شهدت برامج مكافآت اكتشاف الثغرات الأمنية تحولًا جذريًا خلال العقد الماضي؛ فبعد أن كانت المؤسسات تتعامل بعدائية مع الباحثين، أصبحت تعترف بضرورة هذه البرامج.
وعلى سبيل المثال، رفعت شركة “آبل” سقف مكافآتها من 200 ألف دولار عام 2016 إلى مليوني دولار في العام الماضي؛ لكن هذا المشهد يواجه اليوم تغييرًا غير مسبوق، بحسب مجلة “وايرد”.
ومع تطور نماذج الذكاء الاصطناعي وقدرتها على اكتشاف الثغرات البرمجية وتطوير أدوات لاختراقها آليًا، تواجه برامج الإبلاغ سيلًا عارمًا من التقارير.
ويغير هذا التدفق المعايير الاقتصادية للمؤسسات والباحثين معًا؛ إذ يشير الباحث الأمني جوزيف ثاكر إلى أنه قدم تقارير بثغرات تفوق ما قدمه العام الماضي بثلاث مرات، متوقعًا أن تضاعف شركات مثل “جوجل” إنفاقها على المكافآت بشكل كبير هذا العام.
ورغم قدرة عمالقة التقنية على استيعاب هذا الضغط، قد تعجز الشركات الأصغر عن ذلك؛ إذ يتوقع ثاكر أن ينخفض عدد الثغرات المكتشفة لاحقًا بعد استنفاد الأهداف السهلة، مما قد يدفع الشركات لرفع قيمة المكافآت مجددًا.
ويفرض هذا الواقع ضغطًا هائلًا لتسريع التحديثات الأمنية؛ إذ يشير الباحث هيمانشو أناند إلى أن مهلة الـ 90 يومًا المعتادة للإفصاح عن الثغرات صُممت لعالم بطيء، وهو عالم انتهى بفضل الذكاء الاصطناعي الذي ضغط هذه الجداول الزمنية.
ويمثل هذا تحديًا معقدًا؛ إذ إن نشر التحديثات سريعًا على نطاق واسع دون اختبار كافٍ قد يؤدي إلى أعطال كارثية.
وتتزايد خطورة الموقف مع استخدام القراصنة للذكاء الاصطناعي؛ حيث رصدت “جوجل” محاولات من مجرمي إنترنت لاستغلال ثغرة لم تكن معروفة سابقًا لتجاوز المصادقة الثنائية.
ويؤكد جون هولتكيست، محلل التهديدات في “جوجل”، أن هذا الحادث يمثل أول دليل ملموس على استخدام المجرمين للذكاء الاصطناعي لاكتشاف ثغرات جديدة، محذرًا من الاستهانة بتداعيات ذلك.
وقد أثر هذا التحول سلبًا على بعض المشاريع مفتوحة المصدر؛ حيث أوقفت أداة Curl برنامج مكافآتها مؤقتًا في يناير الماضي بعد غمرها بتقارير رديئة أُنشئت بالذكاء الاصطناعي، وهو تحدٍ واجهه أيضًا مطور “لينكس” لينوس تورفالدس.
لكن دانيال ستينبيرج، مؤسس Curl أوضح لاحقًا أن جودة التقارير تحسنت بشكل ملحوظ وأصبحت تُقدم بوتيرة وضعتهم تحت ضغط شديد.
واستجابة لهذه المتغيرات، أعادت “جوجل” هيكلة برامج المكافآت لمتصفحي “كروم” و”أندرويد” لتركز على الثغرات الأكثر تعقيدًا وتأثيرًا.
وفي حين تطلق شركات مثل “أنثروبيك” برامج مكافآت خاصة بها، يرى الخبراء، ومنهم المهندس الأمني نيلز بروفوس، أن الحل لم يعد يكمن في الترقيع المستمر للبرمجيات، بل في بناء بنية تحتية رقمية قوية تجعل أكبر عدد ممكن من الثغرات غير قابل للاستغلال عمليًا.