عندما أعلن قاموس Collins عن “كلمة العام” لعام 2025، تفاجأ الكثيرون برؤية البرمجة الحماسية تحتل الصدارة.
يصف هذا المصطلح استخدام أدوات الذكاء الاصطناعي لبناء البرمجيات من خلال المطالبات بدلاً من البرمجة التقليدية، وهي ممارسة تزايدت مع زيادة إمكانية الوصول إلى نماذج اللغات الكبيرة.
مدير أول لمكتب التكنولوجيا الميداني في CyberArk.
إن ظهور البرمجة الحيوية يجلب وعدًا حقيقيًا. يمكنه فتح البرمجة أمام جمهور أوسع، وبناء المعرفة التقنية، والقضاء على العمل المتكرر. ولكنه يأتي أيضًا بمخاطر كبيرة، خاصة بالنسبة للمستخدمين الذين لا يفهمون بشكل كامل الكود الذي يتم إنشاؤه نيابة عنهم.
القضية الأساسية بسيطة. يمكن أن يؤدي تشغيل تعليمات برمجية غير موثوقة أو لم يتم فحصها إلى تعريض الأنظمة لتهديدات أمنية خطيرة، سواء من خلال الثغرات الأمنية الدقيقة التي يتم تقديمها دون ملاحظة المستخدم أو التنفيذ غير المقصود لتعليمات برمجية ضارة.
مخاطر التعليمات البرمجية غير المدققة
لا يتمتع المبرمجون التقليديون، خاصة في سياق الأعمال، بمعرفة شاملة بتطوير البرمجيات فحسب، بل بالأنظمة المحددة التي يقومون بتطوير الكود لها.
يمكنهم حقًا فهم الكود الذي يكتبونه، وما الذي يفعله بالضبط على الجهاز. تتضمن هذه العملية التقليدية أيضًا اختبارات صارمة ومراجعة التعليمات البرمجية وفحوصات الأمان قبل أي نشر عملي.
على الرغم من أن توفير الوقت والتكلفة للبرمجة الحيوية قد يكون أمرًا جذابًا، إلا أنه غالبًا ما يأتي على حساب الخبرة والإشراف الذي توفره البرمجة التقليدية. على سبيل المثال، غالبًا ما تكون التعليمات البرمجية التي ينشئها الذكاء الاصطناعي عامة، حتى عندما يتم إنشاؤها من مطالبات واسعة النطاق.
تفتقر LLMs إلى سياق سياسات وبروتوكولات الأمن السيبراني وإدارة الهوية وحماية البيانات الخاصة بالشركة، وقد تنتهكها عن غير قصد.
في بعض الحالات، يمكن أن تؤدي التعليمات البرمجية التي لم يتم فحصها أيضًا إلى كشف بيانات الاعتماد الحساسة أو فتح ثغرات أمنية في النظام دون أن يدرك ذلك أي مطور هاوٍ.
في الواقع، وفقًا لبحث حديث أجرته جامعة كورنيل، فإن 25-30% من 733 مقتطفًا من التعليمات البرمجية التي تم إنشاؤها بواسطة LLM المشهورة تحتوي على عيوب أمنية خطيرة، تشمل 43 نقطة ضعف مشتركة مختلفة (CWEs) يمكن استغلالها بسهولة من قبل المهاجمين.
هجمات سلسلة التوريد والتعليمات البرمجية “المسمومة”
على الرغم من أن التعليمات البرمجية التي تم إنشاؤها بواسطة LLM قد لا تحتوي دائمًا على نقاط ضعف أو عناصر ضارة، إلا أنها ليست آمنة تلقائيًا. يتم تدريب العديد من نماذج الذكاء الاصطناعي على مستودعات التعليمات البرمجية العامة ويمكن أن تعتمد دون قصد على وظائف خارجية من تلك المصادر.
المهاجمون يدركون ذلك جيدًا. ومن خلال استهداف المستودعات التي يمكن الوصول إليها بشكل عام والتي من المحتمل أن يقوم الحاصلون على ماجستير إدارة الأعمال أو أدوات الذكاء الاصطناعي الأخرى باستخلاصها، يمكنهم اختراق أعداد كبيرة من مقتطفات التعليمات البرمجية التي تم إنشاؤها بواسطة الذكاء الاصطناعي في وقت واحد. حتى المشاريع التي تبدو آمنة يمكن أن تتأثر إذا كانت مكتبات التعليمات البرمجية الخاصة بها تنشأ من مصادر تم التلاعب بها أو التلاعب بها.
