تعد البرامج مفتوحة المصدر بمثابة المنقذ للشركات الناشئة والمؤسسات على حدٍ سواء أثناء محاولتها تقديم القيمة للعملاء بشكل أسرع. على الرغم من أن استخدام المصادر المفتوحة لا يعتبر مشكوكًا فيه بالنسبة للاستخدام التجاري كما كان من قبل، إلا أن طبيعته المنفتحة جدًا تجعله عرضة للتسمم من قبل الجهات الفاعلة السيئة.
“يمكن أن يشكل الذكاء الاصطناعي والبرمجيات مفتوحة المصدر مخاطر خطيرة على الأمن القومي – خاصة مع اعتماد البنية التحتية الحيوية عليها بشكل متزايد. يقول كريستوفر روبنسون، كبير مهندسي الأمن في جامعة هارفارد: “في حين أن التكنولوجيا مفتوحة المصدر تعزز الابتكار السريع، فإنها لا تحتوي بطبيعتها على نقاط ضعف أكثر من البرمجيات مغلقة المصدر”. مؤسسة الأمن مفتوحة المصدر (OpenSSF). “الفرق هو أن الثغرات الأمنية مفتوحة المصدر يتم الكشف عنها علنًا، في حين أن البرامج مغلقة المصدر قد لا تكشف دائمًا عن عيوبها الأمنية.”
حوادث مثل XZ-Utils مستتر في وقت سابق من هذا العام، أظهرنا كيف يمكن للجهات الفاعلة المتطورة، بما في ذلك الدول القومية، استهداف المشرفين الممتدين لإدخال تعليمات برمجية ضارة. ومع ذلك، تم إيقاف الباب الخلفي XZ-Utils لأن شفافية مجتمع المصادر المفتوحة سمحت للعضو بالتعرف على السلوك الضار.
“تكمن جذور هذه المخاطر في ممارسات تطوير البرمجيات السيئة، ونقص التدريب على التطوير الآمن، والموارد المحدودة، وعدم كفاية الوصول إلى أدوات الأمان، مثل الماسحات الضوئية أو البنية التحتية الآمنة للبناء. كما أن الافتقار إلى التدقيق الصارم والعناية الواجبة من قبل مستهلكي البرمجيات يؤدي إلى تفاقم المخاطر. “لا تقتصر التهديدات على المصادر المفتوحة ولكنها تمتد إلى البرامج والأجهزة مغلقة المصدر، مما يشير إلى مشكلة نظامية أوسع عبر النظام البيئي التكنولوجي. ولمنع الاستغلال على المستوى الوطني، يجب تعزيز الثقة في الأدوات مفتوحة المصدر من خلال تدابير أمنية قوية.
المصدر المفتوح: هل تحصل على ما دفعت مقابله؟
يتمثل التهديد الرئيسي في نقص الدعم والتمويل لمشرفي المصادر المفتوحة، وكثير منهم متطوعين بدون أجر. غالبًا ما تتبنى المنظمات برمجيات مفتوحة المصدر دون فحص الأمان، على افتراض أن المتطوعين سيديرونها.
وهناك قضية أخرى يتم تجاهلها في كثير من الأحيان وهي الخلط بين الثقة والأمن. إن مجرد كونك مشرفًا موثوقًا به لا يضمن أمان المشروع. يحتاج المشرعون والمديرون التنفيذيون إلى إدراك أن تأمين المصادر المفتوحة يتطلب دعمًا منظمًا ومستمرًا.
“إن أنظمة الذكاء الاصطناعي، سواء كانت مفتوحة أو مغلقة المصدر، تكون عرضة للحقن الفوري والتلاعب بالتدريب النموذجي. تسلط قائمة OWASP الأخيرة لأهم 10 تهديدات للذكاء الاصطناعي الضوء على هذه التهديدات، مما يؤكد الحاجة إلى ممارسات أمنية قوية في تطوير الذكاء الاصطناعي. يقول روبنسون: “بما أن تطوير الذكاء الاصطناعي هو تطوير للبرمجيات، فيمكن الاستفادة من الهندسة الأمنية المناسبة”. OWASP هو مشروع أمان التطبيقات المفتوحة في جميع أنحاء العالم. “بدون هذه الممارسات، تصبح أنظمة الذكاء الاصطناعي معرضة بشدة للتهديدات الخطيرة. يعد التعرف على نقاط الضعف هذه ومعالجتها أمرًا ضروريًا لنظام بيئي آمن مفتوح المصدر.
