أعلنت شركة RevEng.AI، المتخصصة في الأمن السيبراني، عن جمع 15 مليون دولار في جولة تمويل من الفئة A، في وقت يتزايد فيه اعتماد المؤسسات على البرمجيات التي تُنتج بمساعدة الذكاء الاصطناعي. وتستهدف الشركة استخدام التمويل لتوسيع منصتها التي تفحص البرمجيات بعد تحويلها إلى ملفات تنفيذية، بهدف التحقق من سلامتها واكتشاف المخاطر الخفية قبل تشغيلها داخل الأنظمة الحساسة.
تأتي هذه الخطوة في سياق أوسع يشهده قطاع التقنية، حيث أصبحت أدوات كتابة الكود بالذكاء الاصطناعي أسرع وأكثر قدرة على إنتاج كميات كبيرة من البرمجيات خلال وقت قصير. لكن هذا التسارع في التطوير يضع المؤسسات أمام سؤال عملي ومباشر: ما الذي يعمل فعلاً داخل البرنامج بعد تجميعه، وهل يتطابق مع ما تتوقعه فرق التطوير والأمن؟
التمويل يعكس تصاعد القلق من الكود المولد آلياً
قادت جولة التمويل جهة استثمارية مرتبطة بالابتكار لدى حلف الناتو، بمشاركة مستثمرين آخرين من بينهم Sands Capital وIn-Q-Tel وIQ Capital وEpisode One. ويعكس هذا النوع من الدعم اهتماماً متزايداً بالتقنيات التي تعالج المخاطر الجديدة الناتجة عن الاعتماد المتنامي على الكود الذي تنتجه الأنظمة الذكية.
الرسالة الأساسية هنا ليست فقط أن الذكاء الاصطناعي يسرّع تطوير البرمجيات، بل أيضاً أنه قد يزيد صعوبة مراجعتها بالكامل من قبل البشر. ومع ارتفاع حجم الكود المنتج آلياً، يصبح من غير الواقعي في كثير من الحالات الاعتماد على المراجعة اليدوية وحدها لاكتشاف جميع الثغرات أو السلوكيات غير المتوقعة.
المشكلة في الملفات التنفيذية لا في الشيفرة المصدرية فقط
معظم أدوات أمن التطبيقات تركز تقليدياً على الشيفرة المصدرية، ومستودعات التطوير، والحزم البرمجية، والبيانات الوصفية الخاصة بالمكونات. لكن البرنامج الذي يعمل فعلياً على أجهزة المستخدمين أو داخل بيئات الإنتاج يكون في الغالب ملفاً تنفيذياً أو برنامجاً ثابتاً أو مكوناً مجمعاً لا يمكن قراءته بسهولة.
هذه الفجوة مهمة جداً، لأن المؤسسات كثيراً ما تعتمد على برمجيات من أطراف خارجية، أو تطبيقات مغلقة المصدر، أو مكونات تأتي من مزودين ومقاولين ومجتمعات المصادر المفتوحة. وفي هذه الحالات، قد لا تكون الشيفرة الأصلية متاحة للفحص، أو قد يكون تدقيقها غير عملي من حيث الوقت والموارد.
من هنا تبني RevEng.AI فكرتها: بدلاً من الاكتفاء بما هو مكتوب في المصدر أو ما يصرح به المورد، يجب فحص ما سيعمل فعلاً داخل النظام. أي أن الملف التنفيذي نفسه يصبح المرجع النهائي للحكم على سلامة البرنامج.
منصة تفحص البرمجيات بعد تجميعها
تقول الشركة إن منصتها تعمل مباشرة على الملفات الثنائية والبرامج التنفيذية والبرامج الثابتة، من دون الحاجة إلى الوصول إلى الشيفرة المصدرية. ويمنح هذا النهج المؤسسات وسيلة لفحص برامج لا تستطيع مراجعتها بالطريقة التقليدية، سواء بسبب القيود القانونية أو لأن المنتج مغلق المصدر أو لأن سلسلة التوريد البرمجية معقدة للغاية.
وتستند المنصة إلى نموذج أساسي للذكاء الاصطناعي يحمل اسم BinNet. ووفقاً للشركة، صُمم هذا النموذج لأتمتة بعض مهام الهندسة العكسية التي كانت تعتمد تاريخياً على خبراء نادرين وذوي تخصص عالٍ. الهدف ليس فقط تسريع العمل، بل أيضاً خفض الحاجة إلى تدخل بشري مكثف في كل مرة تريد فيها المؤسسة فحص إصدار جديد من برنامج ما.
وبحسب ما توضحه الشركة، يمكن للنظام رصد مكونات مخفية، وتغييرات غير معتادة بين الإصدارات، وسلوكيات قد تشير إلى وظائف ضارة، إلى جانب ثغرات أو أجزاء غير معلنة أُضيفت أثناء التطوير أو النشر.
لماذا تزداد أهمية هذا النوع من الفحص الآن
التحول الجاري في صناعة البرمجيات لا يتعلق فقط بأدوات مساعدة للمطورين، بل بظهور أنظمة أكثر استقلالية قادرة على كتابة كود وتعديله وربما نشره مع إشراف بشري محدود. هذا الواقع يرفع احتمال إدخال مكونات لم تُفهم بالكامل، أو اعتماد مكتبات وتبعيات لم تخضع لتدقيق كاف، أو حتى ظهور سلوك غير متوقع نتيجة الدمج بين أجزاء مولدة آلياً وأخرى مكتوبة يدوياً.
