إدارة الثغرات الأمنية بمساعدة الذكاء الاصطناعي: من الفحص إلى التصحيح في ساعات لا أسابيع

تستغرق المؤسسة المتوسطة 60 يوماً لتصحيح ثغرة أمنية حرجة بعد الإفصاح عنها. في المقابل، يستغل المهاجمون هذه الثغرات ذاتها في غضون 4.5 أيام من نشر إثبات المفهوم (proof-of-concept). هذه الفجوة الزمنية البالغة 55 يوماً هي حيث تنمو الاختراقات الأمنية — وتكلف الصناعة أثماناً باهظة. رصد تقرير IBM Cost of a Data Breach 2024 متوسطاً عالمياً لتكلفة الاختراق بلغ 4.88 مليون دولار، مع احتلال الثغرات البرمجية غير المصححة مرتبة ضمن أبرز العوامل المساهمة. في عام 2026، بدأ الذكاء الاصطناعي يسد هذه الفجوة — ليس فقط بالإشارة إلى ما يحتاج إلى تصحيح، بل بالمساعدة في توليد الإصلاح ذاته.

أزمة إدارة الثغرات التقليدية

حجم المشكلة مذهل. نشرت National Vulnerability Database أكثر من 29,000 ثغرة CVE (Common Vulnerabilities and Exposures) في عام 2023 وحده — ما يعادل نحو 80 ثغرة جديدة كل يوم. عادةً ما تدير فرق الأمن في المؤسسات متوسطة الحجم ما بين 50,000 و150,000 ثغرة في مخزون أصولها في أي وقت معين. لا تستطيع أي فريق بشري المعالجة بهذا الإيقاع.

كان الرد التقليدي هو تحديد الأولويات القائم على المخاطر باستخدام CVSS — نظام تسجيل الثغرات الشائع (Common Vulnerability Scoring System). يُقيّم CVSS الثغرات على مقياس من 0 إلى 10 بناءً على عوامل مثل تعقيد الهجوم، والامتيازات المطلوبة، والتأثير المحتمل. تبدو ثغرة بدرجة CVSS تساوي 9.8 مثيرة للقلق على الورق. المشكلة أن CVSS يقيس الخطورة النظرية، لا قابلية الاستغلال الفعلية. نحو 2 إلى 5 بالمئة فقط من مجمل الثغرات CVE يُستغل فعلياً في البيئات الحقيقية. الفرق التي تصرف ميزانيات المعالجة على إصلاح كل ثغرة عالية CVSS غالباً ما تُصلح مخاطر نظرية، بينما تُستخدم ثغرات أشد خطورة وبدرجات أقل بهدوء في حملات برامج الفدية.

EPSS: التنبؤ بالاستغلال قبل وقوعه

هنا يأتي دور نظام التنبؤ باستغلال الثغرات (EPSS)، الذي طورته FIRST (منتدى فرق الاستجابة للحوادث والأمن). حيث يسأل CVSS: “إلى أي حد قد يكون هذا سيئاً؟”، يسأل EPSS: “ما احتمالية استغلال هذه الثغرة خلال الثلاثين يوماً القادمة؟” يستند النموذج إلى مصادر استخبارات التهديدات، ونشرات إثبات المفهوم، والنقاشات على الإنترنت المظلم، وأنماط الاستغلال التاريخية، ليولد درجة احتمالية يومية لكل ثغرة CVE.

النتائج لافتة. ثغرة CVE بدرجة CVSS تساوي 6.5 لكن درجة EPSS تساوي 0.94 (احتمالية استغلال 94%) هي بموضوعية أكثر إلحاحاً من ثغرة بدرجة CVSS 9.8 ودرجة EPSS 0.003. دمجت مؤسسات مثل Tenable نظام EPSS في منصتها Tenable One، جامعةً إياه مع CVSS وسياق الأصول لتوليد ما يسمونه Vulnerability Priority Ratings (VPR) — درجة مركبة تعكس الخطورة واحتمالية الاستغلال النشط معاً.

اعتمدت Qualys وRapid7 وBitsight مناهج تسجيل هجينة مماثلة. الأثر العملي: تُفيد الفرق التي انتقلت من الاعتماد الحصري على CVSS إلى النماذج المرجحة بـ EPSS بانخفاض عبء عمل معالجة الثغرات الفعلي بنسبة 60 إلى 80 بالمئة، مع تركيز التصحيحات حيث يوجد اهتمام حقيقي من المهاجمين.