على مستوى الشركة، يجب على مجالس الإدارة والمديرين التنفيذيين أن يفهموا أن استخدام البرامج مفتوحة المصدر ينطوي على العناية الواجبة الفعالة والمراقبة والمساهمة في صيانتها. يتضمن ذلك اعتماد ممارسات مثل إنشاء ومشاركة قوائم المواد البرمجية (SBOMs) وتوفير الموارد لدعم المشرفين. يمكن لبرامج الزمالة أيضًا توفير الدعم المستدام من خلال إشراك الطلاب أو المهنيين في بداية حياتهم المهنية في الحفاظ على المشاريع الأساسية. ومن شأن هذه الخطوات أن تخلق نظامًا بيئيًا مفتوح المصدر أكثر مرونة، مما يفيد الأمن القومي.
“يتطلب التخفيف من التهديدات التي تواجه المصادر المفتوحة اتباع نهج متعدد الأوجه يتضمن ممارسات أمنية استباقية، وأدوات آلية، والتعاون والدعم في الصناعة. يقول روبنسون: “يمكن لأدوات مثل بطاقة أداء OpenSSF، وGUAC، وOSV، وOpenVEX، وProtobom، وgittuf أن تساعد في تحديد نقاط الضعف مبكرًا من خلال تقييم التبعيات وأمن المشروع”. “إن دمج هذه الأدوات في مسارات التطوير يضمن تحديد المشكلات عالية المخاطر وترتيب أولوياتها ومعالجتها على الفور. بالإضافة إلى ذلك، يتطلب التصدي للتهديدات المتطورة من الدول القومية والجهات الفاعلة الخبيثة الأخرى التعاون وتبادل المعلومات عبر الصناعات والحكومة.
إن تبادل معلومات التهديدات وإنشاء بروتوكولات على المستوى الوطني سوف يبقي المشرفين على علم بالمخاطر الناشئة ويكونون أكثر استعدادًا للهجمات. ومن خلال دعم القائمين على الصيانة بالموارد المناسبة وتعزيز شبكة الاستخبارات التعاونية، يمكن أن يصبح النظام البيئي مفتوح المصدر أكثر مرونة.
البنية التحتية في خطر
وفي حين أن الاستخدام الواسع النطاق للمكونات مفتوحة المصدر يعمل على تسريع عملية التطوير وتقليل التكاليف، فإنه يمكن أن يعرض البنية التحتية الحيوية لنقاط الضعف.
“غالبًا ما تكون البرمجيات مفتوحة المصدر أكثر عرضة للاستغلال من الأكواد الاحتكارية بحث موضحًا أنها مسؤولة عن 95% من جميع المخاطر الأمنية في التطبيقات. يقول نيك ميستري، كبير مسؤولي أمن المعلومات في شركة إدارة أمان سلسلة توريد البرمجيات: “يمكن للجهات الفاعلة الخبيثة حقن عيوب أو أبواب خلفية في حزم مفتوحة المصدر، وقد تظل المكونات التي لا تتم صيانتها بشكل جيد دون إصلاح لفترات طويلة، مما يزيد من احتمالية الهجمات الإلكترونية”. لينيجي. “بينما أصبحت البرمجيات مفتوحة المصدر متجذرة بعمق في كل من أنظمة الحكومة والقطاع الخاص، فإن سطح الهجوم ينمو، مما يشكل تهديدًا حقيقيًا للأمن القومي.”
وللتخفيف من هذه المخاطر، يجب على المشرعين والمديرين التنفيذيين إعطاء الأولوية لأمن المكونات مفتوحة المصدر من خلال حوكمة أكثر صرامة، وسلاسل التوريد الشفافة والمراقبة المستمرة.
التبعيات هي مشكلة
يحمل الذكاء الاصطناعي والبرمجيات مفتوحة المصدر اعتبارات أمنية فريدة من نوعها، لا سيما بالنظر إلى حجم نماذج الذكاء الاصطناعي والمساهمات مفتوحة المصدر وطبيعتها المترابطة.
“تمثل سلسلة التوريد مفتوحة المصدر تحديًا أمنيًا فريدًا. يقول مات باركر، نائب الرئيس والرئيس العالمي لهندسة هوية عبء العمل في Machine Identity: “من ناحية، فإن حقيقة أن المزيد من الأشخاص ينظرون إلى الكود يمكن أن يجعله أكثر أمانًا، ولكن من ناحية أخرى، يمكن لأي شخص المساهمة، مما يخلق مخاطر جديدة”. شركة أمنية فينافي، شركة CyberArk. “وهذا يتطلب طريقة مختلفة للتفكير في الأمن، حيث يؤدي الانفتاح الذي يدفع الابتكار أيضًا إلى زيادة نقاط الضعف المحتملة إذا لم نكن يقظين بشأن تقييم كل مكون وتأمينه. ومع ذلك، من الضروري أيضًا أن ندرك أن المصادر المفتوحة قد دفعت باستمرار الابتكار والمرونة عبر الصناعات.
