فايرفوكس وأنثروبيك: كيف يستخدمان الذكاء الاصطناعي للبحث عن ثغرات المتصفح

  • اكتشف برنامج Claude Opus 4.6، من شركة Anthropic، 22 ثغرة أمنية في متصفح Firefox، 14 منها ذات خطورة عالية، في غضون أسبوعين فقط.
  • قام الذكاء الاصطناعي بتحليل آلاف ملفات C++ ومحرك JavaScript، مما أدى إلى إنشاء أكثر من 100 تقرير مع حالات اختبار دنيا قابلة للتكرار.
  • قامت موزيلا بتصحيح جميع الثغرات الأمنية في فايرفوكس 148 وتخطط لدمج التحليل المدعوم بالذكاء الاصطناعي في سير عملها المعتاد.
  • توضح هذه الحالة كيف يمكن للذكاء الاصطناعي أن يعزز أمن البرمجيات في أوروبا وعلى مستوى العالم، على الرغم من أنه يشكل أيضاً مخاطر إذا تم استخدامه لأغراض هجومية.
Creativos Online

12 دقيقة

فايرفوكس والذكاء الاصطناعي البشري للكشف عن الثغرات الأمنية

انقطاع الذكاء الاصطناعي كأداة للأمن السيبراني حققت موزيلا قفزة نوعية بفضل التعاون بينها وبين أنثروبيك في تطوير متصفح فايرفوكس. ففي غضون أسابيع قليلة، تمكن نموذج ذكاء اصطناعي من تحديد عدد من الثغرات الأمنية في متصفح موزيلا مفتوح المصدر، وهي ثغرات كانت تتطلب في السابق شهورًا من العمل البشري المتخصص.

هذه التجربة، التي لها تأثير مباشر على مستخدمو فايرفوكس في إسبانيا وبقية أوروبالقد ساهم ذلك في قياس مدى قدرة نماذج اللغة اليوم عندما يتعلق الأمر بتدقيق التعليمات البرمجية الحقيقية، والدور الذي يمكن أن تلعبه في حماية البرامج التي يستخدمها مئات الملايين من الأشخاص يوميًا.

عندما يصبح الذكاء الاصطناعي أفضل مدقق أمني

في مجال أمن البرمجيات، يُعدّ تحديد الثغرة الأمنية قبل أن يكتشفها المهاجمون أمرًا بالغ الأهمية: فقد يُحدث ذلك فرقًا بين حماية ملايين المستخدمين أو تعريض بياناتهم للخطرفي هذا السياق، اختبرت موزيلا نهجًا غير عادي: السماح لذكاء اصطناعي متقدم بمراجعة شفرة المصدر لمتصفحها للعثور على نقاط الضعف قبل أن يفعل ذلك الباحثون أو مجرمو الإنترنت.

قبل أسابيع قليلة من إطلاق فايرفوكس 148تلقى فريق أمن المتصفح تقريراً مثيراً للدهشة: فريق الحدود البشرية الأحمر —مجموعة الأبحاث الهجومية الداخلية التابعة للشركة— زعمت أنها عثرت، بمساعدة نموذج كلود الخاص بها، أكثر من اثنتي عشرة ثغرة أمنية يمكن التحقق منها في محرك جافا سكريبت الخاص بمتصفح فايرفوكس. لم تكن هذه مجرد شكوك، بل كانت أخطاء مدعومة بأدلة ملموسة.

ما ميّز هذا المشروع عن المحاولات الأخرى لاستخدام الذكاء الاصطناعي في هذا المجال هو جودة التقارير. فقد تم توثيق كل ثغرة أمنية من خلال الحد الأدنى من حالات الاختبار القابلة للتكراركانت هذه أجزاء صغيرة من التعليمات البرمجية قادرة على استغلال الثغرة الأمنية بشكل حتمي. وقد مكّن هذا مهندسي موزيلا من التحقق في غضون ساعات من وجود المشكلة بالفعل، والبدء في العمل على إصلاحها دون إضاعة الوقت في إعادة إنتاج سيناريوهات غامضة.

