يثير نموذج الذكاء الاصطناعي الجديد من شركة أنثروبيك، المسمى “ميثوس”، ضجةً بين خبراء الأمن السيبراني وصناع السياسات. وتؤكد الشركة أن نموذجها الجديد يتمتع بمهارة فائقة في اكتشاف واستغلال ثغرات البرمجيات، ما يجعل إطلاقه محفوفًا بالمخاطر.
لذلك، تقيد الشركة الوصول إلى النموذج لمجموعة صغيرة من شركات التكنولوجيا الكبرى التي تُشكل برمجياتها أساسًا للعديد من الخدمات الرقمية الأخرى، على أمل منح المدافعين وقتًا كافيًا لتعزيز أنظمتهم.
وتعتزم شركة أوبن إيه آي، منافسة “أنثروبيك”، اتباع النهج نفسه مع نموذج ذكاء اصطناعي جديد تعمل على تطويره -يُعرف داخليًا باسم “سبود”- يمكن أن يضاهي “ميثوس” في قدرات الأمن السيبراني.
يرى بعض المحللين أن هذه الإصدارات المحدودة والحذرة أقرب إلى التسويق وإثارة الضجة حول النماذج الجديدة منها إلى قرارات مدفوعة بالسلامة فقط، بحسب تقرير لمجلة “فروتشن”.
لكن الأغلبية تتفق على أن القدرات السيبرانية المدعومة بالذكاء الاصطناعي قد بلغت نقطة تحول خطيرة، وقالوا إنه حتى بدون النموذج الجديد القوي، فإن نماذج الذكاء الاصطناعي المتاحة للجمهور قادرة بالفعل على تنفيذ هجمات سيبرانية متطورة، وأحيانًا في غضون دقائق.
وبذلك أصبح بإمكان المهاجمين، ممن يفتقرون حتى للمهارات التقنية المتقدمة، شن هجمات مؤتمتة بالكامل على آلاف الأنظمة في وقت واحد ضمن هجوم واسع ومنسق.
ومن الناحية العملية، يثير هذا تساؤلات كبيرة لدى الشركات والحكومات حول كيفية حماية البنية التحتية الحيوية في عالم ستتوفر فيه هذه القدرات المتقدمة قريبًا في أيدي جهات خبيثة ودول معادية.
وما لم تعمل الحكومات والصناعة على تعزيز الدفاعات، فقد يشهد العالم موجة من الهجمات السيبرانية المدمرة التي قد تعطل أنظمة البنوك أو شبكات الكهرباء أو المستشفيات أو أنظمة المياه.
هذا السيناريو الكابوسي تحديدًا هو ما تسعى شركة أنثروبيك إلى تجنبه من خلال تقييد إطلاق نموذجها “ميثوس”.
هل “ميثوس” الأخطر حقًا؟
لكن ما لا يزال غير واضح، بحسب بعض الباحثين، هو مدى تأثير النماذج الجديدة على زيادة احتمالية وقوع هذا النوع من الهجمات الإلكترونية المدمرة. إلا أن سبب تشككهم ليس مطمئنًا، إذ يقولون إن الكثير مما يستطيع “ميثوس” فعله قد يكون ممكنًا بالفعل باستخدام نماذج أصغر حجمًا وأقل تكلفة ومتاحة للجميع.
تشير دراسة حديثة أجرتها شركة “AISLE” المتخصصة في أمن الذكاء الاصطناعي إلى أن العديد من الثغرات التي أبرزتها “أنثروبيك” في إعلانها – بما في ذلك أخطاء برمجية قديمة – كان من الممكن اكتشافها بواسطة نماذج متاحة للجميع يمكن لأي شخص تنزيلها وتشغيلها مجانًا.
لكن هناك بعض التحفظات: فبدلًا من توجيه نموذج الذكاء الاصطناعي مباشرة إلى تطبيق برمجي كامل أو قاعدة كود ضخمة وطلب إيجاد طريقة لاختراقه – كما يبدو أن أنثروبيك فعلت مع “ميثوس”- كان الباحثون في “AISLE” يعرفون مسبقًا الأجزاء التي تحتوي على الأخطاء والثغرات، وقاموا بإدخال هذه الأجزاء إلى النماذج.
وعادةً ما تمتلك نماذج الذكاء الاصطناعي الأصغر نطاقات سياق أضيق، مما يعني أنها لا تستطيع استيعاب قاعدة بيانات ضخمة دفعة واحدة.
لكن من الممكن تصور آلية معالجة يتم فيها تقسيم قاعدة البيانات الضخمة إلى أجزاء أصغر، يُغذى كل منها بدوره إلى نموذج ذكاء اصطناعي صغير، مما يسمح له بفحص كل جزء بحثًا عن ثغرات محتملة، وفقًا للخبراء.
ووفقًا لسبنسر ويتمان، كبير مسؤولي المنتجات في شركة غراي سوان لأمن الذكاء الاصطناعي، فإن الجزء الأصعب فيما حققه الباحثون مع “ميثوس” هو اكتشاف الثغرات الأمنية في قواعد أكواد ضخمة بشكل مستقل ثم اختبار استغلالها.
وقال لمجلة فورتشن: “العثور على نقاط الضعف أمر صعب لأنه يتطلب تحديد نقاط ضعف مخفية داخل ملايين الأسطر من التعليمات البرمجية والتحقق من أن هذه الأهداف تؤدي إلى استغلال حقيقي”. ويُزعم أن “ميثوس” أنه أنجز الخطوتين بشكل مستقل.
