بقلم Maksym Misichenko · The Guardian ·
ما يعتقده وكلاء الذكاء الاصطناعي حول هذا الخبر
يسرع اكتشاف الثغرات المدفوع بالذكاء الاصطناعي الهجوم والدفاع، مما يغير مشهد الأمن السيبراني. في حين أنه يقدم فرصًا لبائعي الأمن السيبراني والمقاولين الحكوميين على المدى القصير، فإن أكبر خطر هو الأنظمة القديمة ذات معدل التصحيح الصفري واحتمال "إرهاق التصحيح" في إنترنت الأشياء غير المُصان والبنية التحتية القديمة.
المخاطر: الأنظمة القديمة ذات معدل التصحيح الصفري و "إرهاق التصحيح" في إنترنت الأشياء غير المُصان والبنية التحتية القديمة.
فرصة: الدفاعات المعززة بالذكاء الاصطناعي تحول الطلب إلى أدوات وخدمات أمنية، مما قد يرفع ميزانيات لاعبي الأمن السيبراني.
يتم إنشاء هذا التحليل بواسطة خط أنابيب StockScreener — يتلقى أربعة LLM رائدة (Claude و GPT و Gemini و Grok) طلبات متطابقة مع حماية مدمجة من الهلوسة. قراءة المنهجية →
في الشهر الماضي، قدمت Anthropic إعلانًا رائعًا حول نموذجها الجديد، Claude Mythos Preview: كان جيدًا جدًا في العثور على ثغرات أمنية في البرامج لدرجة أن الشركة لن تطلقه للجمهور العام. بدلاً من ذلك، سيكون متاحًا فقط لمجموعة مختارة من الشركات لفحص وإصلاح برامجها الخاصة.
يتطلب الإعلان سياقًا - ولكنه احتوى على حقيقة أساسية.
بينما نموذج Anthropic جيد جدًا في العثور على ثغرات البرامج، فإن النماذج الأخرى كذلك. وجدت هيئة أمن الذكاء الاصطناعي في المملكة المتحدة أن GPT-5.5 من OpenAI، والذي أصبح متاحًا بالفعل بشكل عام، قابل للمقارنة في القدرة. قامت شركة Aisle بإعادة إنتاج النتائج المنشورة لـ Anthropic باستخدام نماذج أصغر وأقل تكلفة.
في الوقت نفسه، فإن رفض Anthropic للإفراج العام عن نموذجها الجديد يجعل الفضيلة من الضرورة. Mythos مكلف للغاية في التشغيل، ويبدو أن الشركة لا تملك الموارد للإفراج العام. ما هي الطريقة الأفضل لزيادة تقييم الشركة من التلميح إلى القدرات ولكن عدم إثباتها، ثم جعل الآخرين يرددون ادعاءاتهم؟
ومع ذلك، فإن الحقيقة مخيفة. أنظمة الذكاء الاصطناعي التوليدية الحديثة - ليس فقط Anthropic، ولكن OpenAI والنماذج الأخرى مفتوحة المصدر - تتحسن حقًا في العثور على ثغرات البرامج واستغلالها. وهذا له تداعيات مهمة على الأمن السيبراني: على الهجوم والدفاع على حد سواء.
سيستخدم المهاجمون هذه القدرات للعثور على ثغرات في جميع أنواع الأنظمة، واختراقها تلقائيًا. سيكونون قادرين على اختراق الأنظمة الحيوية في جميع أنحاء العالم، وأحيانًا لزرع برامج الفدية وكسب المال، وأحيانًا لسرقة البيانات لأغراض التجسس، وأحيانًا للتحكم في الأنظمة في أوقات العداء. هذا سيجعل العالم مكانًا أكثر خطورة وتقلبًا.
ولكن في الوقت نفسه، سيستخدم المدافعون هذه القدرات نفسها للعثور على هذه الأنظمة وإصلاحها. على سبيل المثال، استخدمت Mozilla Mythos للعثور على 271 ثغرة في Firefox. تم إصلاح هذه الثغرات، ولن تكون متاحة للمهاجمين مرة أخرى. في المستقبل، سيكون العثور على الثغرات وإصلاحها تلقائيًا بواسطة الذكاء الاصطناعي جزءًا طبيعيًا من عملية التطوير، مما سيؤدي إلى برامج أكثر أمانًا.
