الصفحة الرئيسية
AI-Tools

الكود المكتوب بالذكاء الاصطناعي غير ما تحتاجه أدوات SAST للقبض عليه

Cybersecurity Arab

لكن الكود الوظيفي ليس هو نفسه الكود الآمن. الكود الذي ينتجه الذكاء الاصطناعي غير شكل مخاطر البرمجيات. ليست المسألة فقط أن نماذج اللغة الكبيرة تكتب "كودًا سيئًا". في كثير من الحالات، يكتبون كودًا يبدو مصقولًا، يتبع نمط إطار مألوف، ويحَلّ المهمة المطلوبة. المشكلة أعمق: قد يكون الكود صحيحًا وظيفيًا لكنه غير آمن، أو قديم، أو مفرط الصلاحيات، أو خاطئ في السياق.

AI-Written Code Has Changed What SAST Needs to Catch

هذا الاختلاف مهم لأن اختبار أمان التطبيقات الساكن (SAST) صُنع لعالم يكتب فيه المطورون الكود بسرعة بشرية وتراجع فرق الأمان أنماط المخاطر المتوقعة. الذكاء الاصطناعي غير الجانبين من هذه المعادلة. حجم الكود يتزايد، الالتزامات أصغر، والأنماط غير الآمنة يمكن الآن توليدها على نطاق واسع. النتيجة سؤال جديد للفرق: ما الذي يجب أن يلتقطه SAST عندما لا يكون مؤلف الكود بالضرورة إنسانًا؟

الكود العامل لم يعد إشارة قوية

لسنوات، استخدمت الفرق هرمًا تقريبيًا للثقة. إذا كان الكود يُترجم، ينجح الاختبارات، وينجو من مراجعة الأقران، يقترب من الإنتاج. أضاف فحص الأمان طبقة أخرى، لكن الوظيفة ظلت البوابة الأولى. مساعدات البرمجة بالذكاء الاصطناعي تعطل هذا الهرم لأنها جيدة جدًا في إنتاج كود يبدو مكتملًا. يمكنها استنتاج القوالب، ربط الـ APIs، توليد معالجة الأخطاء، ومطابقة أسلوب المستودع الحالي. هذا يجعلها مفيدة، لكنه يجعل أخطائها أصعب في الاكتشاف. قد يمر المراجع البشري على دالة مكتوبة بالذكاء الاصطناعي ويقول: "هذا يبدو طبيعيًا". وهذا هو الخطر بالضبط.

صورة توضيحية
صورة توضيحية

العديد من الثغرات التي يولدها الذكاء الاصطناعي ليست غريبة. إنها مشكلات مألوفة مثل عيوب الحقن، التحقق الضعيف، الإعدادات غير الآمنة، التسلسل غير الآمن، مشاكل التسجيل، واختيار تبعيات قديمة. أظهر تحديث أمان الكود للذكاء الاصطناعي من Veracode لربيع 2026 أن نماذج البرمجة أصبحت أقوى بكثير في إنتاج كود صحيح نحويًا مقارنةً بالكود الآمن. بمعنى آخر، الذكاء الاصطناعي يصبح جيدًا جدًا في كتابة برنامج يعمل، لكن هذا لا يعني أنه يصبح جيدًا بالمثل في كتابة برنامج يمكن الوثوق به.

نموذج SAST القديم بُني لعنق زجاجة بشري

كان على SAST التقليدي دائمًا مهمة صعبة: فحص الكود المصدر، ربط الأنماط بالضعف المعروف، وتنبيه الفرق قبل شحن الكود الضعيف. في دورة تطوير تقليدية، يخلق هذا احتكاكًا: تنبيهات كثيرة، إيجابيات كاذبة، ووقت غير كافٍ لإصلاح كل شيء. يجعل الذكاء الاصطناعي الأمر أصعب بإزالة أحد القيود الخفية في التطوير: سرعة الكتابة البشرية. عندما يستطيع المساعد توليد خدمة، ملف اختبار، تكامل API، ومقتطف تكوين في جلسة واحدة، لا يمكن للمراجعة الأمنية الاعتماد على نفس الافتراضات.

