يعيد الذكاء الاصطناعي تشكيل صيد الثغرات

بعد عقد من انتقال برامج مكافآت الثغرات من ممارسة أمنية متخصصة إلى سياسة مؤسسية سائدة، موجة جديدة من أدوات الذكاء الاصطناعي تقلب اقتصاديات بحوث الثغرات. الأنظمة الوكيلة للذكاء الاصطناعي تصبح أفضل في كل من اكتشاف نقاط الضعف في البرامج وتطوير الاستغلالات، ما يفيض برامج الإفصاح بالمزيد من البلاغات حتى عندما تكتشف المؤسسات المزيد من الأخطاء بنفسها.

النتيجة هي تشديد سباق تسلّح بين الباحثين والشركات والمهاجمين. الباحث الأمني المستقل جوزيف ثاكر، الذي بنى أدوات وطرقًا لاستخدام الذكاء الاصطناعي في عمله، قال إنه قدّم تقريبًا ثلاثة أضعاف عدد الثغرات مقارنةً بهذا الوقت من العام الماضي. ويتوقع أن يطال الضغط الشركات الكبيرة أولًا.

"أظن أن شركة مثل Google ستنفق ما بين ضعفي و10 أضعاف ما أنفقته على مكافآت الثغرات العام الماضي،" قال ثاكر.

وأضاف أن شركات التكنولوجيا الكبيرة قادرة على استيعاب الزيادة، لكن كثيرين غيرها لا يستطيعون ذلك. من وجهة نظره، الأنظمة الذكية بدأت بالفعل في العثور على الثغرات الأسهل، وقد يكون هناك العام القادم عدد أقل من الثغرات السهلة المتاحة للإبلاغ لأن كثيرًا منها سيتم العثور عليه مسبقًا.

مهلة الإفصاح تحت الضغط

هذا التحوّل يتحدّى أيضًا الأعراف الراسخة بشأن الإفصاح المسؤول. كتب الباحث الأمني هيمنشو أناند في وقت سابق من هذا الشهر أن نافذة الإفصاح البالغة 90 يومًا بُنيت لعالم كانت فيه مكتشفي الثغرات نادرين وتطوير الاستغلالات بطيئًا، مضيفًا أن نماذج اللغة الكبيرة قلصت كلا الخطين الزمنيّين.

قد يدفع هذا الضغط المطورين لإصدار تصحيحات أسرع، خاصة إذا أمكن للمهاجمين اكتشاف العيوب وتسليحها بسرعة أكبر من ذي قبل. وقد يجبر ذلك المنظمات أيضًا على تحسين سرعتها في نشر الإصلاحات داخليًا، وهي عملية كانت دائمًا صعبة لأن التصحيحات قد تخلق مشاكل جديدة إذا نُشرت دون اختبار كافٍ.

برامج مكافآت الثغرات نفسها قد تطورت بالفعل بشكل كبير. عندما أطلقت Apple برنامج مكافآتها في 2016، كانت أعلى مكافأة 200,000 دولار. رفعت الشركة ذلك إلى 1 مليون دولار في 2019 ثم إلى 2 مليون دولار العام الماضي.

الآن، مع زيادة الذكاء الاصطناعي لكل من عرض الثغرات وسرعة إنشاء الاستغلالات، يقول الباحثون إن المرحلة التالية من بحوث الثغرات من المرجح أن تبدو مختلفة جدًا عن المرحلة التي تسبقها.

المصادر:

wired.com