الخطر يصبح أكبر في القطاعات التي تعتمد على البرمجيات لتشغيل خدمات أساسية، مثل الأنظمة المالية، والرعاية الصحية، والطاقة، والنقل، والدفاع. ففي هذه البيئات، قد لا تؤدي الثغرة إلى مشكلة تقنية محدودة فقط، بل إلى تأثيرات تشغيلية واسعة أو انقطاع خدمات أو تسرب بيانات أو فتح باب لهجمات على مستوى سلسلة التوريد.
خلال السنوات الماضية، أصبحت هجمات سلسلة توريد البرمجيات من أسرع التهديدات نمواً في الأمن السيبراني. وتعتمد هذه الهجمات على استهداف مكونات أو تحديثات موثوقة ظاهرياً للوصول إلى عدد كبير من الضحايا دفعة واحدة. لذلك فإن فحص ما يوجد داخل الملفات التنفيذية نفسها قد يمنح المؤسسات طبقة تحقق إضافية لا توفرها الأدوات التقليدية وحدها.
التحقق على مستوى الملف التنفيذي كطبقة ثقة جديدة
من أبرز ما يميز هذا النهج أنه يتعامل مع الملف التنفيذي باعتباره الحقيقة النهائية. فحتى لو كانت سجلات المشروع نظيفة، وحتى لو بدت التبعيات المعلنة سليمة، يبقى السؤال الأهم: هل يعكس البرنامج المجمع فعلاً ما تعتقد المؤسسة أنها ستشغله؟
هذا السؤال يكتسب أهمية خاصة مع البرمجيات المولدة بالذكاء الاصطناعي، لأن فرق التطوير قد لا تكون على دراية كاملة بكل وحدة برمجية تم إنشاؤها أو كل مكتبة تم استدعاؤها أو كل سلوك ظهر بعد التجميع. وعندما ينتقل البرنامج إلى بيئة الإنتاج، فإن أي اختلاف غير مرئي بين النسخة المتوقعة والنسخة الفعلية قد يتحول إلى نقطة ضعف خطيرة.
تشير الشركة إلى أن منصتها قادرة على مقارنة الإصدارات الجديدة بإصدارات موثوقة، واكتشاف الانحرافات غير المعتادة بين عمليات البناء المختلفة، ورصد مكونات لم يتم التصريح بها. وهذه القدرة قد تكون مفيدة للمؤسسات التي تدير سلاسل توريد معقدة تشمل مورّدين خارجيين، ومكونات مفتوحة المصدر، وكوداً مولداً عبر أدوات ذكية.
تغير متوقع في طريقة تأمين البرمجيات
إذا استمر انتشار أدوات توليد الكود بالذكاء الاصطناعي بالمعدل الحالي، فمن المرجح أن يتغير شكل عمليات التحقق الأمني خلال السنوات المقبلة. فبدلاً من اعتبار الهندسة العكسية مجالاً متخصصاً يقتصر على فرق نخبوية، قد تصبح جزءاً أساسياً من دورة العمل الأمنية داخل الشركات، بدءاً من شراء البرمجيات وحتى تحديثها وتشغيلها المستمر.
كما قد يدفع هذا المسار المؤسسات إلى اعتماد طبقات تحقق مستقلة لا تعتمد فقط على ما يقوله المطور أو المورد، بل على تحليل فعلي لما يحتويه البرنامج بعد تجميعه. وهذا مهم بشكل خاص عندما يصبح مصدر الكود متنوعاً بين مطورين بشريين، وأدوات مساعدة، ووكلاء برمجيين أكثر استقلالية.
في هذا الإطار، لا تبدو RevEng.AI مجرد شركة تبحث عن سوق جديدة، بل جزءاً من اتجاه أوسع يسعى إلى إعادة تعريف الثقة في البرمجيات. فمع زيادة الاعتماد على الأتمتة في التطوير، قد يصبح التحقق من الملفات التنفيذية ضرورة تشغيلية، وليس مجرد إجراء إضافي للأمن.
ما الذي يعنيه ذلك للسوق
التمويل الجديد يشير إلى أن المستثمرين يرون فرصة حقيقية في الأدوات التي تعالج مخاطر البرمجيات المولدة بالذكاء الاصطناعي. والسوق هنا لا يقتصر على الشركات التقنية، بل يشمل جهات حكومية ومؤسسات تدير بنية تحتية حساسة لا يمكنها تحمل تشغيل برامج غير مفهومة بالكامل.
وبالنسبة لقطاع الأمن السيبراني، فإن هذا النوع من الحلول يعكس تحولاً من مراقبة الشيفرة فقط إلى مراقبة الناتج النهائي القابل للتشغيل. ومع تزايد تعقيد البرمجيات الحديثة، قد تصبح هذه المقاربة جزءاً مهماً من معايير الامتثال وإدارة المخاطر والتدقيق الأمني المستقبلي.
الخلاصة أن صعود البرمجيات المولدة بالذكاء الاصطناعي لا يخلق فرصاً للإنتاجية فقط، بل يفرض أيضاً أدوات جديدة للتحقق والثقة. وفي هذا المشهد، تراهن RevEng.AI على أن فحص البرمجيات بعد تجميعها سيكون من أهم خطوط الدفاع في الجيل القادم من البنية الرقمية.