لطالما اعتمدت شركات التقنية الكبرى على صيادين مستقلين للكشف عن الثغرات الأمنية في برامجها، مقابل مكافآت مالية قد تصل إلى مئات آلاف الدولارات. لكن هذا النظام بدأ يتصدع تحت وطأة أداة جديدة: الذكاء الاصطناعي التوليدي. فبدلًا من مساعدة الخبراء فقط، أصبح AI يغرق فرق الأمن بتقارير منخفضة الجودة، ما دفع بعض البرامج إلى التوقف تمامًا.
فيضان من التقارير الزائفة
بحسب بيانات حصلت عليها Financial Times ونشرتها Ars Technica، شهدت شركة Bugcrowd – التي تخدم عملاء مثل OpenAI وT-Mobile وMotorola – تضاعف أعداد التقارير الواردة إليها أربع مرات خلال ثلاثة أسابيع فقط في مارس 2026. الغالبية العظمى من هذه التقارير كانت خاطئة. أما أداة Curl – الشهيرة لنقل البيانات عبر الإنترنت – فقد علقت برنامج مكافآتها المدفوع في يناير من نفس العام، مشيرة إلى “انفجار في تقارير AI السخيفة” وتدنٍ ملحوظ في الجودة.
لم تكن Curl وحدها. شركة Nextcloud، التي تقدم حلول التخزين السحابي مفتوحة المصدر، أوقفت برنامج المكافآت الخاص بها في أبريل، معللة ذلك بـ“الزيادة الهائلة في التقارير منخفضة الجودة”. وأكدت أنها تأمل في استئناف البرنامج حالما تجد طريقة فعالة لتصفية التقديمات.
أرقام صادمة لكن الفرز ما زال يعمل
منصة HackerOne، التي تدير برامج مكافآت لكل من Goldman Sachs وGoogle ووزارة الدفاع الأمريكية، قالت إن عدد التقديمات قفز بنسبة 76% خلال السنة المنتهية في مارس 2026. لكن اللافت أن نسبة التقارير التي تشير إلى ثغرات حقيقية ظلت مستقرة عند 25%. هذا يعني أن الكم الهائل من التقارير المزيفة لم يخفض نسبة الاكتشافات الحقيقية حتى الآن، لكنه يرهق الفرق البشرية في التصفية والتدقيق.
روس ماكيرتشار، المسؤول الأمني الأول في شركة Sophos، وصف هذه الزيادة بأنها “مشكلة كبيرة تتفاقم بسرعة”. وأشار إلى أن برامج المكافآت “ستبقى، لكنها ستضطر للتغير”. كما كشف عن وجود ثلاث فئات من مقدمي التقارير: مبتدئون يستخدمون AI لأول مرة، باحثون موجودون “يضلهم أحيانًا وكلاء AI”، و“فئة ثالثة” من مطوري AI متمرسين بنوا أنظمة مسح وتقديم تلقائية بالكامل “تحدث فوضى مطلقة”.
حلول مؤقتة وذكاء اصطناعي لمكافحة الذكاء الاصطناعي
لم تقف الشركات مكتوفة الأيدي. HackerOne أطلقت هذا العام “قدرات تحقق وكيلية جديدة” (agentic validation capabilities) لمساعدة المؤسسات على إدارة الكميات الضخمة من النتائج، خاصة تلك التي تولدها نماذج مثل Mythos من Anthropic – وهو نموذج AI أمني أطلقته الشركة مؤخرًا ويدعي العثور على ثغرات أسرع من البشر. كما بدأت بعض البرامج في فرض فحوصات خلفية أكثر صرامة على المشاركين.
من جهته، قال ديف جيري، الرئيس التنفيذي لـ Bugcrowd، إن AI سيساعد صيادي الثغرات البشر، لكنه “لن يستبدل الإبداع البشري أبدًا”. وتوقعت كارا سبراغ، رئيسة HackerOne، أن ترتفع جودة التقارير المولدة بالذكاء الاصطناعي مع الوقت، مؤكدة أن “ارتفاع التقديمات المولدة بالـ AI ليس سببًا قويًا لرفضها كليًا”.
ماذا يعني هذا للمستخدم العربي؟
إذا كنت تستخدم خدمات مثل Google أو OpenAI أو أي تطبيق يعتمد على برامج مكافآت، فأنت المستفيد غير المباشر من هذه المعركة. فكلما زادت التقارير الوهمية، زاد الوقت المستغرق لتصفيتها، مما قد يؤخر اكتشاف الثغرات الحقيقية. بعض الشركات قد تضطر لتقليل المكافآت أو تعليق البرامج مؤقتًا – كما حدث مع Curl وNextcloud – مما يقلل حوافز الباحثين المستقلين.
لكن الجانب المشرق هو أن التقنيات الجديدة مثل Mythos يمكنها رفع كفاءة الاكتشاف إذا استُخدمت بشكل صحيح. الأهم هو أن المنصات بدأت بالفعل في بناء أدوات ذكية لفرز التقارير، مما يعني أن النظام ربما يتكيف بدل أن ينهار.
ما زلنا بحاجة لمتابعة كيف ستتطور سياسات القبول والفرز، وهل ستتحول برامج المكافآت إلى أنظمة شبه آلية بالكامل؟ الأكيد أن عصر الـ AI جلب معه تحديات لم نكن نتوقعها، حتى في أكثر المجالات تقنية.
المصدر: Ars Technica عن Financial Times.
روابط مذكورة في المصدر
- Learn more
- © 2026 The Financial Times Ltd
- Financial Times
- Forum view
- Prev story
- Next story
- Five years later, Windows 11 brings back much-missed taskbar options (and more)
- A revolutionary cancer treatment could transform autoimmune disease
- Elon Musk took too long to sue OpenAI, jury unanimously agrees
- One Mars spacecraft, two senators, and a cloud of questions
المصدر: Ars Technica