عصر الذكاء الاصطناعي يغير قواعد صيد الثغرات: فيضان من التقارير وحيرة الشركات

قبل عقد من الزمن، كانت برامج مكافآت اكتشاف الثغرات البرمجية (Bug Bounties) في بداية طريقها نحو التيار الرئيسي. مثّلت هذه البرامج نقلة نوعية بعد سنوات من العداء بين الشركات والباحثين، حيث أدركت المؤسسات أخيرًا أن استقبال التقارير الأمنية وإصدار الإصلاحات ضرورة لا رفاهية. عندما أطلقت Apple برنامجها في 2016، كانت المكافأة القصوى 200 ألف دولار، لترتفع إلى مليون دولار في 2019 ثم إلى مليونين العام الماضي. لكن كل هذا على وشك التغيير جذريًا.

الذكاء الاصطناعي يغمر البرامج بالتقارير

مع تطور نماذج الذكاء الاصطناعي العاملة بشكل مستقل (agentic AI) — القادرة على تحديد نقاط الضعف في البرمجيات وتطوير أدوات استغلالها — بدأت برامج مكافآت الثغرات تغرق في موجة هائلة من التقارير. لم تعد المشكلة في ندرة المكتشفين، بل في وفرتهم الآلية. الباحث الأمني المستقل Joseph Thacker، الذي طوّر أدواته الخاصة لصيد الثغرات بالذكاء الاصطناعي، يقول إنه قدّم ثلاثة أضعاف ما قدّمه العام الماضي في نفس الفترة، ويتوقع أن تنفق شركة مثل Google أضعاف ما أنفقته سابقًا على المكافآت.

لكن تيكر يحذّر من أن الشركات العملاقة قد تتحمل هذا الضغط، أما معظم الشركات الأخرى فلا تستطيع. “سيجد الوكلاء الذكيون الثغرات متوسطة ومنخفضة الصعوبة أولًا، لكن العام القادم سيكون هناك عدد أقل من التقارير لأن الكثير منها سيُكتشف مسبقًا. عندها قد ترفع بعض الشركات مكافآتها مرة أخرى.”

أدلة ملموسة: Curl يتوقف، ولينكس يئن

الضغط ليس نظريًا. في يناير الماضي، أعلن فريق تطوير أداة Curl — وهي أداة سطر أوامر أساسية — إنهاء برنامج مكافآت الثغرات الذي كان يُدار عبر HackerOne، بعد أن غمرته تقارير منخفضة الجودة موّلَدة بالذكاء الاصطناعي. كتب الفريق أن “برنامج المكافآت يعطي الناس حوافز قوية جدًا لإيجاد واختراع ‘مشاكل’ بسوء نية، مما يسبب إرهاقًا وإساءة.”

أيضًا، كتب لينوس تورفالدس — مبتكر نواة لينكس — الأسبوع الماضي أن القائمة البريدية الأمنية الشهيرة للنواة أصبحت “شبه مستحيلة الإدارة” بسبب حجم التقارير الهائل والتكرار الناتج عن أدوات الذكاء الاصطناعي.

المهاجمون يلحقون بالركب

لكن المشكلة لا تقتصر على تدفق التقارير الجيدة والرديئة من الباحثين الشرعيين. نشر باحثو Google في وقت سابق من هذا الشهر نتائج صادمة: فقد رصدوا أول دليل موثّق على استخدام جماعات إجرامية سيبرانية بارزة للذكاء الاصطناعي لاكتشاف ثغرة يوم-صفر (zero-day) وتطوير استغلال لها لتجاوز المصادقة الثنائية على منصة إدارة أنظمة مفتوحة المصدر. قامت Google بإبلاغ المطور فورًا وأصدر إصلاحًا، لكن الحادثة تمثل نقطة تحول.

يوضح John Hultquist — كبير المحللين في فريق استخبارات التهديدات في Google — أن “الدول القومية تشكل تهديدًا خطيرًا، لكن المجرمين الإلكترونيين هم من يمثلون الغالبية العظمى من الحوادث التي تواجهها المؤسسات. استخدامهم لثغرات اليوم-صفر كان محدودًا، لكن من يستخدمها يحقق نجاحًا كبيرًا. لا ينبغي أن نقلل من أثر وجود المزيد من المجرمين بحوزتهم ثغرات من هذا النوع.”

نافذة الإفصاح 90 يومًا مهددة

كان معيار الإفصاح المسؤول — 90 يومًا بين اكتشاف الثغرة والإعلان عنها — مبنيًا على عالم كان فيه صيادو الثغرات نادرين وتطوير الاستغلال بطيئًا. لكن الباحث Himanshu Anand كتب مؤخرًا أن “ذلك العالم قد ولّى. نماذج اللغة الكبيرة ضغطت الجدولين الزمنيين معًا.” السرعة التي تفرضها أدوات الذكاء الاصطناعي — سواء من المدافعين أو المهاجمين — قد تجبر الشركات على نشر التصحيحات بشكل أسرع، مما يهدد بانهيار معايير الأمن السيبراني التي استغرق بناؤها سنوات.

ماذا يعني هذا للباحثين والشركات؟

بالنسبة للأفراد الذين يعيشون من صيد الثغرات، المستقبل غامض. يرى Thacker أن العام القادم قد يشهد مكافآت أعلى للثغرات العميقة، لكن التقارير منخفضة الجودة ستستمر في إغراق المنصات. أما الشركات الصغيرة والمتوسطة فقد تجد نفسها غير قادرة على تحمل تكاليف برامج المكافآت أو حتى تصفية التقارير الواردة.

من ناحية أخرى، قد تدفع سهولة اكتشاف الثغرات بالذكاء الاصطناعي المؤسسات إلى تحسين سرعة نشر التصحيحات — وهو تحدٍّ معقد لأن التثبيت العشوائي للبرامج قد يسبب انقطاعات غير متوقعة. لكن الضغط المتزايد من المهاجمين الآليين قد يجعل التأخير أكثر كلفة.

المحصلة: سباق تسلح حقيقي بين الذكاء الاصطناعي في يد المدافعين والمهاجمين، والنتائج لم تحسم بعد. ما هو مؤكد أن برامج مكافآت الثغرات كما نعرفها لن تعود كما كانت. الباحثون والشركات على حد سواء سيضطرون إلى التكيف مع واقع جديد: حيث الآلة هي الصياد الأكبر.

للاطلاع على القصة الأصلية على Wired: المقال الكامل.

روابط مذكورة في المصدر

المصدر: Wired