الخطر ليس سطرًا واحدًا غير مبالي. إنه تضاعف الكود المعقول عبر عشرات الملفات، كل منها يتضمن قرارات صغيرة اتخذها النموذج نيابة عن الفريق. هنا تحتاج أدوات SAST الحديثة إلى التطور. لا يمكنها مجرد فحص توقيعات الثغرات المعروفة بعد أن يصبح طلب السحب شبه مكتمل. يجب أن تعمل أقرب إلى سير عمل المطور، تفهم أنماط التغييرات المدعومة بالذكاء الاصطناعي، وتساعد الفرق على فصل الأتمتة غير الضارة عن الأتمتة الخطرة.

الذكاء الاصطناعي يضيف ديون أمان بسرعة الآلة

الديون التقنية ليست جديدة. ديون الأمان أخطر: تتراكم عندما تظل الثغرات والافتراضات الضعيفة والاختصارات الخطرة في قاعدة الكود لأنها ليست عاجلة بما يكفي للإصلاح اليوم. يمكن للذكاء الاصطناعي تسريع هذه العملية. قد يطلب مطور من المساعد "إضافة مصادقة" أو "تنظيف هذا الإدخال" أو "ربط هذه النقطة النهاية بقاعدة البيانات". عادةً ما يقدم النموذج إجابة. لكن ما لم يتضمن الطلب قيود أمان صحيحة، قد تعتمد الإجابة على ممارسات قديمة، تحقق غير كامل، أو إعدادات غير آمنة. والأسوأ، قد تكون كافية لتجاوز مراجعة سريعة.

هناك عدة أنماط خاصة بالذكاء الاصطناعي يجب أن يتعرف عليها SAST الآن:

  • قوالب تبدو آمنة: ينتج الذكاء كودًا يشبه أفضل الممارسات لكنه يفتقد تحكمًا مهمًا مثل فحص التفويض أو ترميز المخرجات.
  • افتراضات تبعيات قديمة: قد يقترح النموذج مكتبات أو إصدارات أو APIs بناءً على أنماط كانت شائعة في بيانات تدريبه لكنها لم تعد موصى بها.
  • إصلاحات غير مرتبطة بالسياق: يمكن للذكاء إصلاح العَرَض المحلي دون فهم تدفق التطبيق الأوسع، مما يخلق فجوات أمان أخرى.
  • قوالب ضعيفة متكررة: إذا أنتج نفس الطلب نمطًا معيبًا عبر مستودعات متعددة، يمكن أن ينتشر الضعف بهدوء عبر المؤسسة.

هذا ليس مجرد العثور على كود سيء. إنه اكتشاف متى تم إنتاج الكود دون سياق كافٍ.

SAST يحتاج إلى فهم النية، لا مجرد الصياغة

الجيل القادم من SAST سيحتاج إلى تجاوز المطابقة البسيطة للأنماط. لا تزال أنماط الثغرات المعروفة مهمة، ويجب التقاط العديد من العيوب الأساسية تلقائيًا. لكن الكود المكتوب بالذكاء الاصطناعي يرفع المستوى لأن الصياغة وحدها نادرًا ما تحكي القصة كاملة.

فكر في نقطة نهاية تسترجع سجلات العملاء. قد يستخدم الكود استعلامات معلمة، يتعامل مع الأخطاء بشكل صحيح، ويتجاوز فحوصات الحقن القياسية. لكن هل يفرض عزل المستأجر؟ هل يتحقق أن المستخدم الحالي مسموح له بالوصول إلى السجل المطلوب؟ هل يسجل بيانات حساسة؟ هذا النوع من التغييرات يطرح سؤالًا حول الخصوصية: إذا غير المنطق الذي يولده الذكاء ما يخزنه التطبيق أو يسجله أو يكشفه، تحتاج الفرق إلى فهم سلوك جمع البيانات كجزء من مراجعة الأمان. هذه ليست مشكلات صياغة فقط؛ إنها مشكلات نية.

