أظهر مسح أجرته شركة Emerald Research على 225 من القيادات الأمنية في مستويات الإدارة العليا أن 68% منهم قلقون من المخاطر الناتجة عن برمجيات ومكونات الطرف الثالث، في حين أقر 60% بأن وتيرة تطور المهاجمين تتجاوز قدرتهم على الحفاظ على المرونة. وأبرز التقرير تزايد التوتر بين الامتثال التنظيمي وتحقيق الأمن الفعلي، مع دعوات إلى ضوابط أقوى، وتسريع المعالجات التصحيحية، وتحسين الرؤية تجاه مخاطر الذكاء الاصطناعي المتنامية.
تظل أدوات الطرف الثالث في صدارة المخاوف، لكن الذكاء الاصطناعي التوليدي يقترب سريعاً، حيث عبّر نحو نصف المشاركين عن عدم ارتياحهم لخصائصه، بما في ذلك النماذج اللغوية الكبيرة، بينما يرى 68% من القيادات أن النشر الآمن لهذه التقنيات أصبح أولوية حيوية لدى مجالس الإدارة.
اختبارات الاختراق على تطبيقات الذكاء الاصطناعي أظهرت أن 32% منها تحتوي على ثغرات عالية الخطورة، وهي نسبة تفوق الفئات الأخرى من الأنظمة، وغالبية هذه العيوب ليست جديدة بل مشكلات كلاسيكية مثل حقن SQL وXSS المخزن.
تعقيد سلاسل الإمداد البرمجية زاد من القلق، حيث تعتمد المؤسسات على مزيج من الأكواد الخاصة والمفتوحة المصدر والخدمات الخارجية، وأفاد 73% من التنفيذيين أنهم تلقوا إشعاراً واحداً على الأقل بثغرة أو حادثة مرتبطة بسلسلة الإمداد خلال العام الماضي. وفي المقابل، يواجه 83% حالياً متطلبات رسمية لإثبات أمن الموردين، وأكثر من نصفهم يفرض اختبارات اختراق وتقارير ثغرات من الموردين.
كما تلعب هذه الإجراءات دوراً في العلاقات مع العملاء، إذ يرى 74% من القيادات أن الاختبار الدوري الموثق يعزز المصداقية ويمثل ميزة تنافسية في المشتريات. لم يعد اختبار الاختراق مجرد إجراء شكلي، بل أصبح مكوناً محورياً في برامج الأمن المؤسسي، حيث يعتبره 88% من القيادات أمراً أساسياً، ويستخدمه أكثر من نصفهم للتحقق من برمجياتهم، بينما يفرض آخرون اختبارات للطرف الثالث قبل طرح البرمجيات للعملاء.
تخطط 49% من المؤسسات لاستخدام الاختبارات لكشف ثغرات سلاسل الإمداد البرمجية، و44% لاكتشاف التهديدات الداخلية. ويتم دمج الممارسات في دورة تطوير البرمجيات بالكامل وفي إجراءات التوريد.
الذكاء الاصطناعي التوليدي برز كمصدر خطر جديد وغير متوقع، حيث يعتقد 66% أنه يساعد المهاجمين على تحليل البيانات وتجنب الدفاعات، ويخشى أكثر من نصفهم من قدرته على أتمتة دورة الهجوم بالكامل، في حين أبدى 62% قلقاً من إدخال أدوات تطوير الذكاء الاصطناعي لثغرات خفية في الأكواد. وتتركز المخاوف على سرقة الملكية الفكرية وتسميم النماذج، إلى جانب تسرب بيانات التدريب، والاستخدام غير المصرح به للمنصات، والتحيز في المخرجات.
تطالب الفرق الأمنية بأدوات ومعايير جديدة، إذ يريد أكثر من نصفهم أدوات مخصصة لتقييم أمن الذكاء الاصطناعي قبل النشر، وإرشادات حول استخدامه في الدفاعات، و48% يطلبون أطر عمل لرصد الهجمات المعتمدة عليه والرد عليها. ويشير التقرير إلى أن غياب هذه الضوابط قد يجعل الابتكار على حساب الأمن والسمعة على المدى الطويل.
تدفع هذه التطورات مديري أمن المعلومات إلى تبني نهج هجومي أكبر، مع دمج اختبار الاختراق في اتفاقيات الموردين وتطبيق نفس المعايير على أنظمة الذكاء الاصطناعي كما هو الحال مع البنية التحتية التقليدية. ويوصي التقرير بجعل اختبار الاختراق جزءاً غير قابل للتفاوض في المشتريات ودورة تطوير البرمجيات بالكامل.
