تتسارع وتيرة استخدام الشيفرات التي ينتجها الذكاء الاصطناعي داخل الشركات، لكن هذا التسارع لا يصاحبه دائماً مستوى مماثل من الضبط الأمني. ووفقاً لتقرير حديث في مجال أمن التطبيقات، فإن المؤسسات تدرك أن جزءاً متزايداً من برمجياتها قد يحتوي على ثغرات، ومع ذلك تواصل طرحه في الإنتاج تحت ضغط السرعة والعائد التجاري.
النتيجة، بحسب ما يرسمه التقرير، هي مشهد جديد في تطوير البرمجيات: أدوات توليد أكواد أكثر قدرة، وهجمات أسرع، وقرارات بشرية تميل إلى تأجيل المعالجة الأمنية بدلاً من إيقاف النشر. هذا التناقض يضع فرق التطوير والأمن أمام معادلة صعبة، خاصة مع دخول عصر الوكلاء الأذكياء القادرين على اكتشاف العيوب واستغلالها في وقت أقصر بكثير من السابق.
الذكاء الاصطناعي يرفع سرعة الإنتاج ويكشف فجوات الأمن
اعتمد التقرير على استطلاع شمل آلافاً من مسؤولي أمن المعلومات ومديري أمن التطبيقات والمطورين في 14 دولة، بهدف قياس حجم الاعتماد على الشيفرات المولدة بالذكاء الاصطناعي وتأثيرها على مستوى الأمان داخل المؤسسات. وتُظهر النتائج أن الذكاء الاصطناعي لم يعد مجرد أداة مساعدة هامشية، بل أصبح جزءاً أساسياً من دورة الإنتاج البرمجي في كثير من البيئات المؤسسية.
وبحسب ما أورده التقرير، فإن ما يقرب من نصف الشيفرات الموجودة في بيئات الإنتاج باتت تُنشأ بواسطة أنظمة الذكاء الاصطناعي. كما أن غالبية الشركات تؤكد أن نصف قواعدها البرمجية على الأقل يعتمد على مكونات مفتوحة المصدر، وهو ما يزيد من تعقيد سلسلة التوريد البرمجية ويضاعف نقاط الضعف المحتملة.
هذا الانتشار الواسع لا يعني بالضرورة تحسناً في الجودة الأمنية. على العكس، كلما توسع الاعتماد على التوليد الآلي للشيفرات، ارتفع احتمال انتقال العيوب من مرحلة الاقتراح إلى مرحلة النشر، خصوصاً عندما لا تكون آليات المراجعة والتحقق مدمجة بشكل صارم داخل سير العمل اليومي.
الشركات التي تعتمد على الذكاء الاصطناعي بكثافة تواجه مخاطر أعلى
أحد أبرز المؤشرات التي يطرحها التقرير هو الفارق الكبير بين المؤسسات التي تستخدم الذكاء الاصطناعي باعتدال وتلك التي تعتمد عليه بشكل شبه كامل. فالشركات التي قالت إن ما بين 81% و100% من شيفراتها تُنتج بالذكاء الاصطناعي، كانت تنشر الشيفرات الضعيفة أمنياً بمعدل أعلى بنحو 3.4 مرات مقارنةً بالشركات التي لا يتجاوز اعتمادها على الذكاء الاصطناعي 20% من الشيفرة.
كما أفاد 70% من المطورين بأن توليد الشيفرات بالذكاء الاصطناعي أدى إلى ظهور ثغرات خلال عام 2025. وإلى جانب ذلك، قالت 93% من المؤسسات المشاركة إنها تعرضت لاختراق واحد على الأقل مرتبط مباشرة بتطبيقات طُورت داخلياً. هذه الأرقام تعكس أن المخاطر ليست نظرية، بل تظهر فعلياً في بيئات التشغيل الحقيقية.
وتزداد المشكلة حين تتعامل الفرق مع الشيفرة المولدة باعتبارها سريعة وفعالة تلقائياً، بينما قد تتضمن أخطاء منطقية أو ثغرات حقن أو ممارسات غير آمنة في إدارة المدخلات والبيانات الحساسة. ومع توسع الاستخدام، يصبح اكتشاف المشكلة بعد النشر أكثر كلفة وتعقيداً.
ثقافة النشر السريع تتغلب على التحذيرات الأمنية
يشير التقرير إلى أن الخطر لا يرتبط فقط بوجود الثغرات، بل بالطريقة التي تتعامل بها المؤسسات معها. فحوالي ثلاثة أرباع الشركات باتت تنشر شيفرات تعرف مسبقاً أنها ضعيفة أمنياً، مدفوعة في ذلك بضغط تحقيق العائد وتسريع الإطلاقات. وفي بعض الحالات، يعترف نحو 30% من المشاركين بأنهم يمررون الشيفرة المصابة على أمل ألا يكتشف أحد الخلل.
كما أن أكثر من ثلث المؤسسات تترك نصف الثغرات المعروفة لديها دون إصلاح لمدة 90 يوماً أو أكثر. وهذه المماطلة لا تعود فقط إلى نقص الكفاءات، بل أيضاً إلى صراعات الأولويات بين فرق التطوير والأمن والإدارة التنفيذية التي قد تفضل الالتزام بمواعيد الإطلاق على حساب تقليل المخاطر.
