتشفت النماذج 77% من الثغرات الاصطناعية المقدمة (54 ثغرة)، وأصلحت 61% منها (43 ثغرة) بمتوسط سرعة 5 دقائق لكل تصحيح، هذه النتائج تثبت قدرة الذكاء الاصطناعي على التعامل مع الثغرات المعقدة بكفاءة تفوق الطرق التقليدية.
مع ذلك، يجب أن نتذكر الاقتباس الشهير:
“Bugs in software today should become vulnerabilities and weaponized of tomorrow”.
هذا يؤكد أهمية اكتشاف الأخطاء البرمجية مبكراً، قبل أن تتحول إلى ثغرات قابلة للاستغلال كأسلحة سيبرانية، ففي المستقبل سيصبح الذكاء الاصطناعي جزءاً أساسياً من دورة حياة التطوير الآمن (DevSecOps)، ربما يطلق عليه مستقبلا (SmartDevSecOps) مما يقلل من مخاطر الهجمات مثل WannaCry أو Log4Shell.
في الختام، يمثل استخدام أدوات الذكاء الاصطناعي نقلة نوعية في اكتشاف الثغرات، لكنه يتطلب توازناً أخلاقياً لتجنب إساءة الاستخدام.