توليد التصحيحات بمساعدة الذكاء الاصطناعي: من التحليل إلى الإصلاح

تحديد الأولويات وحده لا يكفي. حين تعرف أي الثغرات تُصلح أولاً، لا يزال على أحد كتابة الإصلاح — وهنا يُحدث الذكاء الاصطناعي أبرز تحولاته.

تتيح قدرات الأمان في GitHub Copilot اليوم للمطورين تلقي اقتراحات تصحيح مولّدة بالذكاء الاصطناعي حين يُكتشف CVE معروف في قاعدة أكوادهم. حين تحمل تبعية أبلغ عنها Dependabot ثغرة CVE، يستطيع Copilot اقتراح كتلة كود مصححة تُعالج الثغرة في ثوانٍ في الغالب. دمجت Microsoft هذه القدرات مباشرةً في منصة GitHub Advanced Security، مُمكِّنةً طلبات السحب الآلية لتحديثات التبعيات مع شرح مولّد بالذكاء الاصطناعي حول سلامة التغيير.

تتبنى منصة Falcon من CrowdStrike نهجاً مماثلاً على مستوى نقطة النهاية والبنية التحتية السحابية. يحلل الذكاء الاصطناعي في Falcon الثغرات المكتشفة مقارنةً بتقنيات الاستغلال المعروفة، ويقترح معالجات للتكوين — قواعد جدار الحماية، وتغييرات التحكم في الوصول، وإصلاح الإعدادات الخاطئة — لتقليل التعرض حتى قبل توافر تصحيح رسمي. يُثبت مفهوم “الضوابط التعويضية” المولّدة بالذكاء الاصطناعي قيمته البالغة خاصةً للأنظمة القديمة حيث قد يستغرق التصحيح أشهراً بسبب متطلبات الاختبار.

تستخدم منصة Tenable One Exposure Management الذكاء الاصطناعي لرسم خريطة بيانات الثغرات مقابل سطح الهجوم الفعلي للمؤسسة — الحسابات السحابية، والخوادم المحلية، وأجهزة OT، وتطبيقات SaaS — وتولّد خطة معالجة مرتبة الأولوية مع تعليمات محددة لكل نوع أصل. بدلاً من تلقي قائمة خام من 4,000 CVE حرج، يتلقى مهندس الأمن قائمة مرتبة من 12 إجراء من شأنها تقليل التعرض الكلي للمؤسسة بنسبة 73 بالمئة.

نتائج حقيقية: ساعات لا أسابيع

الأرقام من المتبنين الأوائل مقنعة. كشفت دراسة Ponemon Institute عام 2024 أن المؤسسات التي تستخدم إدارة الثغرات بمساعدة الذكاء الاصطناعي خفضت متوسط وقت المعالجة (MTTR) من متوسط صناعي يبلغ 60 يوماً إلى أقل من 10 أيام للثغرات الحرجة. بعض المؤسسات تذهب أبعد من ذلك: أفصحت مؤسسة مالية عالمية كبرى عن تحقيقها دورات معالجة تقل عن 24 ساعة للثغرات السحابية الحرجة، بالجمع بين Wiz لإدارة التعرض المدفوعة بالذكاء الاصطناعي والتصحيح الآلي للبنية التحتية عبر كود (IaC) من خلال مسارات Terraform.

في قطاع OT/ICS — حيث قد يستلزم تصحيح أنظمة التحكم الصناعية توقفاً مجدولاً — تولّد أدوات الذكاء الاصطناعي من Claroty وDragos توصيات ضوابط تعويضية قائمة على المخاطر تتيح للمشغلين الحفاظ على السلامة مع تأجيل التصحيحات المُخلّة إلى نوافذ الصيانة المجدولة. هذا النهج المُيسَّر بالذكاء الاصطناعي بالغ الأهمية خاصةً إذ تعمل أنظمة OT في الغالب ببرمجيات تجاوزت نهاية عمرها الافتراضي منذ سنوات أو عقود.

