المشكلة في فحوصات أمان الأكواد التقليدية

اختبار أمان التطبيقات الثابتة، المعروف عالمياً باسم SAST، كان النموذج السائد للتحليل الآلي لأمان الأكواد لأكثر من عقرين من الزمان. المنهج مفهوم بسيط: تحليل الكود المصدري دون تنفيذه، والبحث عن أنماط تطابق توقيعات الثغرات المعروفة. استعلامات SQL المجمعة من مدخلات المستخدم، تخصيص الذاكرة بدون فحوصات حدود، دوال التشفير المستخدمة مع معاملات ضعيفة—أدوات SAST يمكنها تجميع هذه الأنماط بسرعة عبر أي حجم من الأكواس.

المشكلة هي معدل الإيجابيات الخاطئة. قواعد بيانات المؤسسات الناضجة تتلقى بانتظام تقارير SAST تحتوي على آلاف العناصر المجمعة، معظمها يمثل إما أنماط أكواد غير قابلة للاستغلال، ثغرات مخففة، أو استخدامات شرعية لـ API المجمعة. يقضي مهندسو الأمان وقتاً ضخماً في فرز هذه التقارير. نسبة الإشارة إلى الضوضاء سيئة بما يكفي بحيث طورت العديد من المنظمات تسامحاً مؤسسياً بتجاهل أجزاء كبيرة من نتاجها.

هذه هي المشكلة التي تقول OpenAI إنها حاولت حلها مع Codex Security—والسبب في اختيارها عدم تضمين تقرير SAST كجزء من المنتج.

تفكير القيود كبديل

يستخدم Codex Security منهجية مختلفة توصفها OpenAI بأنها تفكير قيود مدعوم بالذكاء الاصطناعي والتحقق. بدلاً من مطابقة الأنماط مقابل توقيعات الثغرات، يحاول النظام التفكير في ما إذا كانت الثغرة قابلة للاستغلال فعلياً في السياق المحدد الذي تظهر فيه.

التمييز له أهمية هائلة في الممارسة العملية. قد تجمع أداة SAST كل مثيل من دالة تنسيق سلسلة نصية معينة كثغرة تنسيق سلسلة محتملة، بغض النظر عما إذا كانت المدخلات لتلك الدالة يمكن فعلاً التأثير عليها من قبل محتال. يحاول Codex Security تتبع تدفقات البيانات، فهم حدود الثقة، وتقييم ما إذا كان يمكن لمحتال بصلاحيات واقعية فعلاً تفعيل مسار الكود الإشكالي.

يستعير هذا النهج من التحقق الرسمي وطرق تقديم القيود المستخدمة في أبحاث الأمان الأكاديمية، لكنه يطبق التفكير بالذكاء الاصطناعي للتعامل مع الغموض والتعقيد في أكواس العالم الحقيقي التي كافحت الطرق الرسمية تاريخياً في التوسع إليها.

front and side images of a researcher equipped with AI training devices, part of the XRZero-G0 system.
More in AI & Robotics

XRZero-G0 يفتح مجموعة بيانات روبوتية مدتها 2,000 ساعة

أطلقت X Square Robot نظام XRZero-G0 ومجموعة بيانات متعددة الوسائط مدتها 2,000 ساعة بهدف تقليل كمية بيانات الروبوتات الحقيقية اللازمة لأنظمة الذكاء الاصطناعي المجسّد.

Read article

نتائج أقل، ثقة أعلى

المقارنة المتأصلة في هذا النهج هي أن Codex Security قد تفوت ثغرات قد تجمعها SAST. OpenAI شفافة حول هذا القيد. النظام مصمم لإعطاء الأولوية للدقة على الاستدعاء: الثغرات التي يجمعها تهدف إلى أن تكون حقيقية وقابلة للاستغلال، حتى لو كانت هناك ثغرات حقيقية في الكود لا يحددها النظام.

بالنسبة لفرق الأمان التي تغرق في نتاج SAST منخفض الجودة، قد تكون هذه المقارنة جذابة. مجموعة أصغر من النتائج عالية الثقة والقابلة للتنفيذ يمكن علاجها بثبات، مما ينتج تحسناً قابلاً للقياس في موقف الأمان. مجموعة كبيرة من النتائج حيث معظمها إيجابيات خاطئة تنتج شلل التحليل وعملياً غالباً تؤدي إلى عدم إصلاح أي شيء.

تؤكد OpenAI أن تجربة المطور أفضل بشكل ملموس عندما تكون النتائج موثوقة. مطور تعلم أن 80 بالمائة من نتائج أدوات الأمان في كودهم هي ضوضاء يصبح معتاداً على تجاهل تحذيرات الأمان. أداة صحيحة في كل مرة تقريباً تدرب سلوكاً مختلفاً: خذ كل نتيجة بجدية وأصلحها.

خط أنابيب التحقق

يجمع Codex Security التفكير الأولي بالقيود مع خطوة التحقق التي تستخدم الذكاء الاصطناعي لإنشاء حالات اختبار إثبات المفهوم محاولة فعلاً تفعيل الثغرة في بيئة محصنة. إذا كان نموذج النظام لكيفية استغلال الثغرة يمكن تحويله إلى استغلال عملي—حتى واحد حميد يوضح فقط مسار الكود ينفذ—تزداد الثقة في النتيجة بشكل كبير.

خطوة التحقق هذه مكلفة حسابياً مقارنة بمطابقة الأنماط الثابتة، وهو أحد الأسباب التي تجعل النهج ليس عالمياً بين أدوات الأمان. لكنها تمثل بوابة جودة مهمة. الثغرات التي تنجو من كل من مرحلة التفكير بالقيود ومرحلة التحقق من الاستغلال هي أكثر احتمالاً بكثير أن تمثل مخاطر أمان حقيقية من نتائج SAST التي لم تخضع لأي تحقق قائم على التنفيذ.

Image description
More in AI & Robotics

أنثروبيك تدعو إلى تدقيقات ملزمة بينما تعيد تأطير الذكاء الاصطناعي كبنية تحتية استراتيجية

يقول الرئيس التنفيذي لأنثروبيك داريو أمودي إن قواعد الشفافية لم تعد كافية، ويدعو إلى تدقيقات إلزامية من طرف ثالث لأنظمة الذكاء الاصطناعي المتقدمة.

Read article

الموضع في مناظر أدوات الأمان

لا يتم تحديد Codex Security كبديل لكل أدوات الأمان. تصفها OpenAI بأنها مكملة للـ Fuzzing واختبار الاختراق ومراجعة الأكواد اليدوية. الملعب هو أنه للوظيفة المحددة للتحليل الآلي للأكواد، يمكن للنهج القائم على التفكير تقديم نتائج أفضل من النهج القائم على التوقيع للأكواس وفئات الثغرات حيث تكون موثوقية تفكير الذكاء الاصطناعي ناضجة بما يكفي.

يواصل المنتج اتجاهاً أوسع في أدوات الأمان المساعدة بالذكاء الاصطناعي نحو الأنظمة التي تفهم دلالات الأكواد وليس فقط بناء الجملة. مع أن نماذج الذكاء الاصطناعي المدربة على أكواس كبيرة تصبح أكثر قدرة على التفكير في سلوك البرنامج، الفجوة بين ما يمكن للأدوات الآلية العثور عليه بموثوقية وما يمكن لمحققي الأمان البشريين الماهرين العثور عليه تضيق—لكنها لم تغلق بعد.

هذا المقال يعتمد على التقارير من OpenAI. اقرأ المقال الأصلي.

Originally published on openai.com