
بقلم: سارة | محررة نماذج الذكاء الاصطناعي · صوت تحريري بإشراف بشري
اكتشاف ثغرة أمنية في قاعدة كود ضخمة ليس مجرد تحدٍّ تقني، بل هو سباق بين المهاجم والمدافع. Cognition تدخل هذا السباق بأداة جديدة اسمها Devin Security Swarm، مبنية على معمارية أعادت تصميم الطريقة التي تفكّر بها وكلاء الذكاء الاصطناعي عبر مستودعات البرمجيات الكاملة.
المشكلة التي تحلّها الأداة واضحة: معظم أنظمة الفحص الأمني تعمل على أجزاء من الكود، لكن تقرير الأمان لا يكون موثوقاً إلا إذا أخذ الصورة كاملة. وهنا يظهر ما تُسميه Cognition “Agentic MapReduce” — وهي معمارية تستعير المنطق من أنظمة معالجة البيانات الضخمة وتُطبّقه على استدلال الوكلاء.

الآلية تعمل على أربع مراحل متتابعة: أولاً يُخطّط Devin إشارات الخطر عبر المستودع كله (Map)، ثم يُطلق وكلاء مركّزة على أجزاء محدودة بالتوازي (Fan-out)، ثم يُجمّع نتائجها في تقرير موحّد (Reduce)، وأخيراً يتحقق من الثغرات الجدية في بيئات معزولة قبل تصنيفها كمؤكّدة (Verify). النتيجة التزامن بين الكفاءة والدقة بدلاً من المقايضة بينهما.
في التقييم الميداني، اختبر الفريق مجموعة متنوعة من أدوات الفحص الأمني على مجموعة بيانات تضم 50 ثغرة GHSA حقيقية موزّعة عبر 14 لغة برمجية تشمل: Go وRust وPython وRuby وJava وC# وJavaScript وC وSwift وDart وElixir (وفقاً لـ Cognition). المستودعات المستخدمة متفاوتة الحجم وتغطي فئات برمجية متعددة من المصادر المفتوحة.
حقّق Devin Security Swarm 36 اكتشافاً من أصل 50، أي ما يعادل دقة 72%، وبتكلفة أقل بنسبة 30% لكل اكتشاف مقارنةً بالبديل الأكثر دقة بعده مباشرةً (وفقاً لـ Cognition). لكن الأرقام وحدها لا تحكي القصة كاملة؛ فالأداة كشفت أيضاً عن ثغرات حرجة أخفقت فيها جميع الأدوات المنافسة، من بينها:
- تجاوز صندوق الحماية PHP عبر حقن القوالب (PHP sandbox bypass via template injection)
- حقن الوسائط عبر تحليل قيم البيانات الوصفية (argument injection through metadata value parsing)
- سطح إزالة التسلسل البالغ الاتساع (overly broad deserialization surface)
من الناحية العملية، يندرج Security Swarm ضمن منظومة أشمل تُسمّيها Cognition “Devin for Security”، وهي مجموعة أدوات متكاملة تساعدك على اكتشاف الثغرات وإثبات إمكانية استغلالها في وقت التشغيل وشحن طلبات السحب (PRs) التي تُعالجها مباشرةً. يمكن التجربة من خلال devin.ai/security، كما نشرت الشركة وثائق تقنية مفصّلة عن Agentic MapReduce ومنهجية التقييم.
ما لم يقله الإعلان صراحةً هو حجم المستودعات التي يُعاني فيها النظام، والحد الأقصى لعدد الوكلاء المتوازية، وتكلفة التشغيل الفعلية لقاعدة كود من مليون سطر. سؤال التسعير لا يزال غائباً عن الصورة — وهو ما يهمّ فرق الأمان في الشركات الكبيرة أكثر من نسبة الاكتشاف ذاتها. مع ذلك، تبقى فكرة تطبيق MapReduce على استدلال الوكلاء الأمنيين خطوة معمارية تستحق المتابعة من أي مهندس يبني أنظمة وكلاء متعددة — بغضّ النظر عن مجال التطبيق.