يجب على قادة المؤسسات إعطاء الأولوية للتقييم الدقيق للمكونات مفتوحة المصدر والتأكد من وجود ضمانات لتتبع هذه المساهمات والتحقق منها وتأمينها.
“قد يستهين الكثيرون بالآثار المترتبة على خلط البيانات والنماذج والتعليمات البرمجية ضمن تعريفات الذكاء الاصطناعي مفتوحة المصدر. تقليديًا، يتم تطبيق المصدر المفتوح على كود البرنامج وحده، لكن الذكاء الاصطناعي يعتمد على عناصر معقدة مختلفة مثل بيانات التدريب والأوزان والتحيزات، والتي لا تتلاءم تمامًا مع النموذج التقليدي مفتوح المصدر. “من خلال عدم التمييز بين هذه الطبقات، قد تعرض المؤسسات البيانات أو النماذج الحساسة للخطر دون قصد. بالإضافة إلى ذلك، فإن الاعتماد على المصدر المفتوح للبنية التحتية الأساسية دون إجراءات تحقق قوية أو حالات طوارئ يمكن أن يترك المؤسسات عرضة للمشكلات المتتالية في حالة تعرض أحد مكونات المصدر المفتوح للخطر.
حتى الآن، لم تفرض الحكومة الفيدرالية الأمريكية قيودًا على الذكاء الاصطناعي مفتوح المصدر.
يقول إدوارد تيان، الرئيس التنفيذي لمزود برامج الكشف GenAI: “إذا تعلمنا أي شيء من الذكاء الاصطناعي في السنوات القليلة الماضية، فهو أن هناك بالتأكيد فوائد عظيمة ومخاطر كبيرة أيضًا”. GPTZero. “من ناحية، فإن عدم فرض قيود على الذكاء الاصطناعي مفتوح المصدر أمر مفيد عندما يتعلق الأمر بإمكانية الوصول والإنصاف. من الأفضل أن يمنع الاحتكارات وتكنولوجيا الذكاء الاصطناعي من التشكيل من قبل عدد قليل من الناس. ومن ناحية أخرى، يعني هذا أيضًا أنه يمكن بسهولة وضع الذكاء الاصطناعي في أيدي الجهات الفاعلة السيئة. وهذا يعني أن هناك خطرًا أكبر لاستخدام الذكاء الاصطناعي لإلحاق الضرر، مثل الهجمات الإلكترونية أو عمليات الاحتيال الأكثر تقدمًا، لذلك من المؤكد أنه من المحتمل أن يشكل تهديدًا للأمن القومي.
مسائل الحوكمة
في سياق الذكاء الاصطناعي، يتضمن التسمم مفتوح المصدر التلاعب بنماذج اللغة الطبيعية، مما قد يؤدي إلى انتهاكات أمنية والتلاعب عبر الإنترنت. ويمكن أن يتجلى ذلك في نتائج تمييزية، والتأثير على الرأي العام، وتعطيل البنية التحتية الحيوية مثل شبكات الطاقة وأنظمة النقل.
يقول إجناسيو يورينتي، الرئيس التنفيذي لشركة توفير الحلول السحابية والاستشارات: “لمعالجة مخاطر البرمجيات مفتوحة المصدر، يجب على المؤسسات تنفيذ استراتيجية حوكمة قوية تشمل إدارة التبعية والاعتماد المتنوع والمسح الاستباقي للثغرات الأمنية والتصحيح المنتظم”. سديم مفتوح. “تعد عمليات تدقيق الأمان، ومراجعة التعليمات البرمجية، ومراقبة صحة المشروع، والمشاركة المجتمعية النشطة أمرًا ضروريًا للبقاء على اطلاع على نقاط الضعف الناشئة وأفضل الممارسات، وبالتالي تعزيز أمان وموثوقية عمليات التكامل مفتوحة المصدر.”
وفي الوقت نفسه، يمر البيت الأبيض بمرحلة انتقالية بينما تستمر الوتيرة المتسارعة لاعتماد الذكاء الاصطناعي والابتكار.
“لا أتوقع شيئًا أقل من ذلك [adversaries] للاستفادة من الذكاء الاصطناعي مفتوح المصدر كوسيلة لتعريض الأمن القومي للخطر سواء كان ذلك بيانات ومعلومات أم لا [a] يقول كريس هيلز، كبير استراتيجيي الأمن في شركة الأمن السيبراني: “الدافع مدعوم من الدولة القومية بالتزييف العميق”. بيوند تراست. “تحتاج مجالس الإدارة والرؤساء التنفيذيون إلى فهم المخاطر، وكيفية ارتباطها بأعمالهم، وما يمكنهم فعله للتغلب على المخاطر مقابل مكافآت الاستخدام. ويجب عليهم أيضًا أن يفهموا أنه بغض النظر عن مدى رغبتهم في محاولة حظر الاستخدام، فإن المستخدم النهائي لديه الكثير من الموارد التي ستسمح له أو تمكنه من التغلب على أي حدود موضوعة. ولذلك، فإن فهم مخاطر الاستخدام وتثقيف المستخدمين النهائيين سيساعد في تقليل المخاطر المرتبطة باستخدام الذكاء الاصطناعي مفتوح المصدر.