ويصف التقرير هذا السلوك بأنه ليس مشكلة رصد بقدر ما هو قرار تنظيمي: أي أن النظام الأمني قد يكتشف الخطر بالفعل، لكن القرار النهائي يميل إلى الإبقاء على الشيفرة في مسار الإنتاج وتأجيل المعالجة إلى دورة لاحقة.
أدوات الأمن الحالية لا تواكب سرعة تطوير البرمجيات
من النقاط اللافتة في التقرير أن فرق أمن التطبيقات لا تزال تعتمد في كثير من الأحيان على الاستجابة اللاحقة للحوادث، بدلاً من الوقاية المباشرة. كما أن تشتت الأدوات الأمنية داخل المؤسسات يضيف طبقة جديدة من التعقيد، ويجعل كثيراً من التنبيهات منخفضة القيمة أو غير واضحة الإرشاد، ما يؤدي إلى تراكم الإشعارات دون اتخاذ إجراءات حاسمة.
وبحسب النتائج، فإن المطورين لا يطبقون عمليات التأمين المستمر إلا في نسبة محدودة من الوقت، رغم أن معظمهم يمتلك أدوات أمنية بالفعل. وهذا يكشف فجوة بين توفر التقنية وبين طريقة دمجها الفعلية في دورة العمل. فالأدوات وحدها لا تكفي إذا كانت تأتي متأخرة أو لا ترتبط ببيئة التطوير نفسها.
ويحذر التقرير من أن المؤسسات ما زالت تحاول إدارة حقبة تطوير تعمل بسرعة الذكاء الاصطناعي باستخدام أطر حوكمة صُممت لعصر أبطأ بكثير. ومع هذا التفاوت، تصبح إجراءات الامتثال والمراجعة اليدوية أقل قدرة على حماية المؤسسات من العيوب التي تظهر وتتوسع في وقت قصير جداً.
الثقة العالية لا تعني بالضرورة نضجاً أمنياً
من النتائج المقلقة أيضاً أن بعض المؤسسات التي تصنف نفسها على أنها شديدة النضج في استخدام الذكاء الاصطناعي لا تبدو أفضل حالاً أمنياً. فـ42% من هذه المؤسسات قالت إنها غالباً ما تنشر الشيفرات الأكثر عرضة للثغرات، فيما بقيت معدلات الاختراق لديها قريبة من مستويات الشركات الأخرى.
هذه المفارقة توضح أن الثقة العالية قد تتحول إلى نقطة ضعف إذا لم تستند إلى ضوابط عملية. فوجود استراتيجية ذكاء اصطناعي متقدمة لا يعني تلقائياً وجود منظومة أمنية متقدمة، خصوصاً إذا كانت قرارات النشر يحكمها الإيقاع التجاري أكثر من ضوابط المخاطر.
كما أن الاعتماد المتزايد على المراجعة اليدوية وحدها لم يعد كافياً. فمع ارتفاع حجم الشيفرات وسرعة إنتاجها، تحتاج المؤسسات إلى أساليب تحقق أكثر تلقائية ودمجاً داخل بيئة التطوير نفسها، بدل انتظار المراحل النهائية لاكتشاف الأخطاء.
توجهات السوق تشير إلى حوكمة أعمق ودمج أفضل للأمن
على الرغم من الصورة القاتمة، يرصد التقرير مؤشرات على تغير تدريجي في سلوك بعض المؤسسات. فهناك اهتمام أكبر بتقوية ممارسات DevSecOps، وزيادة الاستثمار في الأتمتة، وتوسيع التدريب الموجه للمطورين حول المخاطر المرتبطة بالشيفرات المولدة بالذكاء الاصطناعي.
ويرى معدو التقرير أن الأولوية يجب أن تنتقل من قياس حجم الشيفرة إلى قياس مستوى المخاطر. فالثغرة ليست حادثاً منفصلاً يمكن التعامل معه لاحقاً، بل جزء من دورة إنتاج تحتاج إلى اكتشاف مبكر واستجابة فورية. كما ينبغي إدراج الأمن داخل بيئة التطوير نفسها، لا في مرحلة ما بعد الإرسال فقط.
ويقترح التقرير أيضاً تقليل تشتت الأدوات وتوضيح المسؤوليات المرتبطة باستخدام تقنيات الذكاء الاصطناعي داخل الفرق المختلفة. وفي البيئات المتقدمة، يمكن للأنظمة الذكية نفسها أن تساعد في فرز المخاطر وترتيب الأولويات ومعالجة المشكلات بسرعة أكبر، من دون الاعتماد الكامل على التدخل البشري في كل خطوة.
الخلاصة التي يلمح إليها التقرير واضحة: المؤسسات لم تعد تواجه سؤالاً حول ما إذا كان الذكاء الاصطناعي سيغيّر كتابة الشيفرة، بل حول ما إذا كانت قادرة على بناء حوكمة وأمن يواكبان هذا التغيير. فكلما زادت السرعة، زادت الحاجة إلى ضوابط أقوى، وإلا تحولت الإنتاجية إلى نقطة ضعف تشغيلية وأمنية في الوقت نفسه.