تحديات أمنية تواجه وكلاء البرمجة المعتمدين على الذكاء الاصطناعي

كشف تقرير حديث عن استمرار وكلاء البرمجة المعتمدين على الذكاء الاصطناعي في إعادة إنتاج أخطاء أمنية تقليدية، وذلك على الرغم من التطور الملحوظ الذي حققته هذه الأدوات في صياغة الشيفرات البرمجية وتسريع دورات تطوير البرمجيات.

وفي هذا السياق، خلصت نتائج دراسة متخصصة أجرتها شركة DryRun Security، لتقييم كفاءة هذه التقنيات،  إلى رصد ثغرات أمنية في 26 طلب دمج من أصل 30 طلباً تم فحصه، ما يشير إلى نسبة خطأ بلغت 87%.

استندت هذه النتائج إلى اختبارات دقيقة شملت ثلاثاً من أبرز أدوات الذكاء الاصطناعي في هذا المجال، وهي Claude Code المقدمة من شركة Anthropic، وOpenAI Codex، بالإضافة إلى أداة Google Gemini.

ثغرات أمنية متكررة في بناء التطبيقات المتكاملة

اعتمدت الدراسة في منهجيتها على تكليف أدوات الذكاء الاصطناعي ببناء تطبيقين من الصفر ضمن مسار عمل تطويري اعتيادي ومتدرج، مع الحرص على عدم إدراج أي توجيهات أمنية محددة داخل الأوامر البرمجية. شمل المشروع الأول تطبيق ويب أطلق عليه اسم FaMerAgen مخصصاً لتتبع حساسية الأطفال وبيانات الاتصال العائلية، بينما تمثل المشروع الثاني في تطوير لعبة سباق عبر المتصفح باسم Road Fury تتضمن واجهة خلفية ونظاماً لتسجيل النتائج ووظائف للعب الجماعي.

قام الباحثون بمراجعة كل طلب دمج فور تقديمه، مع إجراء فحص شامل للشيفرة البرمجية قبل البدء في التطوير وعند اكتمال دمج الخصائص النهائية. وأسفرت عمليات الفحص التي بلغ عددها 38 عملية وشملت 30 طلب دمج عن رصد 143 مشكلة أمنية متنوعة، أثبتت أن الخلل البرمجي لم يكن حالة عارضة أو مرتبطاً بأداة تقنية بعينها.

وأظهرت نتائج الفحص النهائي تفاوت الإصابات الأمنية بين الأدوات؛ ففي تطبيق اللعبة سجلت نسخة Claude 8 مشكلات، ونسخة Gemini سجلت 7، بينما سجلت نسخة Codex 6 مشكلات. أما في تطبيق الويب، فقد ارتفعت وتيرة الثغرات لتصل إلى 13 مشكلة في نسخة Claude، و11 في Gemini، و8 في Codex.

تؤكد هذه النتائج حقيقة تقنية مفادها أن سرعة إنتاج شيفرة برمجية تعمل بفعالية لا تعني بالضرورة بناء ضوابط أمنية سليمة داخل المنطق البرمجي أو مسارات المصادقة والتفويض. ورغم التطور الكبير في قدرة هذه الأدوات على تنفيذ الوظائف التقنية المطلوبة، إلا أن الجانب الأمني ظل عرضة لأنماط من الأخطاء التقليدية المعروفة والمتكررة في عالم البرمجة.

تحليل نقاط الضعف في التحكم بالوصول وبروتوكولات OAuth

أظهرت الدراسة تكراراً ملحوظاً في فئات الضعف الأمني بين الوكلاء الثلاثة في كلا التطبيقين، حيث تصدرت مشكلات التحكم في الوصول قائمة الثغرات، وتمثلت في وجود نقاط نهاية حساسة تعمل دون إجراء تحقق كافٍ من الهوية، ما يفتح ثغرات مباشرة في بنية التطبيقات.