في بيئة يتم فيها إهمال العديد من التنبيهات التي تولدها الأدوات الآلية لأنها نتائج إيجابية خاطئة أو تقارير غير دقيقةلقد قلل نهج أنثروبيك بشكل كبير من الضوضاء وقدم إشارة مفيدة: حجم أقل، ولكن نتائج تم التحقق منها وقابلة للتنفيذ.

تدقيق أمان الذكاء الاصطناعي في متصفح فايرفوكس

ما هو فريق فرونتير الأحمر التابع لشركة أنثروبيك وكيف يعمل مع كلود؟

الدعوة فريق فرونتير الأحمر هي وحدة تابعة لشركة أنثروبيك مخصصة لاستكشاف حدود نماذج الذكاء الاصطناعي الخاصة بها في مجال الأمن الهجومي والدفاعي. ولا يقتصر هدفها على تقييم المخاطر الداخلية ضمن النماذج فحسب، بل يشمل أيضًا التحقيق في كيف يمكن استخدام الذكاء الاصطناعي لاكتشاف الثغرات الأمنية في البرامج الحقيقية؟ قبل أن يقوم بذلك أصحاب النوايا الخبيثة.

في الأشهر الأخيرة، أظهر هذا الفريق أن نماذج مثل كلود أوبس 4.6 يمكن الركض هجمات متعددة المراحل على شبكات معقدة في بيئات خاضعة للرقابةوهذا يعطي فكرة عن قدراتهم التحليلية. وقد تم توجيه هذه القدرة نفسها، بطريقة منسقة ومسؤولة، لمراجعة مشاريع مفتوحة المصدر مثل فايرفوكس في إطار عمليات الكشف عن الثغرات الأمنية المسؤولة.

في حالة متصفح موزيلا تحديدًا، بدأت شركة أنثروبيك بتمرين اختباري: باستخدام كلود لـ إعادة إنتاج ثغرات أمنية تاريخية في متصفح فايرفوكس (CVEs)تحققنا مما إذا كان النموذج قادراً على التعرف على أنماط الأعطال الموثقة مسبقاً في الإصدارات القديمة من البرنامج. وكانت النتيجة إيجابية، مع ملاحظة واضحة: قد تكون بعض هذه المعلومات موجودة في بيانات تدريب النموذج.

وللمضي قدماً، انتقل فريق فرونتير الأحمر إلى الجزء المثير للاهتمام: طلب من الذكاء الاصطناعي تحديد الموقع ثغرات أمنية جديدة في الإصدار الحالي من متصفح فايرفوكسأي الأخطاء التي لم يتم إدراجها بعد في أي قاعدة بيانات عامة أو في أنظمة التتبع الداخلية لموزيلا.

كيف تم اكتشاف الثغرات الأمنية في محرك جافا سكريبت الخاص بمتصفح فايرفوكس

كانت نقطة البداية هي محرك جافا سكريبت الخاص بالمتصفح، وهو عنصر بالغ الأهمية لأنه مسؤول عن تنفيذ تعليمات برمجية خارجية غير موثوقة من صفحات الويبأي خطأ في هذه الطبقة يمكن أن يصبح، في أسوأ الأحوال، بوابة لمهاجمة نظام المستخدم.

كما أوضحت كل من أنثروبيك وموزيلا، اكتشف كلود أول نقطة ضعف حاسمة لديه في غضون عشرين دقيقة تقريباً. منذ بداية التحليل. لقد كان فشلاً من النوع استخدام خالية بعد، وهي فئة من ثغرات الذاكرة التي يمكن أن تسمح للمهاجم بالكتابة فوق البيانات بمحتوى عشوائي إذا اقترنت بنقاط ضعف أخرى في النظام.

بينما كان مهندسو أنثروبيك يتحققون من هذا التنبيه الأولي في جهاز افتراضي باستخدام أحدث إصدار من المتصفح، استمر الذكاء الاصطناعي في العمل بالتوازي. خلال ذلك الوقت، كان النموذج قد أشار بالفعل إلى حوالي 50 مدخلاً إضافياً ذات سلوك شاذتم تحويل العديد منها لاحقًا إلى حالات اختبار تم إرسالها إلى موزيلا.

