Analysis
CAPACITY TEST:

البرمجة بالذكاء الاصطناعي تجعل المطورين هدفاً سيبرانياً عالي القيمة

موجز التحرير

يشير تحليل نشره موقع @IT الياباني إلى أن المهاجمين يستهدفون المطورين بشكل متزايد لأن أدوات البرمجة بالذكاء الاصطناعي والبرمجيات مفتوحة المصدر وخطوط CI/CD والخدمات السحابية تجمع حولهم صلاحيات وبيانات اعتماد عالية القيمة.

تمت المراجعة مقابل مواد المصدرتحرير مكتب الأمن السيبراني في SendTech Times
البرمجة بالذكاء الاصطناعي تجعل المطورين هدفاً سيبرانياً عالي القيمة
مصدر الصورة: @IT

المطورون يتحولون إلى نقطة دخول عالية القيمة

يشير تحليل نشره موقع @IT الياباني إلى أن المطورين أصبحوا هدفاً سيبرانياً رئيسياً لأن عمل البرمجيات الحديث يركز صلاحيات عالية القيمة حول شخص واحد. فالمطورون يتعاملون غالباً مع مستودعات الشيفرة ورموز API ومفاتيح التوقيع والخدمات السحابية وخطوط CI/CD وحقوق نشر الحزم، وأحياناً أنظمة الإنتاج. وإذا تم اختراق حساب مطور واحد أو جهازه، يمكن للمهاجمين الانتقال إلى أنظمة البناء وسلاسل توريد البرمجيات.

البرمجة بالذكاء الاصطناعي تزيد السرعة وعبء المراجعة

يحدد المقال البرمجة بمساعدة الذكاء الاصطناعي كأول نقطة ضغط. فالوكلاء البرمجيون يمكنهم تسريع تطوير التطبيقات، لكنهم يزيدون أيضاً حجم الشيفرة التي يجب على البشر مراجعتها. ويستشهد المصدر باختبارات أجرتها Tenzai على Cursor وClaude Code وOpenAI Codex وReplit وDevin، حيث احتوت التطبيقات المولدة على ثغرات. كما يبرز التقرير خطر هلوسة الحزم، عندما تقترح أداة ذكاء اصطناعي حزمة غير موجودة فيسجلها المهاجمون قبل أن يثبتها المطورون.

التوظيف والبرمجيات مفتوحة المصدر وCI/CD قنوات هجوم

نقطة الضغط الثانية هي الهندسة الاجتماعية عبر التوظيف. ويستشهد المقال بتحذيرات Microsoft من مقابلات وهمية قد تدفع المطورين إلى استنساخ أو تشغيل حزم npm خبيثة. وبما أن أجهزة المطورين قد تحتوي على بيانات اعتماد للمستودعات ومفاتيح API وصلاحيات للبنية التحتية، فإن الخدعة الناجحة قد تتحول إلى اختراق مؤسسي.

نقطة الضغط الثالثة هي تلويث البرمجيات مفتوحة المصدر. يقول المقال إن أنظمة الحزم الموثوقة قد تتحول إلى مسارات توزيع عندما تتعرض مكتبات أو إضافات واسعة الاستخدام للاختراق. ويذكر إفصاح 31 مارس 2026 المتعلق بإصدارين جديدين من axios على npm احتويا على اعتماد خبيث. وتشمل الدفاعات المقترحة الحد من التحديثات التلقائية للحزم المهمة، وتقييد روبوتات إدارة الاعتماديات، واعتماد Trusted Publishing القائم على OIDC.

نقطة الضغط الرابعة هي أتمتة CI/CD. فقد حذرت GitHub من هجمات تبدأ من GitHub Actions لسرقة الأسرار ونشر حزم خبيثة وإعادة استخدام بيانات الاعتماد. ويشير المقال إلى CodeQL ورموز OIDC وTrusted Publishing كدفاعات عملية، لكنه يلاحظ أن التبني غير متساو. فقد وجدت دراسة من NTT وNTT DOCOMO Business وجامعة واسيدا أن عدة إجراءات موصى بها لحماية GitHub Actions ما زالت محدودة الاستخدام، مع وصول تبني OpenSSF Scorecard إلى 0.6% فقط.

لماذا يهم ذلك أمن المؤسسات

الخلاصة أن أمن المطورين أصبح جزءاً من أمن الأعمال. قد تخفف البرمجة بالذكاء الاصطناعي بعض الأعباء، لكنها قد تخلق أيضاً إرهاقاً في المراجعة ومخاطر اعتماديات وضغطاً على قرارات الموافقة. وتحتاج الشركات اليابانية التي تتبنى تطوير البرمجيات المدعوم بالذكاء الاصطناعي إلى ضوابط أقوى للصلاحيات، وإعدادات CI/CD أكثر أماناً، وإدارة أفضل للأسرار، وحوكمة للاعتماديات، واستجابة للحوادث تشمل مصنع البرمجيات نفسه.

