أطلقت مايكروسوفت إطارًا جديدًا يحمل اسم BlueCodeAgent لتعزيز أمن الشيفرة التي ينتجها الذكاء الاصطناعي، عبر فحص التعليمات المدخلة والشيفرة المولَّدة من النماذج اللغوية الكبيرة (LLMs) بحثًا عن نوايا خبيثة وثغرات خفية، وذلك في إعلان عبر مدونة Microsoft Research بتاريخ 11 نوفمبر/تشرين الثاني 2025.
يمثّل BlueCodeAgent إطار «بلو تيمينغ» (الدفاع الأزرق) متكاملاً موجَّهًا لأنظمة توليد الشيفرة بالذكاء الاصطناعي، ويهدف إلى تجاوز حدود الاكتفاء بالمطالبات الآمنة (Safety Prompts)، عبر دمج تحليل دلالي متقدم مع معرفة متراكمة من اختبارات هجومية ومنظومة اختبار ديناميكي للشيفرة داخل بيئات معزولة.
يعتمد النظام على خط أنابيب آلي لـ«الريد تيمينغ» (الاختبار الهجومي) يقوم بتوليد تعليمات عدائية، وتعليمات تُحفّز التحيز، وأمثلة على شيفرة تحتوي على ثغرات أمنية، بالاستناد إلى سياسات أمنية وأخلاقية وقواعد بيانات لثغرات البرمجيات الشائعة. تُستخدَم هذه الأمثلة لصنع مجموعة واسعة من سيناريوهات المخاطر القريبة من الواقع.
ويقوم BlueCodeAgent بتقطير هذه المعرفة الهجومية إلى ما يصفه الباحثون بـ«الدساتير» الأمنية: قواعد واضحة قابلة للتطبيق تساعد النموذج اللغوي على التمييز بين التعليمات المشروعة وتلك التي تحمل نوايا خبيثة أو متحيزة، وعلى رصد الشيفرة المعرضة للهجوم. ويستهدف الإطار ثلاث فئات رئيسية من المخاطر: تعليمات منحازة، وتعليمات خبيثة، وشيفرة تحتوي على ثغرات، محققًا متوسط تحسّن قدره 12.7٪ في مقياس F1 عبر عدة مجموعات بيانات ومهام مقارنةً بنهج المطالبات التقليدي.
وعلى عكس الأنظمة التي تكتفي بتحليل الشيفرة بشكل ثابت، يدمج BlueCodeAgent طبقة اختبار ديناميكي؛ إذ يُشغِّل الشيفرة المشكوك فيها داخل «صناديق رمل» (Sandboxes) معزولة تعتمد حاويات Docker للتحقق مما إذا كانت الثغرات التي اكتشفها النموذج تظهر فعليًا عند التنفيذ، ما يقلل من الإنذارات الكاذبة ويزيد ثقة المطوّرين في قرارات الأداة.
ويأتي هذا العمل امتدادًا لجهود مايكروسوفت السابقة في مجال تأمين أنظمة الذكاء الاصطناعي التوليدي، بعد كشفها عن إطار RedCodeAgent للاختبار الهجومي الآلي ضد «وكلاء الشيفرة» (Code Agents)، حيث يركّز RedCodeAgent على اكتشاف نقاط الضعف، بينما يقدّم BlueCodeAgent الجانب الدفاعي المنهجي القادر على الاستفادة من هذه المعرفة لتحسين أنظمة الحماية.
وبحسب ورقة البحث المصاحبة، يبيّن تقييم BlueCodeAgent على نماذج لغوية مختلفة، مفتوحة المصدر وتجارية، أنه قادر على التعميم على مخاطر غير مسبوقة، بفضل اعتماده على دساتير مستخلصة من بيانات هجومية متنوعة، إضافة إلى تحليله المتعدّد المستويات للشيفرة والتعليمات النصية. ويرى الباحثون أن دمج المعرفة المستقاة من الريد تيمينغ في أدوات الدفاع يوسّع حدود ما يمكن أن تقدمه آليات «عدالة الخوارزميات» و«تنظيم الذكاء الاصطناعي» في سياق أمن الشيفرة.
ويتوقع الفريق البحثي أن يمتد دور BlueCodeAgent مستقبلًا إلى التعامل مع فئات أوسع من المخاطر في توليد الشيفرة، بما في ذلك تحليل المشاريع على مستوى الملفات والمستودعات الكاملة، وربما التوسع إلى وسائط أخرى مثل النصوص العامة والصور والفيديو والصوت، في ظل تنامي اعتماد المؤسسات على الذكاء الاصطناعي التوليدي في عمليات التطوير. ويبقى السؤال المطروح: هل تصبح أدوات مثل BlueCodeAgent طبقة أمان إلزامية قبل اعتماد الشيفرة المولَّدة بالذكاء الاصطناعي في البيئات الإنتاجية الحسّاسة؟
📌 الملخص:
مايكروسوفت تطلق BlueCodeAgent، إطار «بلو تيمينغ» جديد يجمع بين الاختبار الهجومي الآلي و«دساتير» أمنية واختبارات ديناميكية داخل بيئات معزولة لرصد التعليمات الخبيثة والثغرات في الشيفرة المولَّدة بالذكاء الاصطناعي. الأداة تُظهر تحسّنًا ملحوظًا في اكتشاف المخاطر، مع قدرة على التعميم على تهديدات لم تُر سابقًا، ما يمهّد لاعتماد أوسع وآمن لأدوات توليد الشيفرة في المؤسسات.
