جيف كوفمان: يَكسر الذكاء الاصطناعي في الوقت نفسه ثقافة ثغرتين أمنيّتين، وتحوّل فترة الحظر التي تبلغ 90 يومًا إلى نتيجة عكسية

أعلن مهندس البرمجيات جيف كوفمان (jefftk) في 8 مايو مقالًا بعنوان «AI is Breaking Two Vulnerability Cultures»؛ يجادل بأن الذكاء الاصطناعي يكسر في الوقت نفسه ثقافتين راسختين ومتعايشتين في التعامل مع ثغرات أمنية—الإفصاح المنسق (coordinated disclosure) و«الإصلاحات الصامتة» (bugs are bugs)—وكلا الاستراتيجيتين تستندان إلى افتراض أن «سرعة اكتشاف المهاجمين بطيئة»، وهو الافتراض الذي تجاوزته تقنيات المسح الآلي بالذكاء الاصطناعي. وقد نُشر النص الأصلي على مدونة كوفمان وحصد أكثر من 200 نقطة تفاعل (upvotes) على Hacker News، وهو واحد من أكثر مقالات مراقبة الأمن السيبراني تداولًا في مجتمع المطورين هذا الأسبوع.

ثقافتان للثغرات: الإفصاح المنسق vs «الإصلاحات الصامتة»

يعرض كوفمان إطارين ثقافيين:

الإفصاح المنسق (coordinated disclosure)—يُبلّغ المُكتشفون المُحافظين/الجهات المساندة بسرّية، مع منح نافذة إصلاح نموذجية مدتها 90 يومًا، ثم يتم الإفصاح علنًا لاحقًا. ووراء ذلك افتراض: يحتاج المهاجمون إلى وقت طويل لاكتشاف الثغرة نفسها بشكل مستقل

«الإصلاحات الصامتة» التي مفادها أن «الأخطاء هي أخطاء» (Bugs are Bugs)—وهو أسلوب شائع في مشاريع البرمجيات مفتوحة المصدر مثل Linux؛ إذ لا يتم عادةً وسم الإصلاحات على أنها «معالجة أمنية»، بل يعتمد على «غمر» إصلاحات الأمن عبر حجم عمليات الإرسال/المساهمة، لتجنب جذب انتباه المهاجمين

كانت الثقافتان قادرتين على التعايش في الماضي لأن المهاجمين لم تكن لديهم أدوات «سريعة وآلية ومنخفضة التكلفة» لمسح كل سجلات المساهمات أو البحث في الوقت ذاته عن الثغرة نفسها. لكن الذكاء الاصطناعي يغيّر هذا الافتراض.

أثر الذكاء الاصطناعي على «الإصلاحات الصامتة»: يصبح فحص commit أرخص

الأثر التفصيلي للذكاء الاصطناعي على مشاريع البرمجيات مفتوحة المصدر بنمط Linux:

في السابق: كان على المهاجمين فحص المساهمات واحدًا تلو الآخر، ما يتطلب قدرًا كبيرًا من الموارد والوقت؛ وكانت «الاستفادة من الغمر ضمن حجم الإرسال/المساهمة» غطاءً فعّالًا

الآن: يمكن للذكاء الاصطناعي، بتكلفة منخفضة، مسح سجلات المساهمات تلقائيًا، والتعرّف آليًا على commits «تبدو كإصلاحات أمنية»، حتى لو لم يذكر المؤلف ذلك صراحةً

الأثر: تتلاشى قابلية «الإصلاحات الصامتة» للاختفاء بسرعة، وتُقصَّر فترة التهدئة/المرونة «بعد الإصلاح وقبل النشر»

يستشهد كوفمان بحالة محددة: «كلما ازداد جاذبية فحص commits»، لأن تقييم الذكاء الاصطناعي لكل تغيير أصبح «أرخص وأفعَل على نحو متزايد». وهذا يعني أن المشاريع مفتوحة المصدر لن تستطيع بعد الآن الاعتماد على الميزة التقليدية المتمثلة في أن تكون «سرعة الإصلاح أسرع من سرعة انتباه المهاجمين».

أثر الذكاء الاصطناعي على «الإفصاح المنسق»: تصبح فترة الحظر (embargo) ذات أثر عكسي

ترتكز ثقافة الإفصاح المنسق على «فترة الحظر» (embargo): يلتزم المُكتشفون بعدم نشر المعلومات قبل أن تقوم الجهات المُصانة/الجهات المُحافظة بإجراء الإصلاح—لكن الذكاء الاصطناعي يمكّن فرقًا متعددة من إجراء مسح متزامن للثغرة نفسها:

حالة محددة: الثغرة التي أبلغ عنها الباحث Hyunwoo Kim، تم العثور عليها بشكل مستقل بعد 9 ساعات فقط

تعمل فرق متعددة بدعم من مسوح آلية بالذكاء الاصطناعي بشكل متزامن؛ وبذلك، تمنح فترة الحظر الطويلة «شعورًا زائفًا بعدم الاستعجال»

إذا كان بإمكان الآخرين إيجادها خلال 9 ساعات فقط، فإن فترة الحظر 90 يومًا تمنح المهاجمين الحقيقيين نافذة هجوم مدتها 89 يومًا و23 ساعة

يخلص كوفمان إلى أنه ينبغي اعتماد «فترات حظر قصيرة جدًا» (very short embargoes)، وأنها كلما تطورت قدرات الذكاء الاصطناعي ستقصر أكثر فأكثر. الأهم هو أن التسريع لا يُفيد المهاجمين من طرف واحد—فيمكن للمدافعين أيضًا استخدام الذكاء الاصطناعي لتسريع الإصلاح والنشر، مع تنافس الطرفين على «سباق» داخل نافذة زمنية مُنكمشة.

أحداث محددة يمكن تتبعها لاحقًا: ما إذا كانت مشاريع ضخمة مثل Linux Kernel وProject Zero ستحدّث إرشادات توقيت الإفصاح، ومدى تقدّم «إتاحة الأدوات التجارية» لفحص الثغرات آليًا بالذكاء الاصطناعي (Semgrep، CodeQL، وغيرها)، إضافةً إلى استراتيجيات المواجهة العملية التي ستتخذها أقسام الأمن السيبراني في الشركات تجاه «سلاح ثنائي الحد» يعززه الذكاء الاصطناعي.

ظهرت هذه المقالة بعنوان: «جيف كوفمان: الذكاء الاصطناعي يكسر ثقافتين للتعامل مع ثغرات الأمن السيبراني في آن واحد، وفترة حظر 90 يومًا تصبح ذات أثر عكسي» لأول مرة على موقع «鏈新聞 ABMedia».