المخاطر: تصحيحات موهومة والإفراط في الأتمتة

تأتي مكاسب السرعة مصحوبةً بمخاطر حقيقية يتعين على فرق الأمن مواجهتها مباشرةً. التصحيحات المولّدة بالذكاء الاصطناعي قد تكون خاطئة. رُصدت نماذج اللغة الكبيرة المُستخدمة لتوليد كود المعالجة وهي تُنتج تصحيحات تبدو صحيحة نحوياً لكنها تُدخل ثغرات جديدة — حالات كلاسيكية لهلوسة الذكاء الاصطناعي في سياق حرج للأمان. تصحيح لثغرة حقن SQL يفتح عرضاً لثغرة اجتياز المسار ربما يكون أسوأ من المشكلة الأصلية.

وثّقت أبحاث Veracode حالات اقترح فيها مساعدو كتابة الكود بالذكاء الاصطناعي إصلاحات أمنية اجتازت أدوات مراجعة الكود الآلية لكن رفضها مهندسو الأمن البشريون بوصفها غير كافية أو مضادة للإنتاجية. دفع هذا المؤسسات المعنية بالأمان إلى وضع متطلبات صريحة لإشراف بشري في الحلقة على أي تصحيح مولّد بالذكاء الاصطناعي قبل وصوله إلى بيئة الإنتاج.

خطر الإفراط في الأتمتة لا يقل واقعية. المؤسسات المغرية بتفعيل نشر التصحيحات الذاتي بالكامل — حيث يكتشف الذكاء الاصطناعي ويحدد الأولويات ويولّد التصحيحات وينشرها دون مراجعة بشرية — تقامر باستقرار النظام. تصحيح مُطبَّق بشكل خاطئ في بيئة عالية التوافر قد يتسبب في توقف أكثر من الثغرة التي كان مقرراً إصلاحها. الإجماع الحالي في الصناعة هو أن الذكاء الاصطناعي يجب أن يُسرّع صنع القرار البشري، لا أن يحل محله كلياً في سير عمل المعالجة.

الطريق إلى الأمام: معالجة ذاتية بحلول 2027؟

على الرغم من التحذيرات، المسار واضح. تتوقع Gartner أنه بحلول 2028، سيُعالَج أكثر من 30 بالمئة من ثغرات المؤسسات بشكل مستقل بواسطة وكلاء الذكاء الاصطناعي العاملين ضمن كتب أدوات المعالجة المُعتمدة مسبقاً. النموذج الذي يُختبر اليوم يتضمن ذكاءً اصطناعياً قادراً على معالجة فئة محددة من الثغرات منخفضة الخطورة باستقلالية — مكتبات قديمة، وتحديثات تبعيات معروفة الأمان، وإصلاحات إعدادات خاطئة — مع تصعيد أي أمر جديد أو عالي التأثير إلى مهندسين بشريين.

تتجه Microsoft Security Copilot وGoogle Security AI Workbench ومنصة Cortex من Palo Alto Networks جميعها نحو هذا النموذج الوكيلي. ستتراكم الميزة التنافسية لدى المؤسسات التي تبني أطر الحوكمة — سير أعمال الموافقة، وآليات الرجوع، ومسارات التدقيق — التي تُتيح لاستقلالية الذكاء الاصطناعي العمل بأمان ضمن حدود محددة.

السباق من الفحص إلى التصحيح يُعاد كتابته جوهرياً. فرق الأمن التي تتبنى أدوات إدارة الثغرات بمساعدة الذكاء الاصطناعي الآن، وتبني الحوكمة حولها، وتتعامل مع الذكاء الاصطناعي كمضاعف للقوة لا رصاصة فضية، ستجد نفسها في واقع أمني مختلف تماماً عن تلك التي لا تزال تُصنّف يدوياً جداول بيانات CVE في 2027.

الأسئلة الشائعة

المصادر والقراءات الإضافية

• تقرير IBM لتكلفة اختراق البيانات 2024 — IBM Security
• EPSS: نظام التنبؤ باستغلال الثغرات — FIRST.org
• إحصاءات CVE في NVD 2023 — NIST National Vulnerability Database
• منصة Tenable One لإدارة التعرض — Tenable
• CrowdStrike Falcon Exposure Management — CrowdStrike
• Microsoft Security Copilot — Microsoft
• Ponemon Institute: اقتصاديات إدارة الثغرات — Ponemon Institute
• Gartner: مستقبل إدارة الثغرات 2028 — Gartner