وفيما يخص تطبيق اللعبة، رصد الباحثون أخطاء جوهرية في منطق الأعمال؛ إذ قبلت الأنظمة درجات اللاعبين وحالات فتح المستويات الجديدة بناء على بيانات مرسلة من جهة العميل فقط، دون تنفيذ عمليات تحقق موازية ومستقلة على جهة الخادم، وهو خلل أمني جسيم في تطبيقات الألعاب الجماعية.

أما تطبيق الويب، فقد شهد تكراراً لأخطاء تنفيذ بروتوكول OAuth في كافة خيارات تسجيل الدخول الاجتماعي، وشمل ذلك غياب معاملات الحالة الحيوية، وضعف آليات ربط الحسابات، ما يجعل مسارات المصادقة عرضة للاختراق.

كشفت التفاصيل الفردية لكل أداة عن تباين واضح في نوعية الثغرات المتبقية في المنتج النهائي؛ فقد أنهى Codex العمل بأقل عدد من الثغرات الإجمالية، إلا أنه ترك رموزاً مميزة (Tokens) حساسة ومكشوفة داخل الشيفرة النهائية. وفي المقابل، سجل Claude العدد الأكبر من المشكلات، تضمنت بشكل لافت آلية أدت إلى تعطيل التحقق الثنائي (2FA).

من جانبه، احتفظ Gemini بمشكلات تتعلق بتزوير الطلبات عبر المواقع (CSRF) ضمن بروتوكول OAuth، بالإضافة إلى وجود تجاوزات أمنية في نظام الدعوات. وتؤكد هذه النتائج وجود حدود تقنية واضحة في فهم هؤلاء الوكلاء لمبادئ الأمن البرمجي، حيث يظهر عجزهم أحياناً عن استيعاب حدود الثقة أو الالتزام بمبادئ المنع الافتراضي ومنح أقل الصلاحيات.

التوصيات التشغيلية ومستقبل الأتمتة الأمنية

انتهى التقرير إلى مجموعة من التوصيات العملية التي تشدد على ضرورة فحص كل طلب دمج بشكل منفصل وعدم الاكتفاء بالفحص النهائي، وذلك لتجنب تراكم المخاطر الأمنية مع إضافة كل ميزة برمجية جديدة إلى النظام. كما أكد الباحثون على أهمية دمج المراجعة الأمنية منذ مراحل التخطيط والتصميم الأولى، مع ضرورة الاعتماد على أدوات التحليل الأمني السياقي القادرة على استيعاب تدفق البيانات وفهم تقاطعاتها.

شملت الأنماط الأمنية المرصودة في الدراسة ثغرات تتعلق بإعدادات غير محكمة لرموز JWT، وضعفاً في إدارة الحالة، بالإضافة إلى غياب الحماية الفعالة ضد هجمات التخمين (Brute Force) وقصور في آليات تحديد معدل الطلبات، وهي ثغرات تؤثر بشكل مباشر على استقرار وأمن التطبيقات.

بالتزامن مع هذه التحديات، يتجه السوق التقني نحو تعزيز الأتمتة الأمنية؛ حيث أعلنت OpenAI عن إطلاق Codex Security كوكيل متخصص في أمن التطبيقات، يعمل على بناء نموذج تهديد خاص بكل مشروع ويقترح إصلاحات برمجية عملية.

وفي سياق متصل، تروج شركة Anthropic لقدرات Claude Opus 4.6 المتقدمة في مراجعة الشيفرات داخل القواعد البرمجية الضخمة، بينما توفر Google عبر واجهة Gemini CLI أدوات تعتمد على حلقة ReAct لإصلاح العيوب وتحسين التغطية الاختبارية. تعكس هذه التحركات توجهاً استراتيجياً في الصناعة نحو إضافة طبقات حماية ذكية قادرة على مواكبة السرعة المتزايدة في عمليات التطوير البرمجي.