شارك هذا المقال
inXf

مقالات ذات صلة

المزيد
ترجمة IPA لأهداف CISA الأمنية تجعل البنية التحتية اليابانية أمام اختبار ضوابط أساسية
الأمن السيبراني

ترجمة IPA لأهداف CISA الأمنية تجعل البنية التحتية اليابانية أمام اختبار ضوابط أساسية

نشرت وكالة ترويج تكنولوجيا المعلومات اليابانية ترجمة يابانية لأهداف الأداء السيبراني العابرة للقطاعات من CISA، الإصدار 2.0، لمشغلي البنية التحتية الحيوية المحليين. يغطي الإرشاد بيئات تقنية المعلومات والتقنية التشغيلية، ويربط الأهداف بإطار NIST CSF 2.0، ويعرض الضوابط كممارسات دنيا لا كبرنامج أمن سيبراني كامل. الاختبار العملي هو ما إذا كان مالكو الأصول سيستخدمون ورقة العمل لترتيب الفجوات حسب التكلفة والتعقيد والأثر ثم مراجعة التقدم بعد 12 شهراً.

أكرونيس تستهدف فجوة السحابة في اليابان بعد تغييرات VMware بمنصة HCI للشركاء
السحابة ومراكز البيانات

أكرونيس تستهدف فجوة السحابة في اليابان بعد تغييرات VMware بمنصة HCI للشركاء

قدمت أكرونيس اليابان منصة Acronis Cyber Frame، وهي منصة IaaS قائمة على البنية فائقة التقارب لمزودي الخدمات وشركاء الاستضافة. ترتبط الخطوة بالطلب على بدائل VMware، وسيادة البيانات، وخيارات الاستضافة المحلية، وخدمات الأمن المدارة الأقوى. كما عرضت الشركة خططا للأتمتة بالذكاء الاصطناعي، وخدمات MDR، وكشف تهديدات الهوية، وحماية استخدام الذكاء الاصطناعي التوليدي.

تراجع سهم بالو ألتو يكشف أن طلب أمن الذكاء الاصطناعي ما زال يواجه مشكلة توقيت
الأمن السيبراني

تراجع سهم بالو ألتو يكشف أن طلب أمن الذكاء الاصطناعي ما زال يواجه مشكلة توقيت

تراجع سهم Palo Alto Networks بأكثر من 4% رغم نتائج فصلية قوية وتوجيهات للربع الحالي تجاوزت التوقعات. كرر الرئيس التنفيذي Nikesh Arora هدف تجاوز 4,000 عملية منصة بحلول السنة المالية 2030 وهدفاً قدره 20 مليار دولار لإيرادات NGS ARR. الاختبار العملي هو ما إذا كان الطلب الأمني المرتبط بالذكاء الاصطناعي سيتحول إلى تقدم في NGS ARR مع طلب بنية مراكز البيانات وتركيبها وتشغيلها.

Sysdig تقول إن برمجية الفدية بالذكاء الاصطناعي احتاجت إلى إعداد بشري
الأمن السيبراني

Sysdig تقول إن برمجية الفدية بالذكاء الاصطناعي احتاجت إلى إعداد بشري

وصفت Sysdig عملية JadePuffer بأنها برمجية فدية وكيلة، لكن Michael Clark قال إن إنسانا اختار الضحية وجهز البنية وقدم بيانات اعتماد قاعدة البيانات قبل أن ينفذ وكيل الذكاء الاصطناعي الهجوم.

ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح
الأمن السيبراني

ثغرة Cisco Unified CM تضع تعرض WebDialer تحت ضغط التصحيح

نشرت Cisco إرشادات للإصدارات المصححة الخاصة بثغرة حرجة في Unified Communications Manager يمكن أن تتيح للمهاجمين الحصول على صلاحيات الجذر عندما تكون WebDialer مفعلة. يدرك فريق Cisco PSIRT وجود كود إثبات مفهوم عام للثغرة CVE-2026-20230، لكنه لم يجد دليلاً على استغلال نشط أو استهداف. الاختبار الفوري هو ما إذا كان المسؤولون سيصححون Unified CM أو يعطلون WebDialer قبل أن يتحول كود إثبات المفهوم إلى تعرض أوسع.

