سوق الثغرات يدخل مرحلة جديدة

الذكاء الاصطناعي لا يغير فقط طريقة بناء البرمجيات. بل يغير أيضا طريقة تعطلها، ومدى سرعة اكتشاف تلك نقاط الضعف، والمبلغ الذي قد تضطر الشركات إلى دفعه لتعرف عنها أولا. ووفقا لتقارير Wired، بدأت عملية اكتشاف الثغرات المدفوعة بالذكاء الاصطناعي تغمر برامج مكافآت الثغرات، ما يخلق ضغطا اقتصاديا وتشغيليا جديدا عبر منظومة أمن البرمجيات.

وهذا مهم لأن برامج مكافآت الثغرات أصبحت أحد أهم الجسور بين باحثي الأمن المستقلين وشركات التكنولوجيا الكبرى. فبدلا من التعامل مع الباحثين الخارجيين كخصوم، بدأت الشركات تدفع لهم بشكل متزايد مقابل الإفصاح المسؤول عن الثغرات. والآن يخضع هذا النظام لاختبار ضغط بفعل الحجم.

ثغرات أكثر، مشاركات أكثر، وضغط أكبر

التحول الأساسي واضح: نماذج الذكاء الاصطناعي الوكيلة أصبحت أكثر قدرة على تحديد الثغرات بشكل ذاتي وتطوير الاستغلالات. عمليا، يعني ذلك أن مزيدا من نقاط الضعف يمكن اكتشافها بسرعة أكبر ومن قبل عدد أكبر من الأشخاص. والنتيجة، كما يصفها النص الأصلي، هي ارتفاع كبير في المشاركات إلى برامج الإفصاح عن الثغرات والمكافآت، في الوقت نفسه الذي تجد فيه المؤسسات أيضا مزيدا من الثغرات داخليا.

قال الباحث المستقل Joseph Thacker لـWired إنه قدم ما يقرب من ثلاثة أضعاف عدد الثغرات مقارنة بالنقطة نفسها من العام السابق، وتكهن بأن شركة مثل Google قد تنتهي إلى إنفاق ما بين ضعفين وعشرة أضعاف ما أنفقته العام الماضي على المدفوعات. سواء ثبتت صحة هذا التقدير الدقيق أم لا، فإن اتجاه التغيير واضح: العلاقة القديمة بين جهد الباحث وندرة الثغرات وحجم المكافأة تتعرض للاهتزاز.

قد تتمكن شركات التكنولوجيا الكبرى من امتصاص هذا الضغط. أما المنظمات الأصغر فقد لا تستطيع ذلك. وإذا امتلأت برامج المكافآت بنتائج منخفضة ومتوسطة الخطورة يمكن لأنظمة الذكاء الاصطناعي اكتشافها على نطاق واسع، فسترتفع أعباء الفرز، وتمتد فرق الاستجابة، وقد تحتاج هياكل المدفوعات إلى التغيير.

Charities decry UK plan to use AI to assess age of young asylum seekers
More in Culture

تقنية الذكاء الاصطناعي للتحقق من العمر في طلبات اللجوء بالمملكة المتحدة تواجه انتقادات من جماعات أطفال اللاجئين

تحذر أكثر من 100 منظمة من أن استخدام المملكة المتحدة لتقدير العمر من خلال ملامح الوجه بالذكاء الاصطناعي على طالبي اللجوء قد يخطئ في تصنيف الأطفال بوصفهم بالغين.

Read article

المهاجمون يتحركون في الوقت نفسه الذي يتحرك فيه المدافعون

هذه ليست قصة عن دفاع أكثر كفاءة فقط. فالأدوات نفسها التي تساعد الباحثين الأخلاقيين على العثور على الثغرات يمكن أن تساعد المهاجمين على تطوير الاستغلالات. وهذه الموازاة هي أحد الأسباب التي تجعل هذا التحول أكثر جدية من مجرد زيادة مؤقتة في حجم المشاركات.

ويصف النص الأصلي المجال بأنه يتغير بالتزامن لدى المهاجمين أيضا. وإذا تسارع تطوير الاستغلالات، فقد تتآكل الافتراضات المريحة التي دعمت معايير الإفصاح طويلا. وعلى وجه الخصوص، قد تتعرض نافذة الإفصاح التقليدية البالغة 90 يوما لضغط إذا اعتقدت الشركات أن المهاجمين قادرون على تسليح الثغرات بسرعة أكبر من السابق.

وقال الباحث الأمني Himanshu Anand، المقتبس في المقال، إن نافذة الإفصاح المسؤول لمدة 90 يوما بُنيت لعالم كان فيه مكتشفو الثغرات نادرين وكان تطوير الاستغلالات بطيئا. ويعكس هذا الطرح المشكلة البنيوية. فسياسة الإفصاح مبنية على وتيرة الاكتشاف والاستغلال. وإذا غيّر الذكاء الاصطناعي كليهما، فقد لا يعود الإطار السياسي متوافقا مع الواقع.

الوفرة الحالية قد لا تدوم إلى الأبد

من النقاط الأكثر إثارة للاهتمام في التقرير أن طفرة المكافآت الحالية قد تكون انتقالية. فقد أشار Thacker إلى أن الباحثين يجمعون حاليا الثغرات السهلة الوصول، لكن العام المقبل قد يشهد عددا أقل من الثغرات المُقدَّمة لأن كثيرا من هذا المجال الأسهل سيكون قد غُطّي بالفعل. وإذا حدث ذلك، فقد تواجه الشركات دورة ترتفع فيها المدفوعات الآن ثم قد تضطر إلى الارتفاع مجددا لاحقا لجذب الانتباه إلى فئات أصعب من العيوب.

وسيكون ذلك بمثابة تحول كبير في اقتصاد مكافآت الثغرات. فبدلا من أسواق مستقرة لاكتشافات الخبراء النادرة، قد تواجه المؤسسات موجات من الاكتشاف المعزز بالذكاء الاصطناعي: وفرة أولا، ثم استنزاف للأهداف الواضحة، ثم منافسة على الباحثين القادرين على التعمق أكثر.

وفي الوقت نفسه، يتعين على الشركات أن تقرر ما إذا كانت عملياتها الأمنية الحالية سريعة بما يكفي لهذا البيئة. فصفوف الفرز، وتطوير التصحيحات، وتنسيق الإفصاح، والتواصل مع المستخدمين تصبح كلها أكثر أهمية عندما تتقلص المدة بين اكتشاف الثغرة وإمكانية استغلالها.

Anthropic Is Now Worth More Than OpenAI
More in Culture

قفزة تقييم Anthropic تعيد رسم ترتيب قادة الذكاء الاصطناعي

تقول Anthropic إن جولة تمويل جديدة تضع قيمة الشركة فوق OpenAI، لكن المقارنة تأتي مع تحفّظات كبيرة تتعلق بالتوقيت والمحاسبة وضجيج السوق الخاصة.

Read article

قد تحتاج برامج الأمن إلى إعادة تصميم، لا مجرد زيادة في الميزانية

الدرس المرجح هو أن المؤسسات لا يمكنها التعامل مع صيد الثغرات المدعوم بالذكاء الاصطناعي بوصفه مجرد زيادة في التكلفة. فالمزيد من الأموال للمكافآت قد يساعد، لكنه لن يحل مشكلة سير العمل الأساسية إذا بقيت آليات الاستقبال وتحديد الأولويات والمعالجة مضبوطة على عصر أبطأ.

وقد تحتاج البرامج إلى تعديل عتبات الخطورة، وأتمتة أجزاء من التحقق، وإعادة التفكير في جداول الإفصاح، والتمييز بصورة أوضح بين النتائج عالية القيمة والضوضاء السائدة. ولا شيء من ذلك سهل، خاصة أن برامج المكافآت تحمل أيضا قيمة سمعة: فإذا توقف الباحثون عن النظر إليها على أنها فعالة أو عادلة، فقد يوجه أفضل المواهب جهودها إلى مكان آخر.

  • أنظمة الذكاء الاصطناعي تجعل اكتشاف ثغرات البرمجيات وتوليد الاستغلالات أسهل.
  • برامج مكافآت الثغرات تشهد تدفقا أكبر في النتائج، ما يغير اقتصاد المدفوعات والفرز.
  • قد تتمكن الشركات الكبرى من امتصاص الضغط بسهولة أكبر من المؤسسات الأصغر.
  • قد يزيد تطوير الاستغلالات الأسرع الضغط على جداول التصحيح ومعايير الإفصاح البالغة 90 يوما.

والخلاصة الأوسع بسيطة. الذكاء الاصطناعي يسرع جانبي المنافسة الأمنية. وبالنسبة لموردي البرمجيات، لم يعد السؤال ما إذا كان اكتشاف الثغرات سيتسارع. لقد حدث ذلك بالفعل. والسؤال الآن هو ما إذا كانت المؤسسات التي صُممت لاقتصاد أمني أبطأ قادرة على التكيف قبل أن يستغل المهاجمون الفجوة.

هذه المقالة مبنية على تقرير من Wired. اقرأ المقال الأصلي.

Originally published on wired.com