تُحدَّث يومياً

مصدرُك العربي
لمستقبل الذكاء الاصطناعي

أخبار، تقارير، أدوات وتحليلات يومية — كل ما تحتاجه لمتابعة ثورة الذكاء الاصطناعي باللغة العربية

✅ تم الاشتراك!
أخبار الذكاء الاصطناعي

VulnHunter من Capital One تصطاد الثغرات البرمجية بعقلية المهاجم

بقلم: ليلى | محررة أدوات المطورين · صوت تحريري بإشراف بشري

أطلقت Capital One اليوم أداة VulnHunter بوصفها مشروعاً مفتوح المصدر، وهي أداة أمنية تعتمد على الذكاء الاصطناعي الوكيلي لتحليل الكود المصدري من منظور المهاجم، لا من منظور مدقق الامتثال. الدافع صريح: قدرات الهجوم بالذكاء الاصطناعي تتسارع بوتيرة تفوق ما تستطيع معظم الفرق الدفاعية مواكبته، وبات الفارق الزمني بين اكتشاف الثغرة واستغلالها يتقلص بشكل خطير.

ما تقدمه VulnHunter ليس مسحاً تقليدياً للكود. الأداة مبنية على سير عمل استدلالي يحاكي تفكير المهاجم الحقيقي: تبدأ من نقاط الدخول التي يمكن للمهاجم الوصول إليها — APIs، رسائل الشبكة، رفع الملفات — وتتتبع المسار للأمام عبر منطق التطبيق ونقاط التحقق الأمني الداخلية، بدلاً من الاتجاه المعاكس الذي تعتمده الأدوات التقليدية القائمة على تحليل “sink-first”. هذا الفارق جوهري: الأدوات التقليدية تبحث عن أنماط كود خطيرة في العزل ثم تحاول إيجاد مسار افتراضي للهجوم، مما يُغرق الفرق الهندسية بتحذيرات كاذبة. VulnHunter تقيّم ما إذا كان المهاجم قادراً فعلاً على اختراق النظام.

تتمحور الأداة حول ثلاث قدرات تقنية تميزها عن نظيراتها:

  1. محرك التفنيد (Falsification Engine): بعد رصد أي ثغرة محتملة، تشغّل الأداة سير عمل استدلالياً مخصصاً لدحض استنتاجاتها الخاصة. يبحث المحرك عن الافتراضات غير المدعومة، والثغرات المنطقية في مسار الاستغلال، والشروط التي قد تمنع الهجوم من النجاح. ما لا يصمد أمام هذا التحدي الداخلي يُستبعد فوراً، فلا يصل إلى المطوّر إلا ما أعجزت الأداة نفسها عن دحضه.
  2. التحليل الأمامي من منظور المهاجم (Attacker-First Forward Analysis): بدلاً من البدء من الكود الخطير والبحث عن مدخل افتراضي، تبدأ VulnHunter من نقاط الدخول المتاحة وتسير إلى الأمام عبر تحولات البيانات ومسارات المنطق، مقيّمةً كل خطوة بطريقة تعكس سلوك المهاجم الحقيقي.
  3. نمذجة المعالجة المدعومة بالأدلة (Evidence-Backed Remediation Modeling): حين تنجو ثغرة من محرك التفنيد، لا تكتفي الأداة بإصدار تحذير. تجمع VulnHunter الأدلة الداعمة من قاعدة الكود بأكملها، وترسم مسار الاستغلال الكامل، وتُنتج تغييرات كود مستهدفة ودقيقة جاهزة للمراجعة الهندسية، مع شرح واضح للثغرة وتفصيل للقدرات التي سيكتسبها المهاجم عند استغلالها.

قبل الإطلاق، اختبرت Capital One الأداة على قواعد الكود الخاصة بها، وتمكنت من رصد الثغرات ومعالجتها عبر آلاف المستودعات الممتدة على عشرات المجالات التجارية (وفقاً لـ Capital One Tech Blog). ما كان يستغرق وقتاً طويلاً وجهداً يدوياً مكثفاً في التصنيف بات ينتج نتائج موثقة وقابلة للتطبيق بسرعة ملحوظة — وإن كانت الشركة لم تكشف عن أرقام دقيقة للزمن المستغرق أو عدد الثغرات المكتشفة.

قرار الإتاحة كمشروع مفتوح المصدر مدروس من منطق الدفاع الجماعي: سلاسل توريد البرمجيات الحديثة مترابطة بحيث إن ثغرة واحدة في مكوّن مفتوح المصدر واسع الانتشار قادرة على الانتشار عبر آلاف المؤسسات في وقت واحد. Capital One تراهن على أن أدوات الدفاع يجب أن تُوزَّع وتُختبر وتُحسَّن بالوتيرة ذاتها التي تتطور بها قواعد الكود التي تحميها. هذا المنطق يستحق تأملاً: الشركات التي تحتفظ بأدوات الأمن لنفسها تنشئ حصناً بينما تترك محيطها الرقمي مكشوفاً.

للبدء باستخدام الأداة، تحتاج إلى الوصول إلى نموذج Claude Opus 4.8 وبيئة Claude Code تعمل بشكل صحيح. المستودع يتضمن دليل بدء سريع (Quickstart)، وتوثيقاً معمارياً، وأمثلة عمل مشروحة تُظهر كيف تتتبع الأداة مسارات الكود وتُنتج المعالجات. القيود المعروفة وخارطة التطوير النشطة موثقتان في المستودع. الأداة مرخصة بموجب رخصة Apache 2.0، ويمكن للمساهمين الإبلاغ عن أخطاء أو اقتراح تعديلات على سير العمل الاستدلالي أو توسيع دعم النماذج عبر آلية issues وpull requests الموضحة في CONTRIBUTING.md.

القيد الرئيسي الواضح: الأداة مبنية أساساً حول Claude Opus 4.8 وClaude Code، وإن كانت Capital One تُشير إلى إمكانية توسيع الإطار ليشمل نماذج أساسية ومشغّلات كود أخرى. هذا يعني أن الفرق التي لا تعمل مع Anthropic ستحتاج إلى جهد تكيّف إضافي قبل أن تتمكن من الاستفادة الكاملة من الأداة، وهو تحديد جدير بالمراعاة قبل دمجها في بيئة إنتاجية. للمهتمين بتقاطع الأمن السيبراني والذكاء الاصطناعي الوكيلي، يمكن الاطلاع أيضاً على تحليلنا السابق حول معايير تقييم وكلاء الأمن السيبراني لفهم السياق الأشمل.

Capital One Tech Blog

مقالات ذات صلة

زر الذهاب إلى الأعلى