SAST يحتاج إلى وعي أكبر بمنطق الأعمال، تدفق البيانات، اتفاقيات الإطار، والعلاقة بين التغيير وبقية التطبيق. الهدف ليس جعل SAST "قويًا بالذكاء الاصطناعي" لأغراض تسويقية. الهدف هو جعله واعيًا للسياق بما يكفي لالتقاط الأخطاء التي من المرجح أن يرتكبها الذكاء الاصطناعي.

المطورون لا يزالون بحاجة لتعلم الأمان، لكن بطريقة مختلفة

الأدوات الأفضل ستساعد، لكنها لن تلغي المسؤولية البشرية. تجعل مساعدات البرمجة بالذكاء الاصطناعي المطورين أكثر إنتاجية، لكنها تجعل من السهل على الفرق قبول كود لا يفهمونه بالكامل. هذا يخلق تحديًا تدريبيًا. التدريب السنوي التقليدي بطيء ومنفصل عن العمل اليومي. يحتاج المطورون إلى دروس قصيرة وعملية تُقدم بالقرب من لحظة اتخاذ القرار. هنا يصبح التعلم الصغير (microlearning) ذا صلة: لحظات تعليمية مركزة يمكنها تعزيز عادات الترميز الآمن دون سحب المهندسين من سير عملهم لساعات.

أفضل تعليم أمان في عصر البرمجة بالذكاء الاصطناعي سيشبه أكثر شرحًا في طلب سحب، أو تحذير IDE يُعلم بدلاً من أن يزعج، أو ملاحظة تصحيح قصيرة تشرح لماذا النمط الذي يولده الذكاء خطر.

عملية المراجعة يجب أن تتغير

كانت مراجعة الكود تجيب على أسئلة مألوفة: هل الكود قابل للقراءة؟ هل يحل المشكلة؟ هل يسبب أي عطل؟ يضيف الكود المكتوب بالذكاء الاصطناعي أسئلة جديدة: هل كان الطلب واعيًا بالأمان؟ هل أدخل النموذج تبعية؟ هل نسخ نمطًا من مكان آخر دون فهم سبب وجوده؟ هل تحقق المطور من المنطق أم فقط من المخرجات؟ لا يعني هذا أن كل تعديل مدعوم بالذكاء يحتاج إلى تحقيق جنائي. لكن الفرق تحتاج إلى طريقة خفيفة لتحديد التغييرات عالية المخاطر التي يولدها الذكاء.

المصادقة، التفويض، التشفير، تدفقات الدفع، تحميل الملفات، الوصول إلى قاعدة البيانات، التسجيل، وتكوين البنية التحتية تستحق تدقيقًا أكثر من نسخ النصوص UI أو أطر الاختبار.

الذكاء الاصطناعي لا يجعل SAST غير ذي صلة. بل يجعل SAST أكثر أهمية. مع تسارع توليد الكود وتعمقه في بيئات التطوير، لم يعد الافتراض القديم أن الكود غير الآمن يدخل ببطء عبر أيدي بشرية صحيحًا. يمكن للذكاء توليد برنامج مفيد، لكنه يمكنه أيضًا تضخيم الأنماط الضعيفة، الافتراضات القديمة، والإصلاحات غير المرتبطة بالسياق أسرع من عمليات المراجعة التقليدية.

الفائزون لن يكونوا الفرق التي تحظر أدوات البرمجة بالذكاء الاصطناعي. الفائزون هم الفرق التي تعيد تصميم تدفقات عمل الأمان حول الواقع الجديد: يمكن توليد الكود على الفور، لكن الثقة لا تزال تحتاج إلى اكتسابها. يجب أن يلتقط SAST أكثر من الأخطاء النحوية؛ يجب أن يلتقط النوايا المفقودة، السياق غير الآمن، الأنماط المتكررة للذكاء، وديون الأمان قبل أن تتراكم.

ديفيد بالابان باحث أمان حاسوبي يمتلك أكثر من 17 عامًا من الخبرة في تحليل البرمجيات الخبيثة وتقييم برامج مكافحة الفيروسات.

إرسال تعليق