تخطى إلى المحتوى الرئيسي

Slopsquatting: تهديد سلاسل توريد البرمجيات الجديد يولد من أدوات الذكاء الاصطناعي

فريق جلتش
منذ ساعة1 مشاهدة4 دقائق
Slopsquatting: تهديد سلاسل توريد البرمجيات الجديد يولد من أدوات الذكاء الاصطناعي

Slopsquatting يبرز كتهديد جديد لسلاسل توريد البرمجيات، متولداً من أخطاء أدوات البرمجة بالذكاء الاصطناعي. هذا يتطلب إعادة تقييم جذرية لممارسات الأمن السيبراني.

مقدمة تحليلية

يشير تقرير حديث، بياناته غير متوفرة بشكل تفصيلي، إلى أن 15% من حوادث سلسلة توريد البرمجيات المحتملة في الربع الأخير كانت مرتبطة بشكل ما بأخطاء توليد الأكواد من أدوات الذكاء الاصطناعي. هذا التهديد الناشئ، الذي أطلق عليه اسم 'Slopsquatting'، يمثل تطورًا خطيرًا عن أشكال الهجمات التقليدية مثل Typo-squatting أو Dependency Confusion. لم يعد القلق يقتصر على الأخطاء البشرية المتعمدة أو غير المقصودة؛ بل امتد ليشمل الأخطاء المولّدة بواسطة أنظمة الذكاء الاصطناعي التي باتت جزءًا لا يتجزأ من بيئة التطوير. هذا الواقع الجديد يفرض تحديات أمنية عميقة ويستدعي إعادة تقييم شاملة لكيفية بناء واختبار وتوزيع البرمجيات.

التحليل التقني

يكمن جوهر 'Slopsquatting' في استغلال ميل نماذج اللغة الكبيرة (LLMs) لـ 'الهلوسة' أو توليد اقتراحات برمجية غير دقيقة. عندما يستخدم المطورون أدوات مثل GitHub Copilot أو Amazon CodeWhisperer أو حتى ChatGPT لإنشاء أو إكمال الكود، فإن الذكاء الاصطناعي قد يقترح عن غير قصد أسماء حزم أو مكتبات غير موجودة أو مشوهة.

Slopsquatting: هجوم يستغل اقتراحات الذكاء الاصطناعي البرمجية غير الدقيقة لإدخال حزم ضارة. غالبًا ما تتغذى هذه النماذج على كميات هائلة من البيانات، بما في ذلك مستودعات الكود مفتوحة المصدر التي قد تحتوي على أخطاء إملائية أو حزم لم يتم صيانتها أو حتى حزم ضارة خفية. عندما يطلب المطورون من الذكاء الاصطناعي توليد كود لغرض معين (مثل الاتصال بواجهة برمجة تطبيقات معينة)، قد يقترح النموذج اسم حزمة تبدو منطقية لكنها خاطئة. على سبيل المثال، بدلاً من اقتراح 'requests' للحزم الشائعة في Python، قد يقترح 'request-s' أو 'reqests'. المشكلة تتفاقم عندما يقوم ممثل خبيث بتسجيل حزمة بهذا الاسم الخاطئ أو المشوه على مستودعات عامة مثل npm أو PyPI. يقوم المطور الذي يعتمد على اقتراح الذكاء الاصطناعي بتثبيت هذه الحزمة الضارة عن غير قصد، مما يفتح الباب أمام:

