أعلنت شركة OpenAI عن إطلاق نموذج جديد مخصص للأمن السيبراني يحمل اسم Aardvark، ويهدف إلى أتمتة عمليات البحث عن الثغرات الأمنية وتصحيحها في الشيفرات البرمجية المفتوحة والمغلقة المصدر.
يستند النموذج، الذي لا يزال في مرحلة الإصدار التجريبي ومتاح حالياً عبر الدعوات فقط، إلى قدرات ChatGPT-5، وهو مطور ليعمل بصورة مستمرة على مسح مستودعات الشيفرات، واكتشاف الثغرات المعروفة وتقدير خطورتها، ثم اقتراح التصحيحات اللازمة وإجراء عمليات المعالجة.
وقالت الشركة في مدونة رسمية إن Aardvark لا يعتمد على أساليب التحليل التقليدية مثل Fuzzing أو تحليل مكونات البرمجيات، بل يستخدم قدرات الاستدلال الآلي والنماذج اللغوية لفهم سلوك الشيفرة البرمجية ورصد الثغرات كما يفعل الباحثون الأمنيون البشريون، من خلال قراءة الشيفرة وتحليلها وتشغيل الاختبارات وتوظيف الأدوات المناسبة.
نموذج يدمج التفكير الأمني والتحليل البرمجي في نظام واحد
يوضح فريق OpenAI أن Aardvark قادر أيضاً على بناء نماذج تهديد استناداً إلى محتوى المستودعات وأهداف المشروع الأمنية وتصميمه، إضافة إلى إنشاء بيئات اختبار معزولة لاختبار قابلية استغلال الثغرات، ووضع ملاحظات توضيحية على الشيفرة، ثم إرسال التصحيحات المقترحة للمراجعة البشرية.
وبحسب بيانات الشركة، تمكن النموذج من تحديد 92% من الثغرات المعروفة والمضافة بشكل اصطناعي ضمن مستودعات اختبارية. كما أظهر قدرة على اكتشاف أخطاء منطقية ومشكلات خصوصية في الشيفرات. وسيتاح استخدام الماسح مجاناً لمطوري المشاريع مفتوحة المصدر غير التجارية، في خطوة تهدف إلى تعزيز أمن النظام الإيكولوجي للمصادر المفتوحة.
وفي سبتمبر الماضي، عدلت OpenAI سياسة الإفصاح المنسق عن الثغرات، لتبتعد عن الالتزام بمهل زمنية صارمة، معتبرة أن ذلك قد يضغط على المطورين، وتركز حالياً على نهج أكثر شمولاً لأمن المنظومة ككل. وتقول الشركة إنها ستوسع نطاق استخدام Aardvark تدريجياً مع تحسين قدرات الكشف والتحقق والتقارير.
وجاء في بيان الشركة أن “اكتشاف الثغرات مبكراً والتحقق من إمكانية استغلالها وتقديم حلول واضحة يمكن أن يعزز الأمن دون أن يبطئ الابتكار”.
سباق الذكاء الاصطناعي في أتمتة تصحيح الثغرات
يعكس إطلاق Aardvark توجه OpenAI نحو توظيف النماذج اللغوية في أتمتة عمليات فحص الشيفرات ومعالجة الثغرات، وهو مجال يشهد اهتماماً متزايداً خلال العام الماضي. وقد حدد النموذج حتى الآن 10 ثغرات نشرت لها معرفات CVE رسمية، ما يؤكد قدرته على المساهمة في الكشف عن ثغرات حقيقية قابلة للاستغلال.
وفي سياق متصل، طورت شركات أخرى مثل XBOW نماذج مشابهة تعتمد الذكاء الاصطناعي في مطاردة الثغرات، واستطاعت تحقيق نتائج لافتة في منصات BugCrowd وHackerOne، من خلال البحث المستمر عن الثغرات وتصحيحها على مدار الساعة.
ويقول أوجيه دي مور، مؤسس XBOW والمدير السابق لقسم GitHub Next، إن النموذج لديه إشراف بشري محدود في البداية ونهاية العملية، لكنه يعمل بشكل مستقل تماماً أثناء البحث عن الثغرات.
ويرى خبراء أن هذه النماذج تعد مفيدة بشكل خاص في معالجة الثغرات الصغيرة ومنخفضة الخطورة التي تغمر الإنترنت، ما يتيح للخبراء البشريين التركيز على الثغرات المعقدة والعالية التأثير. كما يشيرون إلى أن كثيراً من الهجمات الكبرى لا تستغل ثغرات اليوم صفر، بل تجمع بين نقاط ضعف متوسطة أو بسيطة في أنظمة غير محدثة.
لكن هناك جانباً آخر يثير الجدل، وهو استهلاك هذه النماذج للطاقة الحاسوبية. فبحسب دي مور، رغم أن نموذج XBOW عالج آلاف الثغرات ونال مكافآت مالية من برامج Bug Bounty، فإن العائدات لم تكن كافية لتغطية كلفة التشغيل العالية.
