يجب على المتخصصين في مجال الأمن السيبراني اغتنام نافذة ضيقة من الفرص لتطوير ضمانات حول إنشاء البرامج المعززة بالذكاء الاصطناعي (AI) – المعروفة باسم ترميز الأجواء – أو المخاطرة بفقدان السيطرة على السرد وتعريض المؤسسات للهجمات السيبرانية وغيرها من الاضطرابات، المركز الوطني للأمن السيبراني (NCSC) الرئيس التنفيذي ريتشارد هورن قال.
وفي كلمة رئيسية ألقاها في الحفل السنوي مؤتمر RSAC في سان فرانسيسكو في 24 مارس، دعا هورن مجتمع الأمن إلى العمل معًا لتطوير ضمانات حول التشفير الديناميكي، وتسليط الضوء على كيف يواجه مجتمع العصر الحديث المشكلات المستمرة والأساسية مع التكنولوجيا بفضل نقاط الضعف القابلة للاستغلال.
ومع ذلك، يرى هورن أيضًا أنه على الرغم من أن البرامج غير الآمنة التي تم إنتاجها بدون عيون بشرية على الكود يمكن أن تنشر نقاط الضعف على نطاق واسع، إلا أن أدوات الذكاء الاصطناعي المدربة جيدًا يمكن أن تخلق آمن حسب التصميم البرمجيات التي من شأنها أن تكون تحويلية لنتائج الأمن السيبراني طوال دورة حياتها.
وقال: “إن عوامل الجذب في البرمجة الديناميكية واضحة. إن تغيير الوضع الراهن للبرامج المنتجة يدويًا والتي تكون معرضة للخطر باستمرار يمثل فرصة كبيرة، ولكن لا يخلو من مخاطر خاصة به”. “يجب تصميم أدوات الذكاء الاصطناعي التي نستخدمها لتطوير التعليمات البرمجية وتدريبها منذ البداية بحيث لا تقدم أو تنشر نقاط الضعف غير المقصودة.”
وقال هورن إن محترفي الإنترنت يتحملون أيضًا مسؤولية التأكد من أن المستقبل الذي يتم فيه اعتماد أدوات التشفير الديناميكي وغيرها من أدوات إنشاء كود الذكاء الاصطناعي على نطاق واسع سيكون “صافيًا إيجابيًا”.
نموذج جديد
في مدونة قيادة الفكر نُشر جنبًا إلى جنب مع خطاب هورن في 24 مارس، حيث جادل كبار القادة الفنيين في NCSC بأنه في حين أن البرمجة الحماسية تشكل “خطرًا لا يطاق” للعديد من المنظمات في الوضع الحالي، فإن الاتجاه يقدم “لمحات عن نموذج جديد”.
في الواقع، كتب المدير التنفيذي للتكنولوجيا في الوكالة، أن البرمجة المدعومة بالذكاء الاصطناعي يمكن أن تثبت في نهاية المطاف أنها ثورة تكنولوجية بقدر ما هي ثورة تكنولوجية. البرمجيات كخدمة (SaaS) – التي كانت رائدة في مطلع القرن من قبل أمثال Salesforce – أثبتت ذلك.
على الرغم من الحرص على عدم الإشارة إلى أن المؤسسات ستستخدم الذكاء الاصطناعي فجأة لتحفيز استبدال أدوات إدارة علاقات العملاء الخاصة بها أو الأنظمة الأساسية الأخرى، إلا أن NCSC قالت إن هناك الآن مؤشرات واضحة على أن منحنى التكلفة مقابل الجهد للبرامج “المخصصة بما فيه الكفاية” آخذ في التحول، وعلى هذا النحو، ستبدأ المزيد من المؤسسات قريبًا في صنع خيارات مختلفة عندما يتعلق الأمر بالبرمجيات.
نظرًا للمخاوف الأمنية العديدة حول SaaS – مثل المصادقة المناسبة وضوابط الوصول والتكوينات الخاطئة ومخاطر الطرف الثالث – والتي لم تتم معالجتها بشكل كامل بما يرضي الجميع، فإن هذا يثير بالتالي سؤالاً حول ما هي التكنولوجيا وحواجز الحماية والمنصات والضمانات التي يحتاج مجتمع الأمن إلى توفرها لضمان أن المستقبل المرمز أكثر أمانًا من الوضع الراهن.
أشياء يجب مراعاتها
وقال NCSC إن بعض الضمانات التي يحتاج قادة الأمن إلى الدفاع عنها واضحة. على سبيل المثال، يجب تعليم نماذج الذكاء الاصطناعي أساليب الأمن حسب التصميم، ويحتاج البشر إلى الثقة في مصدر النموذج والثقة في أنه لم يتم تطويره بشكل سيئ، ويجب التفكير في كيفية استخدام الذكاء الاصطناعي لمراجعة كل من التعليمات البرمجية التي ينشئها الإنسان والذكاء الاصطناعي.
ولكن هناك أيضًا أسئلة أكثر دقة، مثل كيفية استخدام البنى الحتمية للحد من ما يمكن أن تفعله التعليمات البرمجية إذا ثبت أنها ضارة أو مخترقة أو غير آمنة، وما هي الأنظمة الأساسية التي يجب تصميمها لاستضافة الخدمات التي ينشئها الذكاء الاصطناعي والتي تنفذ الضوابط اللازمة لحماية البيانات والمستخدمين، وكيف يمكن استخدام الذكاء الاصطناعي لضمان النظافة الأمنية للبرامج من خلال ممارسات مثل التوثيق أو حالات الاختبار أو التشويش أو تحديث نماذج التهديد.
أشار NCSC إلى إمكانية وجود مستقبل يكون فيه كود الذكاء الاصطناعي مقيدًا ومغلقًا بشكل أكبر حتى من المنتجات المحلية أو منتجات SaaS الأكثر أمانًا على الإطلاق. ومن المفارقات، كما خلصت، أن هذا قد يعالج أخيرًا المشكلات الأمنية التي لم يتم حلها والتي لا تزال تطارد SaaS والتي منعت آخر المعوقين الأكثر وعيًا بالإنترنت من الدخول إلى السحابة.