مقعد في الصف الأمامي
آرون شاها، رئيس قسم أبحاث التهديدات والاستخبارات في مزود حلول MDR القائم على SaaS بلاك بوينت سايبريقول إنه يجد مشاهدة تسميم المكتبات مفتوحة المصدر والأكواد أمرًا “مؤلمًا”.
“يجب توخي الحذر والاجتهاد لضمان استخدام المكتبات والتوزيعات التي تم فحصها للحد من المخاطر. يقول شاها: “فكر في وضع سياسة للذكاء الاصطناعي يقرأها جميع العمال ويوقعون عليها، لمنع مشاكل الملكية الفكرية، فضلاً عن مشاكل الهلوسة”. “إن الحكومات المتخاصمة والمتسللين الخبيثين الذين يقومون بتسميم التعليمات البرمجية مفتوحة المصدر يمثلون مشكلة كبيرة. يجب توخي الحذر عند التنفيذ، بالإضافة إلى عملية مراجعة متجددة للتعليمات البرمجية والثنائيات.
فيل موريس، كبير مسؤولي تكنولوجيا المعلومات الاستشاري والمدير الإداري في مزود الحلول الأمنية NetSPIيقول إن عدد النماذج مفتوحة المصدر المتاحة على Hugging Face قد زاد بنسبة تزيد عن 10000% في السنوات الخمس الماضية. ومع هذا المستوى من النمو، فإن احتمال إدخال نقاط الضعف في النظام البيئي للشركات يمثل تهديدًا كبيرًا يجب معالجته بشكل استباقي.
“للتخفيف من مخاطر الذكاء الاصطناعي مفتوح المصدر، يجب على الشركات إنشاء فرق حوكمة ومجموعات جدوى فنية وتدريب على الوعي الأمني لوضع حواجز حماية للاستخدام “المناسب” للذكاء الاصطناعي. يقول موريس: “هناك نواقل هجوم واقعية للبرامج مفتوحة المصدر، لذا فهذه فرصة جديدة لتثقيف قيادتكم حول كيفية إدارة هذه المخاطر الفريدة”. “تمامًا كما هو الحال مع الحالات الأخرى لتكنولوجيا المعلومات الظلية، زاد مستوى المخاطر لديك. هل تقوم بتفكيك الصوامع بين فرق علوم البيانات والفرق التشغيلية التي يتعين عليها دعم هذه التكنولوجيا ومراقبتها؟ هل تقومون بإجراء تدريبات الفريق الأحمر ضد عمليات النشر هذه؟ وهاتان من أفضل الممارسات التي يمكن التغاضي عنها أثناء الاندفاع لبناء هذه المنصات ونشرها.
ومن المهم أيضًا فهم الفرق بين نقاط الضعف والتهديدات.
“أكثر من 62% من التعليمات البرمجية مفتوحة المصدر في التطبيق/واجهة برمجة التطبيقات النموذجية هي أبداً يقول جيف ويليامز، المؤسس المشارك والرئيس التنفيذي للتكنولوجيا في شركة أمن التطبيقات في وقت التشغيل: “يتم استخدامه ولا يشكل أي خطر، حتى لو كان به نقاط ضعف معروفة (CVEs).” أمان التباين. “وبالتالي، فإن ما بين 5 إلى 10% فقط من التهديدات والتطرف العنيف في تطبيقات العالم الحقيقي قابلة للاستغلال فعليًا. أوصي بالحصول على سياق وقت التشغيل لتأكيد إمكانية الاستغلال قبل الاستثمار في إصلاح المشكلات غير الخطيرة.:
تقوم معظم المؤسسات بتحليل التعليمات البرمجية مفتوحة المصدر والتعليمات البرمجية المخصصة بشكل منفصل، مما يحجب العديد من المخاطر ويجعل المؤسسات لديها شعور زائف بالأمان.
يقول ويليامز: “إن مخاطر التعليمات البرمجية المخصصة أكثر انتشارًا وأكثر أهمية من المشكلات مفتوحة المصدر”. “يجب على المؤسسات الاستفادة من أمان وقت التشغيل لتحليل التطبيقات وواجهات برمجة التطبيقات المجمعة بالكامل، بما في ذلك التعليمات البرمجية المخصصة والمكتبات والأطر والخوادم معًا.”