لم تقتصر العملية على محرك جافا سكريبت. على مدار أسبوعين تقريبًا، قام كلود بتحليل ما يقرب من 6.000 ملف C++ وآلاف الملفات الإضافية للمشروعتم إنشاء 112 تقريرًا فريدًا. ومن بين هذه المجموعة، وبعد فرزها من قبل فريق أمن موزيلا، تم تأكيد ما يلي تم تسجيل 22 ثغرة أمنية تحت مسمى CVE، منها تم تصنيف 14 حالة على أنها شديدة الخطورةبالإضافة إلى ما يقرب من 90 حالة فشل إضافية تعتبر ذات تأثير أقل أو مجرد أخطاء منطقية.

تم إصلاح جميع المشكلات الأمنية التي تم تحديدها في دورة تطوير فايرفوكس 148هذا الإصدار متاح الآن للمستخدمين في أوروبا وبقية أنحاء العالم. كما تم إصلاح الأخطاء ذات الأولوية المنخفضة، مع الاحتفاظ ببعض التعديلات للإصدارات اللاحقة لتجنب إدخال تغييرات كثيرة في إصدار واحد.

التعاون الأنثروبي لموزيلا في مجال الأمن

تم اكتشاف أكثر من 100 خلل، مع عدد أقل من النتائج الإيجابية الخاطئة مقارنةً بأنظمة الذكاء الاصطناعي الأخرى.

خلال هذا التعاون، أسفر تحليل كلود عن أكثر من 100 خطأ مختلف في متصفح فايرفوكسعلى الرغم من أن بعضها لم يتحول إلى ثغرات قابلة للاستغلال، إلا أن حجمها يوضح أن حتى المشاريع الناضجة والمدققة مثل متصفح موزيلا لا تزال قادرة على إخفاء عدد كبير من الأخطاء.

ولإعطاء فكرة عن حجم التأثير، أوضح فريق أمن موزيلا أنه خلال أسبوعين فقط من الاختبار، تمكن الذكاء الاصطناعي من حدد عددًا من الثغرات الأمنية عالية الخطورة التي تعادل حوالي 20% من جميع الثغرات الأمنية الحرجة التي تم إصلاحها في المتصفح على مدار عام.بمعنى آخر، ركزت عملية التدقيق بمساعدة الذكاء الاصطناعي في أيام مهمة عادة ما تمتد على مدى عدة أشهر.

كان معدل النتائج الإيجابية الخاطئة أحد الجوانب الرئيسية. وقد تلقت العديد من مشاريع المصادر المفتوحة، بما في ذلك تلك الموجودة في أوروبا، نتائج إيجابية خاطئة في السنوات الأخيرة. موجات من التقارير التي تولدها أدوات الذكاء الاصطناعي منخفضة الجودةغالباً ما تُقدَّم هذه التقارير من قِبَل المستخدمين الذين يسعون للحصول على مكافآت من خلال برامج مكافآت اكتشاف الأخطاء. وتُثقل هذه التقارير كاهل القائمين على الصيانة بمشاكل غير موجودة أو غير موصوفة بشكل جيد.

كانت موزيلا، على دراية بهذا الوضع، حذرة في البداية بشأن التعاون. ومع ذلك، أثبت نهج فريق فرونتير الأحمر أنه مختلف: لم تُقدّم للمراجعة إلا الأحكام التي كانت مصحوبة بأدلة قوية.، مع عمليات إعادة إنتاج تلقائية واضحة، وفي بعض الحالات، مقترحات تصحيح مرشحة تم إنشاؤها بواسطة الذكاء الاصطناعي نفسه ومراجعتها من قبل البشر.

سلط مهندسو موزيلا الضوء على ثلاثة عناصر يعتبرونها أساسية لضمان موثوقية التقارير القائمة على الذكاء الاصطناعي: الحد الأدنى من حالات الاختبار، وإثباتات تفصيلية للمفهوم، والتصحيحات المقترحةهذا المزيج يقلل بشكل كبير من الوقت اللازم للتأكد مما إذا كانت النتيجة تستحق اهتمامًا فوريًا أم يمكن تأجيلها.

هل يستطيع الذكاء الاصطناعي استغلال نقاط الضعف التي يكتشفها؟

كان أحد أكثر جوانب التجربة حساسية هو معرفة ما إذا كان كلود قادرًا ليس فقط على العثور على نقاط الضعفولكن أيضًا لتحويلها إلى استغلالات وظيفيةأي في الهجمات القادرة على تنفيذ أعمال خبيثة على النظام المستهدف.

