تُحدَّث يومياً

مصدرُك العربي
لمستقبل الذكاء الاصطناعي

أخبار، تقارير، أدوات وتحليلات يومية — كل ما تحتاجه لمتابعة ثورة الذكاء الاصطناعي باللغة العربية

✅ تم الاشتراك!
تعلم و استخدام الذكاء الاصطناعي

Mantis Skills من Google: خط أنابيب ذكاء اصطناعي من 15 مرحلة لمراجعة أمن الكود

بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري

نشرت Google على GitHub أداة مفتوحة المصدر باسم Mantis Skills — مجموعة مهارات قابلة للنقل تُمكّن وكلاء الكود من إجراء مراجعات أمنية شاملة بشكل تلقائي. الفكرة بسيطة في ظاهرها لكنها طموحة: بدلاً من انتظار مهندس أمن ليراجع كود قاعدة ضخمة يدوياً، يُشغّل الوكيل خط أنابيب من 15 مرحلة متسلسلة تتولى الفحص والتحقق وتوليد إثبات المفهوم وحتى كتابة الرقع البرمجية — كل ذلك داخل بيئة معزولة.

قبل الخوض في التفاصيل، لا بد من التوقف عند التحذير الصريح الذي وضعته Google في مقدمة التوثيق: الأداة تولّد وتنفّذ كوداً بشكل مستقل وقد يكون هذا الكود غير مستقر أو يُنفّذ أفعالاً غير متوقعة. لا تُشغّل هذه المجموعة على أي جهاز متصل بأنظمة إنتاجية أو شبكات داخلية أو بيانات حساسة. وكلاء الذكاء الاصطناعي غير حتميين — قد يهلوسون نتائج أو يولّدون رقعاً خاطئة، وكل ما يخرجه النظام يستوجب مراجعة خبير أمن بشري قبل الإبلاغ عنه.

يُعدّ هذا التحذير جزءاً من السياق الأوسع الذي تُقدّمه Google لـ إطار SAIF لأمن أنظمة الذكاء الاصطناعي، وتُرفق Mantis Skills بتوصية صريحة بالرجوع إليه. الأداة ليست بديلاً عن خبير الأمن، بل هي مضاعف للقدرة — تُنجز الجزء الممل وتترك الحكم للإنسان.

المعمارية الجوهرية للأداة هي خط أنابيب دائري يبدأ ويعود إلى نفسه، تُشرف عليه وحدة مركزية اسمها /mantis_meta_agent. إليك المراحل الـ 14 التنفيذية كاملة:

  1. استخراج التاريخ (/mantis_history): يُحلّل سجل نظام إدارة الإصدارات للمستودع لاستخراج الثغرات السابقة وأنماط الإصلاحات الأمنية، ويحفظها في ملف historical_learnings.jsonl.
  2. التلخيص (/mantis_summarize): يولّد ملف mantis_summary.md لكل مجلد مستفيداً من التاريخ المستخرج، ليُوفّر خريطة مرجعية سريعة تُحسّن تخطيط المراحل اللاحقة.
  3. بناء قاعدة المعرفة (/mantis_architecture): يُحلّل قاعدة الكود ويُنشئ قاعدة معرفة Markdown دائمة ومترابطة (workspace/kb/) تُوثّق الكيانات وتدفقات البيانات وأصناف الثغرات التاريخية.
  4. نمذجة التهديدات (/mantis_threat_model): يُقيّم الكيانات والمعمارية المُوثّقة في قاعدة المعرفة ليُنشئ ملف THREAT_MODEL.md يحدّد حدود الثقة وملفات المهاجمين المحتملين.
  5. التخطيط الاستراتيجي (/mantis_plan): يمسح حدود مساحة العمل ويقرأ فهارس قاعدة المعرفة ليُخرج استراتيجية مراجعة مُستهدفة في ملف plan.json مع مسارات السياق المرجعية.
  6. البحث والفرز (/mantis_researcher): يُنفّذ فرزاً ملف بملف مع مراجعة عميقة للثغرات المحتملة، ويُخرج النقاط الساخنة كملفات JSON منفردة في workspace/findings/.
  7. إزالة التكرار (/mantis_dedupe): يُجمّع النتائج المتكررة ويدمجها ويحذف الملفات المتشابهة داخل مجلد النتائج.
  8. التحقق (/mantis_review): يُصفّي النتائج الإيجابية الكاذبة باستخدام قيود براغماتية صارمة ويُحدّث حالة كل نتيجة.
  9. النقد (/mantis_critic): يتحقق من قابلية إعادة إنتاج الأعطال في بنيات الإصدار الحقيقية (مع تجاهل التحققات التصحيحية فقط)، ويُلحق المسارات غير القابلة للتطبيق بملف التعلم.
  10. إثبات المفهوم (/mantis_reproduce): يكتب سكريبتات إثبات المفهوم أو حمولات خام، وينفّذها داخل بيئات معزولة مثل gVisor أو الآلات الافتراضية، ويُحدّث حالة الإعادة في ملف النتيجة.
  11. تسلسل الثغرات (/mantis_chain): يُحلّل النتائج الفردية المُتحقق منها مع عناصر قاعدة المعرفة ليبني سلاسل استغلال متعددة الخطوات، ويُنشئ “نتائج خارقة” جديدة في مساحة العمل.
  12. الترقيع (/mantis_patch): يُولّد إصلاحات الكود ويُطبّقها، يُنفّذ اختبارات التحقق بعد الترقيع داخل الصندوق الرملي، ويُحدّث حالة الرقعة — مع حلقة إعادة هجوم اختيارية للتحقق من عدم الالتفاف على الإصلاح.
  13. معايرة المخاطر (/mantis_calibrate): يحسب درجة خطر Mantis النهائية من 1 إلى 10 لكل نتيجة بناءً على التأثير والأدلة والجدوى، ويُلحق النتيجة مباشرة بملف النتيجة.
  14. الاستيعاب والتعلم (/mantis_reflect): يُحلّل مسارات تنفيذ الوكلاء في الجولة الحالية لاستخراج الافتراضات الخاطئة وإخفاقات الأدوات والنجاحات، ويُلحقها بملف التعلم learnings.jsonl — وهذا ما يجعل الأداة تتحسّن عبر الجولات.

