اتصل بنا للحصول على مزيد من المعلومات

الأكواد المُولّدة بالذكاء الاصطناعي باقية. هل نحن أقل أمانًا نتيجةً لذلك؟

قاده التفكير

الأكواد المُولّدة بالذكاء الاصطناعي باقية. هل نحن أقل أمانًا نتيجةً لذلك؟

mm
تم النشر

البرمجة في عام ٢٠٢٥ لا تعني العمل الشاق على أجزاء أو قضاء ساعات طويلة في تصحيح الأخطاء. إنها تجربة مختلفة تمامًا. الكود الذي تم إنشاؤه بواسطة الذكاء الاصطناعي يُمثل هذا الكود غالبية الأكواد البرمجية في المنتجات المستقبلية، وقد أصبح أداةً أساسيةً للمطورين المعاصرين. يُعرف هذا الكود باسم "ترميز الاهتزاز"، وسيكون استخدام الكود المُولّد بواسطة أدوات مثل Github Copilot وAmazon CodeWhisperer وChat GPT هو القاعدة وليس الاستثناء في تقليل وقت البناء وزيادة الكفاءة. ولكن هل تُشكّل سهولة استخدام الكود المُولّد بالذكاء الاصطناعي خطرًا أكبر؟ هل يزيد الذكاء الاصطناعي المُولّد من نقاط الضعف في بنية الأمان، أم أن هناك طرقًا للمطورين لاستخدام "ترميز الاهتزاز" بأمان؟

قال سانكيت سوراف، مؤسس شركة DeepSource: "تُعدّ الحوادث الأمنية الناتجة عن ثغرات في الأكواد البرمجية المُولّدة بالذكاء الاصطناعي من أقل المواضيع التي تُناقش حاليًا". وأضاف: "لا يزال هناك الكثير من الأكواد البرمجية المُولّدة من منصات مثل Copilot أو Chat GPT التي لا تخضع لمراجعة بشرية، وقد تُسبب الخروقات الأمنية عواقب وخيمة على الشركات المتضررة".

مطور منصة مفتوحة المصدر تستخدم التحليل الثابت لجودة الكود والأمان، استشهد ساوراف اختراق SolarWinds في عام 2020 كنوع من "حالات الانقراض" التي قد تواجهها الشركات إذا لم تُثبّت حواجز الأمان المناسبة عند استخدام الأكواد البرمجية المُولّدة بالذكاء الاصطناعي. قال سوراف: "يُمكّن التحليل الثابت من تحديد أنماط الأكواد البرمجية غير الآمنة وممارسات البرمجة الخاطئة".

الهجوم من خلال المكتبة

يمكن أن تتخذ التهديدات الأمنية للأكواد البرمجية المُولّدة بالذكاء الاصطناعي أشكالًا مبتكرة، وقد تُوجّه إلى المكتبات. تُعدّ المكتبات في البرمجة أكوادًا برمجية مفيدة وقابلة لإعادة الاستخدام، يستخدمها المطورون لتوفير الوقت عند الكتابة. 

غالبًا ما يقومون بحل مهام البرمجة العادية مثل إدارة تفاعلات قواعد البيانات ومساعدة المبرمجين في عدم الحاجة إلى إعادة كتابة التعليمات البرمجية من الصفر. 

أحد هذه التهديدات للمكتبات يُعرف باسم "الهلوسة"، حيث تُظهر الشفرة المُولّدة بالذكاء الاصطناعي ثغرة أمنية من خلال استخدام مكتبات وهمية. وهناك سلسلة أخرى أحدث من الهجمات على الشفرة المُولّدة بالذكاء الاصطناعي تُسمى "الاستيلاء غير المنظم"، حيث يمكن للمهاجمين استهداف المكتبات مباشرةً للتسلل إلى قاعدة البيانات. 

قد يتطلب التصدي المباشر لهذه التهديدات وعيًا أكبر مما يوحي به مصطلح "ترميز الاهتزاز". في حديثه من مكتبه بجامعة كيبيك أون أوتاوا، يتابع البروفيسور رافائيل خوري عن كثب التطورات في أمن الأكواد البرمجية المُولّدة بالذكاء الاصطناعي، وهو واثق من أن التقنيات الجديدة ستُحسّن من سلامتها. 

In ورقة 2023قام البروفيسور خوري بدراسة نتائج طلب ChatGPT لإنتاج شيفرة برمجية دون أي سياق أو معلومات إضافية، وهي ممارسة أدت إلى شيفرة برمجية غير آمنة. كانت تلك الأيام الأولى لـ ChatGPT، وخوري متفائل الآن بشأن مستقبله. قال خوري: "منذ ذلك الحين، تُراجع العديد من الأبحاث حاليًا، ويتطلع المستقبل إلى استراتيجية لاستخدام برنامج ماجستير القانون (LLM) لتحقيق نتائج أفضل". وأضاف: "الأمان يتحسن، لكننا لسنا في وضع يسمح لنا بتقديم إرشادات مباشرة والحصول على شيفرة برمجية آمنة". 