أداة فدية مبنية بالذكاء الاصطناعي تجعل تجاوز أنظمة الكشف مساراً أسرع للجريمة السيبرانية
الأمن السيبراني

أداة فدية مبنية بالذكاء الاصطناعي تجعل تجاوز أنظمة الكشف مساراً أسرع للجريمة السيبرانية

اعتمد ممثل تهديد مرتبط ببرمجيات الفدية أداة مبنية بالذكاء الاصطناعي لاكتشاف Active Directory وتجاوز أنظمة الكشف والاستجابة عند نقاط النهاية. وجدت Sophos أن وكلاء Cursor وClaude Opus ساعدوا في التطوير، مع اختبار ما يقارب 80 وحدة ضد أكثر من 70 تقنية. الاختبار العملي هو ما إذا كان المدافعون يستطيعون تقصير دورات التحقق مع تسريع الذكاء الاصطناعي انتقال الأبحاث الهجومية إلى مكونات برمجية خبيثة قابلة للاستخدام.

التالي

المزيد من الأخبار

كل الأخبار
Nvidia تعرض حملة ذكاء اصطناعي مع البنوك وToyota وRIKENالرقائق وأشباه الموصلات16 يوليو 2026Nvidia تعرض حملة ذكاء اصطناعي مع البنوك وToyota وRIKENأفاد Tech Wire Asia بأن Nvidia استخدمت زيارة Jensen Huang إلى البلاد لعرض نماذج Nemotron وأنظمة DGX B200 وحواسيب Blackwell الفائقة أمام بنوك وشركات سيارات ومستشفيات ومراكز بحث محلية. ولم يحدد التقرير عدد المشاريع التي انتقلت من التجارب إلى الإنتاج أو نتائج قياس مستقلة أو أحجام طلبات الرقائق.IBM تضيف وكيل تشغيل بالذكاء الاصطناعي وخادم S1112 لأحمال عمل المؤسساتالذكاء الاصطناعي16 يوليو 2026IBM تضيف وكيل تشغيل بالذكاء الاصطناعي وخادم S1112 لأحمال عمل المؤسساتأعلنت IBM عن Power Autonomous Operations وIBM Bob Premium Package for i وخادم Power S1112 لأحمال عمل Power في المؤسسات. وقالت IBM إن S1112 متوقع في 24 يوليو 2026، وإن Power Autonomous Operations متوقع في 23 سبتمبر 2026، بينما بقيت الأسعار وأحجام الطلبات ونتائج الاختبارات المستقلة غير معلنة.Sheetz تنقل 11,000 آلة افتراضية من VMware بعد تحول تراخيص Broadcomالسحابة ومراكز البيانات16 يوليو 2026Sheetz تنقل 11,000 آلة افتراضية من VMware بعد تحول تراخيص Broadcomأفاد Ars Technica بأن Sheetz تنقل نحو 11,000 آلة افتراضية في 838 موقعا من VMware vSphere إلى StorMagic SvHCI. وأنجزت سلسلة متاجر الراحة نقل أكثر من 600 متجر، لكن التقرير لم يتضمن قيم العقود أو تكاليف تراخيص البرمجيات أو شروط الدعم النهائية.Revolut تضيف موافقة VARA للأصول المشفرة إلى تراخيص المدفوعات في الإماراتالتقنية المالية والمدفوعات الرقمية16 يوليو 2026Revolut تضيف موافقة VARA للأصول المشفرة إلى تراخيص المدفوعات في الإماراتأفاد PYMNTS بأن Revolut حصلت على موافقة أولية من VARA لترخيص VASP في الإمارات، بعد أسابيع من تراخيص المدفوعات من Central Bank of the UAE. ولا تزال الموافقة خاضعة للتوقيع النهائي، ولم تكشف Revolut موعد الإطلاق أو أسعار خدمات الأصول المشفرة أو أعداد العملاء الأوائل.تغيير أمريكي يوسع وصول الإمارات إلى رقائق AI وفق DCDالرقائق وأشباه الموصلات16 يوليو 2026تغيير أمريكي يوسع وصول الإمارات إلى رقائق AI وفق DCDأفاد Data Center Dynamics بأن الحكومة الأمريكية نقلت الإمارات إلى فئة أقل تقييدا في ضوابط التصدير، ما يمنح شركات إماراتية وصولا أوسع إلى رقائق AI المتقدمة من Nvidia وAMD. ويذكر التقرير G42 ومشاريع مراكز بيانات لمزودي السحابة، لكنه لا يسرد كميات الرقائق أو تراخيص معتمدة أو مشاريع