ما يميّز Mantis عن مجرد سكريبت فحص تقليدي هو حلقة التعلم المستمر: نتائج كل جولة تُغذّي الجولة التالية عبر ملف learnings.jsonl، ما يمنع الوكلاء من تكرار تحليل نفس الشيء مرتين ويجعل الفحوصات اللاحقة أكثر دقة. كذلك تدعم الأداة حلقة “إعادة الهجوم” في مرحلة الترقيع: بعد تطبيق الإصلاح، يعود الوكيل لمحاولة الالتفاف عليه — وهي فكرة ذكية تُحاكي سلوك المهاجم الحقيقي.

المتطلبات التقنية للتشغيل واضحة: يحتاج المستخدم إلى Gemini CLI أو Antigravity CLI (وتعمل أدوات مماثلة أخرى أيضاً)، وDocker مُثبّتاً وقيد التشغيل، ويُنصح بشدة بتثبيت gVisor (runsc) وتسجيله في Docker لتنفيذ كود إثبات المفهوم الذي يولّده الذكاء الاصطناعي داخل بيئة مشدّدة. تتضمّن الإضافات الاختيارية SDKs السحابية لتشغيل الصناديق الرملية عن بُعد بدلاً من الحاويات المحلية.

مرونة الأداة تتجلى في قابليتها للتوسع: يمكن توجيهها نحو تدقيق تصاميم RTL بـ SystemVerilog أو VHDL، أو تحليل ملفات Terraform وإعدادات Kubernetes RBAC، أو تدقيق بيانات التدريب وصيغ تسلسل النماذج كثغرات Pickle، أو حتى إجراء فحص رمادي للملفات الثنائية المُجمَّعة باستخدام أدوات مثل Ghidra وradare2 وqemu — لمحاكاة ما يستطيع مهاجم خارجي اكتشافه من الملفات المُصدَرة فقط دون الحصول على الكود المصدري.

توصية Google في التوثيق بشأن اختيار النموذج مثيرة للاهتمام: لا حاجة لاستخدام أثقل نماذج الذكاء الاصطناعي في كل مرحلة. مرحلة الفرز الأولى في /mantis_researcher وعملية إزالة التكرار في /mantis_dedupe تعمل بكفاءة مع نماذج “flash” أو “lite” السريعة، إذ لا تتطلب عمقاً منطقياً كبيراً بقدر ما تحتاج إلى سرعة في تحليل النصوص — مما يُتيح موازاة فحص ملفات ضخمة دون اختناقات. هذا التدرج الذكي يُخفّض التكلفة الحسابية بشكل ملموس.

للمبتدئين أو الفرق غير الجاهزة لخطوط أنابيب مؤتمتة بالكامل، توصي Google بـ “الوضع التفاعلي”: تشغيل CLI بشكل طبيعي وإدخال أوامر المهارات يدوياً واحدة تلو الأخرى دون استخدام أعلام --yolo أو --dangerously-skip-permissions، مما يُتيح للإنسان مراجعة ما يعتزم الذكاء الاصطناعي تنفيذه قبل كل خطوة حساسة. وتوفّر Google أيضاً توثيقاً لنشر المجموعة على Google Compute Engine لمن يريد بيئة سحابية معزولة بشكل أقوى.

الأداة متاحة الآن عبر GitHub، وتندرج ضمن مبادرة برنامج مكافآت ثغرات البرمجيات مفتوحة المصدر من Google. الرسالة الضمنية واضحة: مراجعات الأمن ستبقى بشرية في الحكم، لكن الجزء المُجهِد من العمل — المسح والفرز والتحقق — يمكن تفويضه بشكل منهجي لوكلاء يعملون دون انقطاع.

Google GitHub

مقالات ذات صلة

زر الذهاب إلى الأعلى