فلاد يونسكو و كان آرييل هربرت فوس، المؤسس المشارك لشركة RunSybil الناشئة في مجال الأمن السيبراني، في حيرة من أمره للحظات عندما نبهتهم أداة الذكاء الاصطناعي الخاصة بهم، Sybil، إلى وجود ضعف في أنظمة العميل في نوفمبر الماضي.
تستخدم Sybil مزيجًا من نماذج الذكاء الاصطناعي المختلفة – بالإضافة إلى بعض الحيل التقنية الخاصة – لفحص أنظمة الكمبيوتر بحثًا عن المشكلات التي قد يستغلها المتسللون، مثل خادم غير مُصحح أو قاعدة بيانات تم تكوينها بشكل خاطئ.
في هذه الحالة، قامت Sybil بوضع علامة على مشكلة في نشر العميل لـ GraphQL الموحد، وهي لغة تستخدم لتحديد كيفية الوصول إلى البيانات عبر الويب من خلال واجهات برمجة التطبيقات (APIs). وتعني هذه المشكلة أن العميل كان يكشف عن معلومات سرية عن غير قصد.
ما حير إيونيسكو وهيربيرت فوس هو أن اكتشاف المشكلة يتطلب معرفة عميقة بشكل ملحوظ بالعديد من الأنظمة المختلفة وكيفية تفاعل هذه الأنظمة. تقول RunSybil إنها وجدت نفس المشكلة منذ ذلك الحين في عمليات النشر الأخرى لـ GraphQL – قبل أن يعلنها أي شخص آخر. يقول هربرت فوس: “لقد بحثنا في الإنترنت، ولم يكن موجودًا”. “لقد كان اكتشافها بمثابة خطوة منطقية فيما يتعلق بقدرات النماذج – وهي خطوة تغيير.”
ويشير الوضع إلى خطر متزايد. مع استمرار نماذج الذكاء الاصطناعي في أن تصبح أكثر ذكاءً، فإن قدرتها على العثور على أخطاء اليوم صفر وغيرها من نقاط الضعف تستمر أيضًا في النمو. نفس الذكاء الذي يمكن استخدامه لاكتشاف نقاط الضعف يمكن استخدامه أيضًا لاستغلالها.
يقول داون سونج، عالم الكمبيوتر في جامعة كاليفورنيا في بيركلي والمتخصص في الذكاء الاصطناعي والأمن، إن التطورات الأخيرة في الذكاء الاصطناعي أنتجت نماذج أفضل في اكتشاف العيوب. لقد أدى التفكير المحاكى، الذي يتضمن تقسيم المشكلات إلى أجزاء مكونة، والذكاء الاصطناعي الوكيل، مثل البحث في الويب أو تثبيت أدوات البرامج وتشغيلها، إلى تعزيز القدرات السيبرانية للنماذج.
وتقول: “لقد زادت قدرات الأمن السيبراني للنماذج الرائدة بشكل كبير في الأشهر القليلة الماضية”. “هذه نقطة انعطاف.”
في العام الماضي، شارك سونج في إنشاء معيار يسمى CyberGym لتحديد مدى نجاح النماذج اللغوية الكبيرة في اكتشاف نقاط الضعف في مشاريع البرمجيات الكبيرة مفتوحة المصدر. يتضمن CyberGym 1507 نقاط ضعف معروفة تم العثور عليها في 188 مشروعًا.
في يوليو 2025، تمكن كلود سونيت 4 من Anthropic من العثور على حوالي 20 بالمائة من نقاط الضعف في المعيار. وبحلول أكتوبر 2025، تمكن نموذج جديد، كلود سونيت 4.5، من تحديد 30 بالمائة. يقول سونج: “يستطيع عملاء الذكاء الاصطناعي العثور على يوم الصفر، وبتكلفة منخفضة جدًا”.
يقول سونغ إن هذا الاتجاه يظهر الحاجة إلى تدابير مضادة جديدة، بما في ذلك الاستعانة بالذكاء الاصطناعي لمساعدة خبراء الأمن السيبراني. وتقول: “نحن بحاجة إلى التفكير في كيفية جعل الذكاء الاصطناعي يساعد بشكل أكبر في الجانب الدفاعي، ويمكن للمرء استكشاف أساليب مختلفة”.
إحدى الأفكار هي أن تقوم شركات الذكاء الاصطناعي الرائدة بمشاركة النماذج مع الباحثين الأمنيين قبل الإطلاق، حتى يتمكنوا من استخدام النماذج للعثور على الأخطاء وتأمين الأنظمة قبل الإصدار العام.
هناك إجراء مضاد آخر، كما يقول سونج، وهو إعادة التفكير في كيفية بناء البرمجيات في المقام الأول. لقد أظهر مختبرها أنه من الممكن استخدام الذكاء الاصطناعي لإنشاء تعليمات برمجية أكثر أمانًا مما يستخدمه معظم المبرمجين اليوم. يقول سونج: “على المدى الطويل، نعتقد أن هذا النهج الآمن حسب التصميم سيساعد المدافعين حقًا”.
ويقول فريق RunSybil إنه على المدى القريب، قد تعني مهارات البرمجة لنماذج الذكاء الاصطناعي أن المتسللين سيكون لهم اليد العليا. يقول هربرت فوس: “يمكن للذكاء الاصطناعي إنشاء إجراءات على جهاز كمبيوتر وإنشاء تعليمات برمجية، وهذان أمران يفعلهما المتسللون”. “إذا تسارعت هذه القدرات، فهذا يعني أن الإجراءات الأمنية الهجومية ستتسارع أيضًا”.
هذه طبعة من ويل نايت النشرة الإخبارية لمختبر الذكاء الاصطناعي. قراءة النشرات الإخبارية السابقة هنا.