وتابع خوري في وصفه دراسة واعدة حيث قاموا بإنشاء شيفرة ثم أرسلوها إلى أداة لتحليلها بحثًا عن الثغرات. تُعرف الطريقة التي تستخدمها الأداة باسم "اكتشاف شذوذ الخطوط باستخدام الذكاء الاصطناعي التوليدي" (أو FLAG اختصارًا).

وقال "ترسل هذه الأدوات إشارات قد تحدد ثغرة أمنية في السطر 24، على سبيل المثال، والتي يمكن للمطور بعد ذلك إرسالها مرة أخرى إلى LLM بالمعلومات وطلب النظر فيها وإصلاح المشكلة". 

أشار خوري إلى أن هذا التبادل قد يكون حاسمًا لإصلاح الأكواد البرمجية المعرضة للهجوم. "تشير هذه الدراسة إلى أنه بخمس تكرارات، يُمكن تقليل نقاط الضعف إلى الصفر." 

مع ذلك، لا تخلو طريقة FLAG من المشاكل، خاصةً أنها قد تُنتج نتائج إيجابية وسلبية خاطئة. إضافةً إلى ذلك، هناك حدودٌ لطول الشيفرة البرمجية التي يُمكن لمحترفي البرمجة إنشاءها، كما أن عملية ربط الأجزاء معًا قد تُضيف مستوىً إضافيًا من المخاطر.

إبقاء الإنسان على اطلاع

يُوصي بعض الخبراء في مجال "برمجة الاهتزاز" بتجزئة الكود وضمان بقاء البشر في صدارة عمليات التحرير الأكثر أهمية في قاعدة الكود. قال كيفن هو، رئيس هندسة المنتجات في ويند سيرف، مُشيدًا بفائدة كتابة أجزاء صغيرة من الكود: "عند كتابة الكود، فكّر في عدد مرات الالتزام".

قسّم المشروع الكبير إلى أجزاء أصغر، عادةً ما تكون التزامات أو طلبات سحب. اطلب من الوكيل بناء المشروع الأصغر حجمًا، مع التركيز على ميزة واحدة معزولة في كل مرة. هذا يضمن اختبار مخرجات الكود جيدًا وفهمها جيدًا، كما أضاف. 

حتى وقت كتابة هذه السطور، اقتربت Windsurf من خمسة مليارات سطر من الأكواد البرمجية المُولّدة بالذكاء الاصطناعي (من خلال اسمها السابق Codeium). وصرح هو بأن السؤال الأكثر إلحاحًا الذي كانوا يجيبون عليه هو مدى إدراك المطور لهذه العملية. 

"الذكاء الاصطناعي قادر على إجراء العديد من التعديلات على العديد من الملفات في وقت واحد، فكيف يمكننا التأكد من أن المطور يفهم ويراجع ما يحدث بالفعل بدلاً من قبول كل شيء بشكل أعمى؟" سأل هو، مضيفًا أنهم استثمروا بكثافة في تجربة مستخدم Windsurf "مع الكثير من الطرق البديهية للبقاء على اطلاع كامل بما يفعله الذكاء الاصطناعي، ولإبقاء الإنسان على اطلاع كامل."

وهذا هو السبب في أن "ترميز الاهتزازمع تزايد شيوع "الإنترنت"، يجب على البشر المعنيين به أن يكونوا أكثر حذرًا من نقاط ضعفه. من "الهلوسة" إلى تهديدات "الاستغلال المفرط"، التحديات حقيقية، وكذلك الحلول. 

تُظهر الأدوات الناشئة مثل التحليل الثابت، وطرق التحسين التكرارية مثل FLAG، وتصميم تجربة المستخدم المدروس، أن الأمان والسرعة لا يجب أن يكونا متعارضين. 

يكمن السر في إبقاء المطورين منخرطين ومطلعين ومتحكمين. فمع وجود الحواجز المناسبة وعقلية "الثقة مع التحقق"، يمكن أن يكون البرمجة بمساعدة الذكاء الاصطناعي ثورية ومسؤولة في آنٍ واحد.

مواضيع ذات صلة:
mm

أرجون هاريندراناث صحفي مستقل مقيم في ميديلين، كولومبيا، يُغطي قضايا الصراع والهجرة والتكنولوجيا لجمهور عالمي. له مقالات سابقة في الجزيرة، وتك كرانش، وذا نيكست ويب، وصحيفة نيويورك تايمز.