قررت شركة أنثروبيك قياس هذه القدرة في بيئة خاضعة للرقابة. زود الفريق النموذج بمعلومات حول الثغرات الأمنية التي تم الإبلاغ عنها بالفعل إلى موزيلا، وطلب منه توليد رمز استغلال بهدف قراءة وكتابة ملف محلي في جهاز اختبار، إجراء من شأنه في سيناريو حقيقي أن يشكل اختراقاً خطيراً للنظام.

ولتحقيق ذلك، تم تنفيذ عدة مئات من عمليات الإعدام المنفصلة وتم استثمار حوالي [المبلغ المفقود]. رصيد API بقيمة 4.000 دولاروكانت النتيجة دقيقة: لم يتمكن كلود إلا من إنتاج استغلالان بسيطين من شأنهما أن ينجحاومع ذلك، فقط في بيئة تم فيها تعطيل العديد من وسائل الحماية الموجودة في المتصفحات الحديثة، مثل صندوق الحماية (sandbox) ووسائل الحماية الأخرى المعززة، بشكل متعمد.

تؤكد موزيلا أنه في ظل ظروف العالم الحقيقي، يتطلب اختراق فايرفوكس عادةً ربط نقاط الضعف المتعددة وتجاوز طبقات الدفاع المتعددةإن العثور على ثغرة أمنية واحدة، حتى لو كانت شديدة الخطورة، نادراً ما يكون كافياً للسيطرة على نظام المستخدم، الأمر الذي يحد حالياً من الإمكانات الهجومية المباشرة لهذه الأدوات.

ومع ذلك، ترى شركة أنثروبيك أن من المهم أن يكون نموذج اللغة قادراً، حتى وإن كان ذلك في حالات قليلة وفي ظل ظروف محدودة، على إنشاء ثغرة أمنية تلقائيًا لمتصفح حديثوتحذر الشركة من أن هذه الفجوة - الفرق بين الكشف والاستغلال - قد تضيق مع استمرار تحسن نماذج وأساليب التقييم.

تدمج موزيلا الذكاء الاصطناعي في بروتوكولات الأمان الخاصة بها

بعد نجاح هذا التعاون، أكدت موزيلا أنها ستدمج التحليل المدعوم بالذكاء الاصطناعي في سير عملها الأمني ​​المعتاد. لمتصفح فايرفوكس. وقد بدأت فرق المؤسسة بالفعل في إجراء تجارب داخلية مع كلود لفرز الأخطاء ومراجعة التصحيحات واكتشاف أنماط الثغرات الأمنية في المناطق الحرجة من التعليمات البرمجية.

ترى المنظمة، التي تتمتع بحضور قوي من المستخدمين والمطورين في أوروبا، هذه التقنية كوسيلة لـ تعزيز حماية الخصوصية والأمانهذه ركائز أساسية تُشكّل جزءًا من هوية مشروع فايرفوكس. وباعتباره متصفحًا مفتوح المصدر، فإن قاعدة بياناته البرمجية متاحة لكل من الباحثين المستقلين والأنظمة الآلية، مثل الذكاء الاصطناعي الخاص بشركة أنثروبيك، لمراجعتها.

بالنسبة لموزيلا، سيكون المفتاح هو الحفاظ على التوازن بين الأتمتة والمراجعة البشريةعلى الرغم من أن نماذج الذكاء الاصطناعي يمكنها تسريع اكتشاف الأخطاء واقتراح الإصلاحات، إلا أن المؤسسة تصر على أن أي تصحيح - سواء كان من شخص أو آلة - يجب أن يخضع لنفس مستوى التدقيق الفني قبل دمجه في المتصفح الذي يستخدمه مواطنو أوروبا وبقية العالم.

وقد وفرت هذه التجربة أيضاً دليلاً عملياً لمشاريع البرمجيات الأخرى، بما في ذلك تلك التي تم تطويرها في إسبانيا أو داخل الاتحاد الأوروبي: إذا كان من المقرر قبول التقارير القائمة على الذكاء الاصطناعي، فمن المستحسن المطالبة دليل واضح على إمكانية التكرار وإنشاء قنوات محددة لهذا النوع من الإفصاح، وتجنب إثقال كاهل أنظمة تتبع الأخطاء التقليدية.

