تعتبر الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي هنا للبقاء. هل نحن أقل أمانًا نتيجة لذلك؟

البرمجة في عام 2025 ليست عن الكفاح على الشظايا أو قضاء ساعات طويلة في تصحيح الأخطاء. إنه نمط مختلف تمامًا. الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي تمثل الغالبية العظمى من الشفرة في المنتجات المستقبلية وأصبحت أداة أساسية للمطور الحديث. يُعرف باسم “برمجة الاهتمام”، استخدام الشفرة التي تم إنشاؤها بواسطة أدوات مثل Github Copilot و Amazon CodeWhisperer و Chat GPT سيكون القاعدة وليس الاستثناء في تقليل وقت البناء وزيادة الكفاءة. ولكن هل يهدد راحة الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي بتهديد أغمق؟ هل يزيد الذكاء الاصطناعي التوليدي من نقاط الضعف في هيكل الأمان أو هناك طرق للمطورين لبرمجة “الاهتمام” بأمان؟

“الحوادث الأمنية الناجمة عن نقاط الضعف في الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي هي واحدة من المواضيع الأقل مناقشة اليوم”، قال سانكيت سوراف، مؤسس DeepSource. “لا يزال هناك الكثير من الشفرة التي تم إنشاؤها بواسطة منصات مثل Copilot أو Chat GPT التي لا يتم مراجعتها بواسطة البشر، ويمكن أن يكون الاختراق الأمني مدمرًا للشركات المتأثرة”.

مطور منصة مفتوحة المصدر التي تستخدم التحليل الثابت لجودة الشفرة والأمان، أشار سوراف إلى اختراق SolarWinds في عام 2020 على أنه نوع من “حوادث الانقراض” التي يمكن للشركات مواجهتها إذا لم يتم تثبيت الحواجز الأمنية الصحيحة عند استخدام الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي. “يسمح التحليل الثابت بتحديد أنماط الشفرة غير الآمنة وممارسات البرمجة السيئة”، قال سوراف.

الهجوم من خلال المكتبة

يمكن أن تأخذ التهديدات الأمنية للشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي أشكالًا مبتكرة ويمكن أن تهدف إلى المكتبات. المكتبات في البرمجة هي شفرة قابلة لإعادة الاستخدام مفيدة التي يستخدمها المطورون لتوفير الوقت عند الكتابة.

غالبًا ما تحل هذه المكتبات المهام البرمجية العادية مثل إدارة التفاعلات مع قواعد البيانات وتساعد المبرمجين على عدم إعادة كتابة الشفرة من البداية.

واحدة من هذه التهديدات ضد المكتبات هي ما يُعرف بـ “الوهم”، حيث تعرض الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي نقطة ضعف من خلال استخدام مكتبات وهمية. وهناك تهديد آخر أكثر حداثة على الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي يُعرف باسم “slopsquatting” حيث يمكن للمهاجمين استهداف المكتبات بشكل مباشر لاختراق قاعدة البيانات.

التصدي لهذه التهديدات قد يتطلب أكثر من الوعي مما قد يُقترح من مصطلح “برمجة الاهتمام”. يتحدث من مكتبه في Université du Québec en Outaouais، وقد كان الأستاذ رافائيل خوري يتابع عن كثب التطورات في أمان الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي ويتفائل بأن التقنيات الجديدة ستحسن أمانها.

في مقال نشر في عام 2023، قام الأستاذ خوري بدراسة نتائج طلب الشفرة من ChatGPT دون أي سياق أو معلومات إضافية، وهو ما أدى إلى شفرة غير آمنة. كانت هذه الأيام الأولى لChat GPT ويتفائل خوري الآن بمستقبل أفضل. “منذ ذلك الحين، هناك الكثير من الأبحاث قيد المراجعة الآن والمستقبل يبدو أنه سيتجه نحو استراتيجية لاستخدام LLM التي قد تؤدي إلى نتائج أفضل”، قال خوري، مضيفًا أن “الأمان يتحسن، ولكننا لسنا في مكان يمكننا فيه إعطاء توجيه مباشر والحصول على شفرة آمنة”.

