حذّر خبراء في الأمن السيبراني من ثغرات أمنية خطيرة تترتب على الانتشار المتسارع لتقنيات البرمجة بالذكاء الاصطناعي.
ويرى الخبراء أن الانتشار المتسارع لتقنيات البرمجة بالذكاء الاصطناعي، المعروفة باسم "فايب كودينغ" (Vibe Coding)، أدى إلى تمكين ملايين المستخدمين من تطوير تطبيقات من دون خبرة برمجية، لكنه في المقابل رفع مخاطر تسريب البيانات والاختراقات الناتجة عن إهمال متطلبات الحماية الأساسية.
ويؤكد الخبراء أن سهولة تطوير التطبيقات لا تعني جاهزيتها للاستخدام العام، مشددين أن المراجعة الأمنية أصبحت خطوة أساسية قبل إتاحة أي تطبيق للمستخدمين.
وأشار تقرير نشرته مجلة "بي سي ماغازين"، إلى أن أكثر من 5000 تطبيق طُوّر باستخدام هذه الأدوات، يفتقر إلى آليات المصادقة أو وسائل الحماية الأساسية، ما يجعل البيانات المخزنة فيه عرضة للوصول غير المصرح به.
وحسب دراسة أجرتها شركة "ريد أكسيس"، فإن بعض هذه التطبيقات يمكن الوصول إلى بياناتها أو تعديلها بمجرد امتلاك الرابط الصحيح، عند غياب الضوابط الأمنية الكافية.
واستعرض تقرير لموقع "ذا فيرج" أمثلة لتطبيقات أنشئت باستخدام أدوات البرمجة بالذكاء الاصطناعي، وعثر لاحقًا على ثغرات أمنية خطيرة نتيجة الاعتماد الكامل على الشيفرات المولّدة بالذكاء الاصطناعي من دون مراجعة.
من جانبه، يقول غابرييل برناديت، الباحث في شركة "سينتينال ون"، إن استخدام "فايب كودينغ" يمكن أن يكون مناسبا للمشاريع الشخصية منخفضة المخاطر، إلا أن المسؤولية تتغير عندما يتاح التطبيق لمستخدمين آخرين، أو يتعامل مع بيانات مالية أو طبية أو شخصية.
ويبين تقرير "بي سي ماغازين" أن نحو 40% من التطبيقات والمواقع المطورة بهذه الأدوات، تكشف بيانات حساسة، من بينها معلومات خاصة بمرضى وأطباء، وسجلات مبيعات، وخطط تسويقية، وبيانات مالية لشركات.
واستعرض تقرير مستقل لشركة "كاسبرسكي" أبرز الأخطاء الأمنية الشائعة في التطبيقات المطورة بالذكاء الاصطناعي.
وتشمل تلك الأخطاء غياب التحقق من صحة مدخلات المستخدمين، وإدراج مفاتيح الواجهات البرمجية والبيانات السرية داخل الشيفرة الظاهرة، وتنفيذ عمليات المصادقة بالكامل على جانب المستخدم، واستخدام مكتبات برمجية قديمة أو غير آمنة، وتضمين وظائف لا يحتاجها التطبيق تزيد من خطر استغلاله.
ويوصي خبراء "كاسبرسكي" بإجراء مراجعة أمنية شاملة باستخدام أدوات الذكاء الاصطناعي والمراجعة البشرية قبل نشر أي تطبيق وبعد كل تحديث، مع الفصل بين بيئات الاختبار والإنتاج، والتأكد من إعدادات الوصول إلى قواعد البيانات، خصوصًا في التطبيقات التي تتعامل مع معلومات حساسة.