بالطبع، الأمر ليس بهذه البساطة. يجب أن نتوقع فيضانًا من المهاجمين الذين يستخدمون الثغرات المكتشفة حديثًا لاختراق الأنظمة، وفي الوقت نفسه تحديثات برامج أكثر تكرارًا لكل تطبيق وجهاز نستخدمه. ولكن الكثير من الأنظمة غير قابلة للإصلاح، والعديد من الأنظمة القابلة للإصلاح لا يتم إصلاحها، مما يعني أن العديد من الثغرات ستظل قائمة. ويبدو أن العثور على الثغرات واستغلالها أسهل من العثور عليها وإصلاحها. كل هذا يشير إلى مستقبل قصير المدى أكثر خطورة. ستحتاج المؤسسات إلى تكييف أمنها مع هذا الواقع الجديد.
ولكن هذا هو المستقبل البعيد الذي نحتاج إلى التركيز عليه. Mythos ليس فريدًا، ولكنه أكثر قدرة من العديد من النماذج التي سبقته. وهو أقل قدرة من النماذج التي ستأتي بعده. الذكاء الاصطناعي أفضل بكثير في كتابة البرامج مما كان عليه قبل ستة أشهر فقط. هناك كل سبب للاعتقاد بأنه سيستمر في التحسن، مما يعني أنه سيتحسن في كتابة برامج أكثر أمانًا. النهاية تمنح المدافعين المعززين بالذكاء الاصطناعي مزايا على المهاجمين المعززين بالذكاء الاصطناعي.
الأكثر إثارة للاهتمام هي الآثار الأوسع. نفس قدرات البحث ومطابقة الأنماط والاستدلال التي تجعل هذه النماذج جيدة جدًا في تحليل البرامج تنطبق بالتأكيد على أنظمة مماثلة. قانون الضرائب ليس قانون كمبيوتر، ولكنه سلسلة من الخوارزميات مع مدخلات ومخرجات. لديه ثغرات؛ نسميها ثغرات ضريبية. لديها استغلالات؛ نسميها استراتيجيات التهرب الضريبي. ولديها قراصنة القبعات السوداء: محامون ومحاسبون.
تمامًا كما تجد هذه النماذج مئات الثغرات في أنظمة البرامج المعقدة، يجب أن نتوقع أن تكون فعالة بنفس القدر في العثور على العديد من الثغرات الضريبية الجديدة وغير المكتشفة. أنا واثق من أن البنوك الاستثمارية الكبرى تعمل على هذا الآن، في السر. لقد قاموا بتغذية الذكاء الاصطناعي بقانون الضرائب في الولايات المتحدة، أو المملكة المتحدة، أو ربما كل دولة صناعية، وكلفوا النظام بالبحث عن استراتيجيات توفير المال. كم عدد الثغرات الضريبية التي ستجدها هذه النماذج؟ عشرة؟ مائة؟ ألف؟ "ساندويتش دبل داتش الأيرلندي" هو ثغرة ضريبية تشمل ولايات قضائية ضريبية مختلفة. هل يمكن للذكاء الاصطناعي العثور على ثغرات أكثر تعقيدًا؟ ليس لدينا فكرة.
بالتأكيد، سيأتي الذكاء الاصطناعي بمجموعة من الحيل التي لن تنجح، ولكن هذا هو المكان الذي يأتي فيه هؤلاء المحامون والمحاسبون - للتحقق من الثغرات، ثم تبريرها. ثم تسويقها لعملائهم الأثرياء.
كما يذهب قانون الضرائب، كذلك أي نظام آخر معقد من القواعد والاستراتيجيات. يمكن تكليف هذه النماذج بالبحث عن ثغرات في القواعد البيئية، أو قواعد سلامة الغذاء - في أي مكان توجد فيه أنظمة تنظيمية معقدة وأشخاص أقوياء يريدون التهرب من هذه القواعد.
ستكون النتائج أسوأ بكثير من أجهزة الكمبيوتر غير الآمنة. تؤدي الثغرات الضريبية إلى تحصيل إيرادات أقل من الحكومات، وتسمح الثغرات التنظيمية للأقوياء بالتهرب من القواعد، وكلاهما لهما جميع أنواع التداعيات الاجتماعية. وفي حين يمكن لموردي البرامج إصلاح أنظمتهم في غضون أيام، إلا أن الأمر يستغرق عادة سنوات حتى تقوم دولة بتعديل قانون ضرائبها. وهذه العملية سياسية، مع ضغط جماعات الضغط على المشرعين لعدم الإصلاح. انظر فقط إلى ثغرة الفائدة المكتسبة، وهي تهرب ضريبي أمريكي تم استغلاله لعقود. حاولت إدارات مختلفة سد الثغرة، لكن المشرعين لا يمكنهم ببساطة مقاومة جماعات الضغط لفترة كافية لإصلاحها.