واصل خوري وصف دراسة واعدة حيث تم إنشاء الشفرة ثم إرسالها إلى أداة تحليلها لتحديد نقاط الضعف. يتم استخدام أسلوب يُعرف باسم Finding Line Anomalies with Generative AI (أو FLAG اختصارًا) بواسطة هذه الأداة.

“تُرسل هذه الأدوات أعلامًا قد تحدد نقطة ضعف في السطر 24، على سبيل المثال، والتي يمكن للمطور إرسالها مرة أخرى إلى LLM مع المعلومات وطلب修ها”، قال.

اقترح خوري أن هذا التفاعل قد يكون حاسمًا لتصحيح الشفرة التي تكون عرضة للهجوم. “تُظهر هذه الدراسة أن بإمكانك تقليل نقاط الضعف إلى الصفر مع خمس تكرارات”.

هذا راجع إلى أن أسلوب FLAG ليس خاليًا من المشاكل، لا سيما أنه يمكن أن يؤدي إلى إيجابيات خاطئة وسلبيات خاطئة. بالإضافة إلى ذلك، هناك حدود في طول الشفرة التي يمكن أن يخلقها LLMs ويمكن أن يضيف فعل ربط الشظايا طبقة أخرى من المخاطر.

إبقاء الإنسان في الحلقة

يوصي بعض الأشخاص في “برمجة الاهتمام” بتقسيم الشفرة وضمان أن يبقى البشر في المقدمة والمكانة في التحرير الأكثر أهمية للقاعدة الشفرية. “عند كتابة الشفرة، فكر في مصطلح Commits”، قال كيفن هاو، رئيس هندسة المنتج في Windsurf، مشيدًا بحكمة القطع الصغيرة.

“قسم مشروعًا كبيرًا إلى قطع صغيرة التي ستكون عادة Commits أو طلبات سحب. اجعل الوكيل يبني النطاق الصغير، ميزة معزولة في كل مرة. هذا يمكن أن يضمن أن إخراج الشفرة يتم اختباره جيدًا ويفهمه جيدًا”، أضاف.

في وقت الكتابة، قام Windsurf بمعالجة أكثر من 5 مليارات سطر من الشفرة التي تم إنشاؤها بواسطة الذكاء الاصطناعي (من خلال اسمها السابق Codeium). قال هاو إن السؤال الأكثر إلحاحًا الذي كانوا يجيبون عليه هو ما إذا كان المطور على دراية بالعملية.

“يمكن للذكاء الاصطناعي إجراء الكثير من التحرير عبر العديد من الملفات في نفس الوقت، لذلك كيف يمكننا التأكد من أن المطور يفهم ويُراجِع ما يحدث بدلاً من قبول كل شيء بشكل أعمى؟” سأل هاو، مضيفًا أنهم استثمروا بشكل كبير في UX لWindsurf “بطرق متعددة وسهلة لتبقى في خط متساوٍ مع ما يفعله الذكاء الاصطناعي، ولحفظ الإنسان في الحلقة”.

وهو السبب في أن “برمجة الاهتمام” تصبح أكثر شيوعًا، يجب على البشر في الحلقة أن يكونوا أكثر حذرًا من نقاط الضعف. من “الوهم” إلى تهديدات “slopsquatting”، التحديات حقيقية، ولكن الحلول أيضًا حقيقية.

تُظهر الأدوات الناشئة مثل التحليل الثابت وأساليب التكرار مثل FLAG وتصميم UX المُفكَر فيه أن الأمان والسرعة لا يتعارضان. المفتاح يكمن في إبقاء المطورين مشاركين، على دراية، ومسيطرين. مع الحواجز الصحيحة وذهن “تثق ولكن افحص”، يمكن أن تكون البرمجة المعاونة بواسطة الذكاء الاصطناعي ثورية ومسؤولة.