دروس للمطورين وشركات التكنولوجيا في أوروبا

وبعيدًا عن الضجة الإعلامية المحيطة بمتصفح فايرفوكس، فإن التعاون بين أنثروبيك وموزيلا يُسفر عن عدد من الاستنتاجات المهمة لـ الشركات الناشئة، والشركات الصغيرة والمتوسطة في مجال التكنولوجيا، والشركات الأوروبية الكبيرة الذين يطورون برامجهم أو خدماتهم الرقمية الخاصة.

من أوضحها أن أصبح تدقيق التعليمات البرمجية بمساعدة الذكاء الاصطناعي مجديًا اقتصاديًاما كان يتطلب في السابق فريقًا من المتخصصين يعملون لأسابيع، أصبح الآن يمكن إجراء مسح آلي أولي له في غضون ساعات أو أيام، بتكلفة أقل بكثير من المراجعة اليدوية الشاملة.

ومن الدروس الأخرى أن تبدأ سرعة الكشف في تجاوز قدرة التصحيح البشرييمكن لأدوات مثل Claude أن تجد بسرعة عشرات الثغرات الأمنية المحتملة، لكن العقبة الرئيسية تكمن في قدرة الفرق الداخلية على التحقق من صحة هذه المشكلات وتحديد أولوياتها وتصحيحها دون تعطيل أجزاء أخرى من النظام.

ومن الواضح أيضاً أن لا يُعدّ المصدر المفتوح مرادفًا للأمان المضمون.مع ذلك، فإنه يوفر ميزة هامة: الشفافية. فمشاريع مثل فايرفوكس، التي تحظى بشعبية كبيرة في أوروبا لتركيزها على الخصوصية، تسمح لكل من المجتمع والوكلاء الآليين بمراجعة الكود باستمرار، وهو أمر مستحيل في الحلول المغلقة.

بالنسبة للعديد من المؤسسات، يمكن أن يصبح دمج الذكاء الاصطناعي في مسار التطوير - على سبيل المثال، من خلال دمج التحليلات الآلية في مراحل التكامل المستمر/التسليم المستمر - أمرًا بالغ الأهمية. عامل تمييز عند إثبات الامتثال التنظيمييكتسب هذا الأمر أهمية متزايدة مع التطبيق المستقبلي للمعايير الأوروبية المتعلقة بالأمن السيبراني والبرمجيات الحيوية.

وفي الوقت نفسه، تُعدّ هذه القضية بمثابة تذكير بأن المهاجمين لديهم أيضاً إمكانية الوصول إلى تقنيات مماثلة. يبدو أن الأفضلية الحالية تصب في مصلحة الدفاع.يُعد الذكاء الاصطناعي أفضل في اكتشاف العيوب والمساعدة في تصحيحها بدلاً من استغلالها، ولكن لا أحد يعتبر أن هذه الميزة ستستمر لسنوات عديدة.

في هذا السيناريو، بدأ مديرو الأمن في الشركات الأوروبية - من البنوك إلى منصات التجارة الإلكترونية أو المرافق الرقمية - ينظرون إلى هذه الأدوات ليس على أنها إضافة تجريبية، بل على أنها جزء آخر من استراتيجية حماية البرامج الخاصة بهم.

تُظهر فضائح فايرفوكس وأنثروبيك كيف يمكن لنموذج ذكاء اصطناعي مُوجّه ومُشرف عليه جيدًا أن يعمل كمراجع أمني من الطراز الأول: إذ يُمكنه مراجعة قواعد بيانات ضخمة، واكتشاف الأخطاء المعقدة، واقتراح حلول بسرعة فائقة. وفي الوقت نفسه، يُوضح ذلك أن القرار النهائي لا يزال بيد الفرق البشرية، التي يجب عليها تحديد ما يجب إصلاحه، وكيف، وما هي أولويات الإصلاح، في بيئة تتسارع فيها وتيرة تطور البرمجيات والتهديدات باستمرار.

حيل تقنية للمبدعين: أدوات وتطبيقات وإعدادات يجب أن تعرفها
المادة ذات الصلة:
حيل تقنية للمبدعين: الأدوات والتطبيقات والإعدادات