  • تنفيذ كود عن بُعد: الحزمة الضارة يمكنها تشغيل تعليمات برمجية خبيثة على نظام المطور أو نظام الإنتاج.
  • سرقة البيانات: استخراج مفاتيح API، بيانات الاعتماد، أو معلومات حساسة أخرى من بيئة التطوير.
  • حقن برمجيات خبيثة: تضمين أبواب خلفية (backdoors) أو برمجيات تجسس في المشاريع النهائية.
  • تعطيل الأنظمة: إدخال كود يسبب أعطالًا أو يقلل من استقرار التطبيق.
الجدير بالذكر أن أدوات الذكاء الاصطناعي لا تهدف إلى إنشاء حزم ضارة، لكن عيوبها في التوليد و"هلوساتها" اللغوية توفر أرضًا خصبة للمهاجمين الذين يتتبعون الأخطاء الشائعة في اقتراحات الذكاء الاصطناعي. تُظهر البيانات، غير المنشورة رسميًا، أن نسبة معينة من اقتراحات الكود التي يقدمها Copilot مثلاً تحتوي على أخطاء تركيبية أو منطقية قد لا يلاحظها المطورون الأقل خبرة. هذا يشير إلى أن مصدر الخطر ليس الذكاء الاصطناعي بحد ذاته، بل التفاعل بين قدراته التوليدية والتأكد البشري غير الكافي.

السياق وتأثير السوق

يضع Slopsquatting عبئًا جديدًا على شركات البرمجيات والمطورين، حيث يتجاوز التهديد أشكال الاستغلال السابقة:

  • Slopsquatting مقابل Typosquatting: يعتمد Typosquatting على الأخطاء الإملائية البشرية البسيطة. Slopsquatting يعتمد على أخطاء توليد الذكاء الاصطناعي، وهي أقل قابلية للتنبؤ بها وأكثر تنوعًا، مما يجعل الكشف عنها أصعب. المصدر هو خطأ الآلة، وليس الإهمال البشري المباشر.
  • Slopsquatting مقابل Dependency Confusion: يستغل Dependency Confusion كيفية حل مدير الحزم للتبعيات بين الحزم الداخلية والخارجية. Slopsquatting يهاجم مرحلة اختيار اسم الحزمة نفسها، حتى قبل محاولة الحل.
المنتصرون الواضحون في هذا السيناريو هم بائعو حلول أمن سلسلة توريد البرمجيات (Software Supply Chain Security) التي تدمج التحليل المدعوم بالذكاء الاصطناعي. هذه الأدوات يجب أن تتطور لفحص ليس فقط التبعيات المباشرة، بل أيضًا لاكتشاف الأنماط الشبيهة بالـ 'هلوسة' في الكود المقترح. الخاسرون هم بلا شك المطورون الذين يعتمدون بشكل أعمى على مخرجات الذكاء الاصطناعي دون مراجعة صارمة. كما أن مشاريع المصادر المفتوحة التي قد تستقبل مساهمات من مطورين يستخدمون هذه الأدوات دون تدقيق كافٍ ستكون عرضة للخطر. شركات مثل Microsoft (لمنتجات Copilot) وAmazon (لمنتجات CodeWhisperer) ستواجه ضغوطًا لتطوير آليات فحص أكثر صرامة لمخرجات الذكاء الاصطناعي الخاصة بها.

رؤية Glitch4Techs

Slopsquatting ليس مجرد تهديد أمني آخر؛ إنه مؤشر على نقطة ضعف بنيوية جديدة في ممارسات التطوير الحديثة. الاعتماد المفرط على أدوات الذكاء الاصطناعي لتوليد الكود دون تدقيق بشري مكثف هو وصفة لكارثة حتمية. الشركات التي تتبنى هذه الأدوات يجب أن تدمج مراجعة كود صارمة، وفحصًا آليًا للحزم والتبعيات يتجاوز الكشف التقليدي عن Typosquatting. فشل مطوري أدوات الذكاء الاصطناعي في معالجة 'هلوسات' التسمية بشكل فعال، وفشل الفرق الهندسية في وضع حواجز حماية مناسبة، سيؤديان حتمًا إلى اختراقات مدمرة لسلاسل التوريد. هذه مشكلة تتطلب استجابة فورية وحاسمة، وليس مجرد تحديثات أمنية دورية.

أعجبك المقال؟ شاركه

النشرة البريدية

كن أول من يعرف بمستقبل التقنية

أهم الأخبار والتحليلات التقنية مباشرة في بريدك.

مقالات قد تهمك