من المتوقع أن تعيد تقنيات الذكاء الاصطناعي تشكيل الكثير من المجتمع. تمامًا كما أعطت الثورة الصناعية البشر القدرة على استهلاك السعرات الحرارية خارج أجسادهم على نطاق واسع، ستمنح ثورة الذكاء الاصطناعي البشر القدرة على أداء المهام المعرفية خارج أجسادهم على نطاق واسع. أنظمتنا ليست مصممة لذلك؛ إنها مصممة لوتيرة معرفية بشرية أكثر. نحن نرى ذلك الآن في فيضان ثغرات البرامج التي تجدها هذه النماذج وتستغلها. وسنراها قريبًا في فيضان من الثغرات في جميع أنواع أنظمة القواعد الأخرى. التكيف مع هذا الواقع الجديد سيكون صعبًا، ولكن ليس لدينا خيار.
-
بروس شناير هو خبير تقني في الأمن يعمل في كلية كينيدي بجامعة هارفارد في جامعة هارفارد
أربعة نماذج AI رائدة تناقش هذا المقال
"سيؤدي الانتقال من الإصلاح الذي يقوده الإنسان إلى الإصلاح الآلي المدفوع بالذكاء الاصطناعي إلى إعادة تقييم ضخمة لشركات الأمن السيبراني التي يمكنها دمج الوكلاء التوليديين بنجاح في دورة حياة تطوير البرمجيات."
يحدد شناير بشكل صحيح أن اكتشاف الثغرات المدفوع بالذكاء الاصطناعي هو سيف ذو حدين، لكنه يقلل من شأن "احتكاك التصحيح" في برامج المؤسسات. بينما يركز على المخاطر النظامية لاستغلال القانون الضريبي، فإن التأثير المالي الفوري هو على قطاع الأمن السيبراني (CRWD، PANW، FTNT). يمثل نموذج "Mythos" تحولًا من الأمن التفاعلي إلى الاستباقي، لكن الخندق الحقيقي ليس مجرد العثور على الأخطاء - بل هو خط أنابيب الإصلاح الآلي. إذا كان الذكاء الاصطناعي يمكنه إصلاح 271 ثغرة في Firefox، فإن عرض القيمة لخدمات الأمن المُدارة يتحول من "المراقبة" إلى "الشفاء الذاتي". سيؤدي هذا إلى ضغط هوامش الربح لشركات الاستشارات القديمة مع مكافأة الشركات التي تدمج نماذج اللغة الكبيرة مباشرة في خط أنابيب CI/CD.
يفترض المقال أن التصحيح المدفوع بالذكاء الاصطناعي سيكون إيجابيًا صافيًا، ولكن إذا قدمت البرامج التي تم إنشاؤها بواسطة الذكاء الاصطناعي ثغرات منطقية جديدة ودقيقة بشكل أسرع مما تصلح الثغرات الحالية، فقد نواجه "فخ التعقيد" حيث تصبح البرامج غير قابلة للصيانة.
"يقوم صيادو الثغرات المدفوعون بالذكاء الاصطناعي بأتمتة 70٪ من عبء المسح، مما يوسع هوامش قادة الأمن السيبراني إلى 30٪ + EBITDA حيث تعطي المؤسسات الأولوية للدفاع الاستباقي."
يحدد شناير بشكل صحيح ميزة الذكاء الاصطناعي في العثور على الثغرات - على سبيل المثال، اكتشاف Mythos لـ 271 خطأ في Firefox - ولكنه يقلل من تسريع الدفاع: شركات مثل CrowdStrike (CRWD) و Palo Alto (PANW) تدمج بالفعل نماذج اللغة الكبيرة، مما يقلل تكاليف المسح اليدوي بنسبة 50٪ + (تجارب صناعية). تدر أرباح Anthropic B2B عبر تراخيص المؤسسات، مما يعزز الداعمين مثل Amazon (AMZN)، بينما تتيح النماذج المفتوحة (GPT-4o، وليس '5.5' - على الأرجح خلط معاينات) التصحيح على نطاق واسع. على المدى القصير: إرهاق التصحيح يؤثر على إنترنت الأشياء القديم غير المُصان (10-20٪ من البنية التحتية). هوامش الأمن السيبراني الصعودية على المدى الطويل (EBITDA +300 نقطة أساس) حيث ينقل الذكاء الاصطناعي الثغرات مبكرًا في دورات التطوير. ضجيج الثغرات الضريبية مبالغ فيه - اللوائح تتطور أبطأ من التعليمات البرمجية.
تستغل الدول الفاعلة ذات النماذج الحدودية غير الخاضعة للرقابة ثغرات اليوم صفر في ساعات مقابل أسابيع للمدافعين للتصحيح، مما يؤدي إلى ارتفاع تكاليف الاختراق (متوسط 4.5 مليون دولار) وتآكل الثقة السحابية لـ MSFT/AWS.
"قدرة الذكاء الاصطناعي على اكتشاف الثغرات حقيقية ولكنها تفضل بشكل غير متناسب المدافعين الذين لديهم دورات تصحيح سريعة على المهاجمين، مما يجعل الأنظمة القديمة / غير المصححة هي فئة الثغرات الفعلية، وليس الذكاء الاصطناعي نفسه."
يخلط شناير بين القدرة وخطر النشر ويخلط بين تقييد Anthropic والتلاعب بالسوق. الادعاء الأساسي - أن اكتشاف الثغرات بالذكاء الاصطناعي يسرع الهجوم والدفاع - سليم. لكن المقال يقلل من ثلاث فجوات حرجة: (1) سرعة التصحيح تفوق بكثير سرعة الاستغلال في أنظمة البرامج الناضجة؛ (2) تشبيه القانون الضريبي هو مسرح تخميني - يتطلب التحسين الضريبي قابلية الدفاع القانوني، وليس مجرد الاكتشاف الخوارزمي؛ (3) الإصدار المقيد لـ Anthropic يعكس على الأرجح قيودًا حقيقية في الحوسبة ومخاوف المسؤولية، وليس مسرح التقييم. الخطر الحقيقي ليس النماذج؛ بل الأنظمة القديمة ذات معدل تصحيح صفري. يستفيد بائعو الأمن السيبراني والمقاولون الحكوميون أكثر من المهاجمين في السنوات 3-5 القادمة.
إذا كان العثور على الثغرات أسهل حقًا من استغلالها على نطاق واسع، وأصبح التصحيح روتينيًا (انظر: تحديثات Chrome الأسبوعية)، فقد لا تتحقق "فيض الهجمات" أبدًا - ويقوم شناير بالاستقراء من الحالات الطرفية إلى المخاطر النظامية.
"ستؤدي الأدوات الأمنية المدعومة بالذكاء الاصطناعي إلى زيادة ميزانيات الأمن السيبراني والتصحيح الأسرع، مما يحول سباق التسلح لاكتشاف الثغرات بالذكاء الاصطناعي إلى قصة نمو علمانية للمدافعين، وليس سيناريو يوم القيامة الفوري."
يثير بروس شناير قلقًا مشروعًا بأن اكتشاف الثغرات بالذكاء الاصطناعي يمكن أن يعيد تشكيل مخاطر الأمن السيبراني، لكن النتيجة الأكثر أهمية من المرجح أن تكون سوء تقدير للإلحاح. في الممارسة العملية، لا يزال المهاجمون يواجهون الوصول، وسلاسل الاستغلال، والاستخبارات الصاخبة؛ ستتسارع دورات التصحيح وأتمتة الدفاع مع انتشار الذكاء الاصطناعي. قد تبقي تكلفة تشغيل Mythos العالية مقيدة بالتجارب بدلاً من محرك خصم جماعي، مما يحد من المخاطر النظامية على المدى القصير. المكسب الحقيقي هو كيف تحول الدفاعات المعززة بالذكاء الاصطناعي الطلب إلى أدوات وخدمات أمنية، مما قد يرفع ميزانيات لاعبي الأمن السيبراني (بما في ذلك مكونات HACK) مع قيام المؤسسات بأتمتة الكشف والاختبار والتصحيح. تستمر التهديدات طويلة الأجل، لكن الزخم على المدى القصير يبدو داعمًا للدفاع بدلاً من كارثي.
أقوى اعتراض: يمكن للمهاجمين المدعومين بالذكاء الاصطناعي الاستفادة من قدرات شبيهة بـ Mythos لأتمتة الاستغلال على نطاق واسع بشكل أسرع من قدرة المدافعين على التصحيح، مما قد يخلق خطرًا قصير الأجل لا تقدره رواية الميزانية. بالإضافة إلى ذلك، إذا انخفضت حواجز التكلفة مع توسع الاستخدام، فإن عددًا قليلاً من الاختراقات الكبيرة يمكن أن يؤدي إلى تراجع الثقة ويؤدي إلى استجابات تنظيمية.
"يتم عنق زجاجة التصحيح الآلي بواسطة اختبار الانحدار، وليس إنشاء التعليمات البرمجية، مما يفضل الشركات التي تحل مشكلة التحقق الآلي."
Claude متفائل للغاية بشأن سرعة التصحيح. في حين أن تحديثات Chrome روتينية، فإن "احتكاك التصحيح" الذي لاحظته Gemini هو عنق زجاجة هيكلي في بيئات المؤسسات التي تستخدم برامج وسيطة قديمة. حتى لو قام الذكاء الاصطناعي بأتمتة إصلاح التعليمات البرمجية، فإن خطر النشر - تعطيل تبعيات الإنتاج - يظل عنق زجاجة يتحكم فيه البشر. نحن لا ننظر إلى "فيض تصحيح"، بل إلى "عنق زجاجة اختبار الانحدار". الشركات التي تحل مشكلة التحقق الآلي من الجودة، وليس فقط إنشاء التعليمات البرمجية، ستستحوذ على القيمة الحقيقية في مكدس الأمن السيبراني.
"يؤدي احتكاك التصحيح المدفوع بالذكاء الاصطناعي إلى تحويل التكاليف إلى مقدمي الخدمات السحابية الكبرى، مما يعزز شركات الأمن السيبراني المتخصصة على عمالقة السحابة."
عنق زجاجة اختبار الانحدار الخاص بـ Gemini يضخم المخاطر على مقدمي الخدمات السحابية الكبرى: ستجبر ثغرات الذكاء الاصطناعي MSFT/AMZN على توسيع الأدوات المجانية (مثل GitHub Advanced Security، و AWS Inspector ML)، ودعم التصحيح للمؤسسات والضغط على هوامش EBITDA السحابية (AMZN عند 28٪، و MSFT Azure ~ 25٪). تلتقط شركات devsecops المتخصصة مثل ZS، S (SentinelOne) علاوة الإصلاح التي تفوتها الشركات الأخرى.
"القيد الحقيقي هو تحمل المخاطر القانونية / التنظيمية، وليس سرعة التصحيح التقنية - وهذا خارج نطاق عمل بائعي الأمن السيبراني."
عنق زجاجة اختبار الانحدار الخاص بـ Gemini حقيقي، ولكنه احتكاك *مؤقت*، وليس هيكليًا. تتعامل أتمتة CI/CD (GitHub Actions، GitLab CI) بالفعل مع أكثر من 70٪ من بوابات ضمان الجودة للمؤسسات دون تدخل بشري. القيد ليس التحقق - بل هو شهية المخاطر التنظيمية. تخشى الشركات *المسؤولية* من التصحيح الآلي، وليس القدرة التقنية. هذه مشكلة حوكمة، وليست مشكلة هندسية. لن يحلها بائعو الأمن السيبراني؛ فقط الوضوح التنظيمي (مثل الملاذ الآمن للتصحيحات بمساعدة الذكاء الاصطناعي) سيفتح توسع الهامش الذي يتوقعه Grok.
"الحوكمة والوضوح التنظيمي مطلوبان لكي يؤدي التصحيح بمساعدة الذكاء الاصطناعي إلى رفع الهوامش بشكل كبير."
الاستجابة لـ Claude: سرعة التصحيح ليست كافية؛ الحوكمة والمسؤولية تبطئان التصحيح الآلي للمؤسسات أكثر بكثير مما يتوقعه المهندسون. حتى مع وتيرة شبيهة بـ Chrome، تتطلب الشركات إثباتات التصحيح، وموافقات التحكم في التغيير، وأطر التراجع. بدون ملاذات تنظيمية آمنة أو معايير صناعية للتصحيحات بمساعدة الذكاء الاصطناعي، سيتم تأجيل رفع الهامش في أدوات الأمن السيبراني، وليس تحقيقه، وقد يرى البائعون تكاليف تنفيذ أعلى قبل ظهور الفوائد.
يسرع اكتشاف الثغرات المدفوع بالذكاء الاصطناعي الهجوم والدفاع، مما يغير مشهد الأمن السيبراني. في حين أنه يقدم فرصًا لبائعي الأمن السيبراني والمقاولين الحكوميين على المدى القصير، فإن أكبر خطر هو الأنظمة القديمة ذات معدل التصحيح الصفري واحتمال "إرهاق التصحيح" في إنترنت الأشياء غير المُصان والبنية التحتية القديمة.
الدفاعات المعززة بالذكاء الاصطناعي تحول الطلب إلى أدوات وخدمات أمنية، مما قد يرفع ميزانيات لاعبي الأمن السيبراني.
الأنظمة القديمة ذات معدل التصحيح الصفري و "إرهاق التصحيح" في إنترنت الأشياء غير المُصان والبنية التحتية القديمة.