إماراتية محددة.Cadence تقدم وكيل AuraStack لتصميم PCB والتغليف المتقدمالرقائق وأشباه الموصلات16 يوليو 2026Cadence تقدم وكيل AuraStack لتصميم PCB والتغليف المتقدمأفاد The Register بأن Cadence Design Systems قدمت AuraStack، وهو نظام ذكاء اصطناعي وكيل لسير عمل PCB والتغليف المتقدم. واستندت Cadence إلى مطالبة إنتاجية تبلغ 15x وذكرت Nvidia بين العملاء، لكن التقرير لم يتضمن الأسعار أو مواعيد التوافر أو القائمة الكاملة للعملاء أو نتائج معيارية مستقلة.OpenAI تدعم خط سلامة للولايات مع اقتراب اختبارات سيبرانية فدراليةرأس المال والسياسات16 يوليو 2026OpenAI تدعم خط سلامة للولايات مع اقتراب اختبارات سيبرانية فدراليةقالت OpenAI إن كاليفورنيا ونيويورك وإلينوي دفعت تشريعات سلامة للذكاء الاصطناعي الحدودي بعناصر مشتركة للإفصاح والإبلاغ عن الحوادث والتدقيق، بينما لا يزال إطار الاختبار السيبراني الفدرالي مستهدفا في أوائل أغسطس.Intel تشحن رقائق Panther Lake مصنوعة بتقنية ASML High NA EUVالرقائق وأشباه الموصلات16 يوليو 2026Intel تشحن رقائق Panther Lake مصنوعة بتقنية ASML High NA EUVشحنت Intel معالجات Panther Lake مختارة مصنوعة على Intel 18A باستخدام تقنية ASML High NA EUV، وفق تقرير Interesting Engineering، ما يمنحها بيانات إنتاج بينما لا تزال أسماء العملاء وحجم الشحنات وجدول التوسع غير معلنة.Thinking Machines تطلق نموذج Inkling مفتوح الأوزان مع 975 مليار معاملالذكاء الاصطناعي16 يوليو 2026Thinking Machines تطلق نموذج Inkling مفتوح الأوزان مع 975 مليار معاملأفاد SiliconANGLE بأن Thinking Machines Lab أطلقت Inkling، أول نموذج أساس لها، مع أوزان مفتوحة كاملة وإمكانية fine-tuning عبر Tinker. وذكر التقرير 975 مليار معامل إجمالي، ونحو 41 مليار معامل نشط في الطلب المتوسط، وتدريبا على نحو 45 تريليون رمز، مع بقاء عملاء النشر والتحقق المستقل من الاختبارات غير معلنين.OpenAI تبقي نموذج GPT-Red الهجومي خاصا بعد اختبارات prompt injectionالذكاء الاصطناعي16 يوليو 2026OpenAI تبقي نموذج GPT-Red الهجومي خاصا بعد اختبارات prompt injectionأفاد The Next Web بأن OpenAI بنت GPT-Red، وهو نموذج داخلي للاختبار الهجومي الآلي لهجمات prompt injection، لكنها تبقي أداة الهجوم خاصة. وذكر التقرير نسب نجاح تجاوزت 90% ضد نسخة أقدم من GPT-5 وأقل من 23% ضد GPT-5.6، مع بقاء حالات يلتقطها المختبرون البشر.Nokia وNVIDIA تدفعان خارطة AI-RAN نحو اختبارات 2027الرقائق وأشباه الموصلات16 يوليو 2026Nokia وNVIDIA تدفعان خارطة AI-RAN نحو اختبارات 2027أعلنت Nokia منصة RAN أصلية للذكاء الاصطناعي مع تكامل NVIDIA Aerial، وقالت إن مكاسب كفاءة الطيف التي تم عرضها تتجاوز 20%، بينما تبقى أهداف 50% و100% الأكبر مرتبطة بمحطات خارطة الطريق في 2027 و2028.OpenAI تضيف تحليلات استخدام وضوابط إنفاق إلى ChatGPT Workالذكاء الاصطناعي15 يوليو 2026OpenAI تضيف تحليلات استخدام وضوابط إنفاق إلى ChatGPT Workقالت OpenAI إن GPT-5.6 يستخدم رموز إخراج أقل بنسبة 54% ووقتا أقل بنسبة 57% لكل مهمة في مؤشر وكيل برمجي مسمى، بينما تطلب إرشاداتها للمؤسسات من مسؤولي ChatGPT Work إدارة إنفاق الذكاء الاصطناعي عبر النتائج المقبولة وتحليلات الاستخدام وضوابط الحوكمة بدلا من سعر الرمز وحده.