إذا قام نموذج الذكاء الاصطناعي بمصادر تعليمات برمجية “مسمومة” دون قصد، فمن الممكن تكرارها عبر آلاف المشاريع في غضون ثوانٍ.
اعتمادًا على مدى انتشار التعليمات البرمجية، يمكن أن يكون الضرر كبيرًا، بدءًا من جمع البيانات الحساسة إلى نشر البرامج الضارة مثل أدوات الوصول عن بُعد أو برامج الفدية، أو حتى البقاء خاملًا في الأنظمة حتى يتم تنشيطها بواسطة مهاجم.
هل يمكن أن تكون برمجة vibe آمنة على الإطلاق؟
توفر تقنية Vibe coding مزايا واضحة، مثل التطوير والنشر بشكل أسرع، ولكن لا يزال يتعين على الشركات التعامل معها بنفس مستوى الحذر الذي قد تطبقه على أي تقنية جديدة.
على سبيل المثال، تظل الرقابة البشرية ضرورية، ويجب على مجالس الإدارة وفرق الامتثال وقادة تكنولوجيا المعلومات أن يطلبوا مراجعات شاملة لجميع التعليمات البرمجية التي ينشئها الذكاء الاصطناعي دون استثناء. يجب فحص التعليمات البرمجية التي ينتجها الذكاء الاصطناعي بنفس الدقة التي يتم بها فحص التعليمات البرمجية المكتوبة بواسطة الإنسان، بغض النظر عن مدى اكتمال أو دقة المطالبة.
أمن البيانات هو اعتبار حاسم آخر. إن إدخال معلومات سرية أو مملوكة في أدوات الذكاء الاصطناعي، وخاصة العامة منها، يزيد بشكل كبير من خطر التعرض لها.
ولتقليل ذلك، يجب أن تعتمد الفرق على LLMs الخاصين المدربين على البيانات الداخلية الموثوقة حيثما أمكن ذلك. يجب أيضًا أن يتم الحصول على مكتبات الأكواد من الداخل، أو، عندما تكون هناك حاجة إلى خيارات خارجية، يتم استخلاصها من المستودعات الرسمية التي يتم مراقبتها بشكل نشط بحثًا عن تغييرات غير مصرح بها.
يوفر التحكم في الوصول طبقة إضافية من الحماية. وينبغي منح التعليمات البرمجية التي ينشئها الذكاء الاصطناعي الأذونات اللازمة فقط لكي تعمل، ويجب على الشركات أن تتبنى ممارسات إدارة الهوية الحديثة القائمة على مبادئ الثقة المعدومة.
يتضمن ذلك التحقق الصريح من كل هوية وإزالة حقوق الوصول بمجرد عدم الحاجة إليها. ومن خلال تقييد الأذونات بهذه الطريقة، حتى لو تم نشر تعليمات برمجية ضارة، فإن قدرتها على التنقل عبر الأنظمة أو الوصول إلى البيانات الحساسة تصبح مقيدة بشكل كبير.
البرمجة الحيوية موجودة لتبقى
سواء أحببتها أو كرهتها، البرمجة الحماسية موجودة لتبقى. ويمكنه تسريع عملية التطوير، وجعل البرمجة في متناول الفرق غير التقنية وتحقيق وفورات كبيرة في الوقت والتكلفة. ليس من المستغرب أن ترغب العديد من الشركات في الاستفادة منه.
ولكن بدون رعاية، يمكن أن تؤدي البرمجة الحماسية أيضًا إلى زيادة التعرض للمخاطر السيبرانية. تحتاج المؤسسات إلى تحقيق التوازن بين التجريب والرقابة القوية والسياسات والمراجعة الشاملة، وفهم أين تضيف البرمجة الحيوية قيمة وأين تفوق المخاطر المكافأة.
يمكن للذكاء الاصطناعي كتابة التعليمات البرمجية بسرعة ملحوظة، ولكن البشر وحدهم هم من يمكنهم التحقق من أن الإخراج آمن. في بعض المواقف، سيظل التشفير التقليدي أو تدخل الخبراء هو الخيار الأكثر ذكاءً. قد توفر برمجة Vibe الراحة، ولكنها لا تستحق المخاطرة دائمًا.
لقد عرضنا أفضل برامج التشفير.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات