البرمجة بالذكاء الاصطناعي تجعل المطورين هدفاً سيبرانياً عالي القيمة

يشير تحليل نشره موقع @IT الياباني إلى أن المهاجمين يستهدفون المطورين بشكل متزايد لأن أدوات البرمجة بالذكاء الاصطناعي والبرمجيات مفتوحة المصدر وخطوط CI/CD والخدمات السحابية تجمع حولهم صلاحيات وبيانات اعتماد عالية القيمة.

المطورون يتحولون إلى نقطة دخول عالية القيمة

يشير تحليل نشره موقع @IT الياباني إلى أن المطورين أصبحوا هدفاً سيبرانياً رئيسياً لأن عمل البرمجيات الحديث يركز صلاحيات عالية القيمة حول شخص واحد. فالمطورون يتعاملون غالباً مع مستودعات الشيفرة ورموز API ومفاتيح التوقيع والخدمات السحابية وخطوط CI/CD وحقوق نشر الحزم، وأحياناً أنظمة الإنتاج. وإذا تم اختراق حساب مطور واحد أو جهازه، يمكن للمهاجمين الانتقال إلى أنظمة البناء وسلاسل توريد البرمجيات.

البرمجة بالذكاء الاصطناعي تزيد السرعة وعبء المراجعة

يحدد المقال البرمجة بمساعدة الذكاء الاصطناعي كأول نقطة ضغط. فالوكلاء البرمجيون يمكنهم تسريع تطوير التطبيقات، لكنهم يزيدون أيضاً حجم الشيفرة التي يجب على البشر مراجعتها. ويستشهد المصدر باختبارات أجرتها Tenzai على Cursor وClaude Code وOpenAI Codex وReplit وDevin، حيث احتوت التطبيقات المولدة على ثغرات. كما يبرز التقرير خطر هلوسة الحزم، عندما تقترح أداة ذكاء اصطناعي حزمة غير موجودة فيسجلها المهاجمون قبل أن يثبتها المطورون.

التوظيف والبرمجيات مفتوحة المصدر وCI/CD قنوات هجوم

نقطة الضغط الثانية هي الهندسة الاجتماعية عبر التوظيف. ويستشهد المقال بتحذيرات Microsoft من مقابلات وهمية قد تدفع المطورين إلى استنساخ أو تشغيل حزم npm خبيثة. وبما أن أجهزة المطورين قد تحتوي على بيانات اعتماد للمستودعات ومفاتيح API وصلاحيات للبنية التحتية، فإن الخدعة الناجحة قد تتحول إلى اختراق مؤسسي.

نقطة الضغط الثالثة هي تلويث البرمجيات مفتوحة المصدر. يقول المقال إن أنظمة الحزم الموثوقة قد تتحول إلى مسارات توزيع عندما تتعرض مكتبات أو إضافات واسعة الاستخدام للاختراق. ويذكر إفصاح 31 مارس 2026 المتعلق بإصدارين جديدين من axios على npm احتويا على اعتماد خبيث. وتشمل الدفاعات المقترحة الحد من التحديثات التلقائية للحزم المهمة، وتقييد روبوتات إدارة الاعتماديات، واعتماد Trusted Publishing القائم على OIDC.

نقطة الضغط الرابعة هي أتمتة CI/CD. فقد حذرت GitHub من هجمات تبدأ من GitHub Actions لسرقة الأسرار ونشر حزم خبيثة وإعادة استخدام بيانات الاعتماد. ويشير المقال إلى CodeQL ورموز OIDC وTrusted Publishing كدفاعات عملية، لكنه يلاحظ أن التبني غير متساو. فقد وجدت دراسة من NTT وNTT DOCOMO Business وجامعة واسيدا أن عدة إجراءات موصى بها لحماية GitHub Actions ما زالت محدودة الاستخدام، مع وصول تبني OpenSSF Scorecard إلى 0.6% فقط.

لماذا يهم ذلك أمن المؤسسات

الخلاصة أن أمن المطورين أصبح جزءاً من أمن الأعمال. قد تخفف البرمجة بالذكاء الاصطناعي بعض الأعباء، لكنها قد تخلق أيضاً إرهاقاً في المراجعة ومخاطر اعتماديات وضغطاً على قرارات الموافقة. وتحتاج الشركات اليابانية التي تتبنى تطوير البرمجيات المدعوم بالذكاء الاصطناعي إلى ضوابط أقوى للصلاحيات، وإعدادات CI/CD أكثر أماناً، وإدارة أفضل للأسرار، وحوكمة للاعتماديات، واستجابة للحوادث تشمل مصنع البرمجيات نفسه.