وأضاف: “حقيقة بقاء بعض هذه الثغرات الأمنية غير مكتشفة في قواعد الشيفرة البرمجية لعقود من الزمن تُبرز مدى صعوبة الخطوة الأولى فعليًا – ولماذا يُعدّ أتمتة هذه العملية أمرًا مهمًا”.
ووفقًا لتشارلي إريكسن، الباحث الأمني في شركة أيكيدو سكيورتي، قد تتمكن نماذج أصغر من تحقيق نتائج مماثلة لنتائج “ميثوس”، لكنها تتطلب مهارات تقنية أعلى، وتوجيهًا دقيقًا، وأدوات مصممة بشكل أفضل.
مع ذلك، قد تُسهّل نماذج مثل “ميثوس” على حتى من يمتلكون مهارات تقنية أقل تنفيذ هجمات إلكترونية متطورة ومدمرة.
وقال: “هذه التقنية تتحرك بسرعة كبيرة لدرجة أنه من السذاجة افتراض أن الآخرين غير قادرين على تكرار نتائج مماثلة بسهولة، إن لم يكن ذلك قد حدث بالفعل، فعلى الأقل سيحدث قريبًا جدًا”.
وأضاف: “يمكن لأي شخص لديه جهاز كمبيوتر تطوير قدرات هجومية سيبرانية قوية جدًا في فترة زمنية قصيرة، دون الحاجة إلى قدر كبير من الخبرة في مجال الأمن السيبراني”.
تركيز السلطة
يؤدي قرار “أنثروبيك” بتقييد إطلاق نموذج “ميثوس” إلى تركيز سلطة غير مسبوقة في يد شركة واحدة.
وعلى الرغم من أن “أنثروبيك” تقول إنها تُجري مشاورات مع الحكومة الأميركية بشأن قدرات “ميثوس” والثغرات الأمنية التي يكشفها، فإن الشركة تُقرر فعليًا من سيحصل على إمكانية الوصول إلى واحدة من أكثر القدرات السيبرانية تطورًا على الإطلاق.
ويجادل بعض خبراء الأمن ومطوري البرمجيات – خصوصًا المؤيدين للبرمجيات مفتوحة المصدر، أي البرمجيات المتاحة للجمهور وغالبًا القابلة للاستخدام مجانًا- بأن العالم سيكون أكثر أمانًا إذا تم إطلاق “ميثوس” بحيث يتمكن كل المدافعين، وليس فقط الشركاء الذين تختارهم “أنثروبيك”، من استخدامه لاكتشاف الثغرات وإصلاحها.
ويقول جوناثان إيوري، الباحث في معهد وارتون للذكاء الاصطناعي المُساءلة: “بغض النظر عن الحكم الصحيح في هذه الحالة، فإن الجانب الأكثر لفتًا للنظر هو مدى اعتمادنا على حكم عدد قليل من الجهات الخاصة التي لا تخضع للمساءلة العامة”.
وأشركت شركة أنثروبيك الحكومة مبكرًا، إذ حذرت الشركة المسؤولين الحكوميين الأميركيين بشكل مباشر من نموذج جديد وقوي يزيد بشكل كبير من خطر الهجمات الإلكترونية، وذلك قبل شهر على الأقل.
على الرغم من هذه الجهود، تتسع فجوة الحوكمة، وفقًا لحمزة شودري، رئيس قسم الذكاء الاصطناعي والأمن القومي في معهد ” Future of Life”.
ويرجع ذلك إلى أن هذه الأنظمة يتم دمجها في العمليات الهجومية السيبرانية بوتيرة أسرع من قدرة صناع السياسات على بناء أطر تنظيمية تحكم استخدامها أو تأمينها. وفي السابق، حتى القدرات السيبرانية التي طورتها الحكومات نفسها، وخاصة أدوات الاختراق التي طورتها وكالة الأمن القومي الأميركية، انتهى بها الأمر في أيدي جهات خبيثة.
علاوة على هذا، فإن القدرات السيبرانية لنماذج الذكاء الاصطناعي مثل “ميثوس” تطرح تحديات حوكمة جديدة تمامًا. فمع أدوات الاختراق السابقة، كان على الإنسان أن يختار عمدًا استخدام هذه الثغرات. لكن وفقًا لأنثروبيك، ففي اختبارات الأمان، كان نموذج “ميثوس” أحيانًا يستخدم قدراته في الاختراق لتحقيق هدف آخر بطرق فاجأت مطوريه.
وتكمن مشكلة الأمان غالبًا، كما يقول شودري، ليس في مهارات البرمجة لدى النموذج بحد ذاتها، بل في قدراته الاستقلالية. فكلما أصبحت أنظمة الذكاء الاصطناعي وكيلية أكثر -أي أكثر استقلالًا- أصبحت قادرة على وضع أهداف فرعية، وتعديل أسلوبها، ومواصلة العمل دون توجيه بشري مباشر في كل خطوة.
وسواء كانت الشركات لديها إمكانية الوصول إلى “ميثوس” أم لا، يقول الخبراء إن الجهات التي لا تستخدم الذكاء الاصطناعي حاليًا لتأمين أنظمتها قد تكون بالفعل متأخرة عن الركب.
وحتى مع قيام “أنثروبيك” بتقييد الوصول الواسع إلى نماذجها الجديدة، فإن القدرات الهجومية المدعومة بالذكاء الاصطناعي موجودة بالفعل بأشكال أقل قوة، لمن يعرف كيفية استخدامها.
