در حالی که سازمانها بیش از هر زمان دیگری با ریسکهای ناشی از آسیبپذیریهای پنهان در زنجیره تأمین نرمافزار مواجه هستند، OpenAI برنامه Patch the Planet را با همکاری شرکت امنیت سایبری Trail of Bits راهاندازی کرده است؛ ابتکاری که از ترکیب هوش مصنوعی (AI) و ارزیابی تخصصی پژوهشگران امنیتی برای شناسایی، اعتبارسنجی و اصلاح آسیبپذیریها در نرمافزارهای متنباز پرکاربرد بهره میبرد.
برنامه Patch the Planet با هدف تسریع فرآیند شناسایی ضعفهای امنیتی، توسعه پچهای امنیتی قابلاعتماد و کاهش ریسک حملات زنجیره تأمین طراحی شده است.
مشارکت پروژههای زیرساختی متنباز در برنامه Patch the Planet
در مرحله نخست، پروژههایی از جمله Python، Go، cURL، Sigstore، NATS Server، aiohttp، freenginx، pyca/cryptography و python.org به این برنامه Patch the Planet پیوستهاند. این پروژهها از بخشهای کلیدی زیرساختهای توسعه نرمافزار، ارتباطات شبکهای، رمزنگاری و زنجیره تأمین نرمافزار محسوب میشوند و در طیف گستردهای از نرمافزارها، سرویسها و محیطهای سازمانی مورد استفاده قرار میگیرند.
به گفته OpenAI، در آغاز هر مشارکت، تیمهای تحقیقاتی با توسعهدهندگان اصلی پروژهها همکاری میکنند تا مهمترین حوزههای نیازمند پشتیبانی امنیتی و ارزیابی عمیقتر شناسایی شوند. در ادامه، پژوهشگران امنیتی آسیبپذیریهای بالقوه را بررسی میکنند، یافتههای امنیتی مهم را اعتبارسنجی میکنند، پچهای امنیتی را توسعه داده یا بهبود میبخشند و در فرآیند آزمون و ارزیابی آنها مشارکت دارند. همچنین افشای مسئولانه آسیبپذیریها نیز از طریق کانالها و سازوکارهای رسمی هر پروژه انجام خواهد شد.
نقش هوش مصنوعی و کارشناسان امنیتی در اعتبارسنجی آسیبپذیریها
پژوهشگران امنیتی مشارکتکننده در این برنامه از مدلهای هوش مصنوعی OpenAI و ابزار Codex Security برای تحلیل کد و تسریع فرآیند توسعه و انتشار پچهای امنیتی استفاده خواهند کرد. پیش از آنکه یافتهها برای توسعهدهندگان اصلی پروژهها ارسال شوند، مهندسان Trail of Bits آنها را بهدقت بررسی میکنند تا گزارشهای تکراری و موارد مثبت کاذب (False Positives) شناسایی و حذف شوند؛ اقدامی که از تحمیل بار کاری غیرضروری به پروژههای متنباز جلوگیری میکند.
همچنین OpenAI برای پشتیبانی از اولویتبندی و ارزیابی آسیبپذیریها، افشای هماهنگشده آسیبپذیریها و گسترش فعالیتهای مرتبط با شناسایی ضعفهای امنیتی، با HackerOne و Calif همکاری میکند. این همکاریها همزمان با توسعه و گسترش برنامه Patch the Planet افزایش خواهد یافت.
OpenAI اعلام کرده است که فعالیتهای انجامشده در قالب این برنامه تاکنون منجر به شناسایی صدها آسیبپذیری و ضعف امنیتی شده است و دهها پچ امنیتی نیز پس از تأیید در پروژههای مربوطه ادغام (Merge) شدهاند. به گفته این شرکت، شمار قابلتوجهی از یافتههای دیگر نیز همچنان در مرحله افشای هماهنگشده آسیبپذیریها قرار دارند.
همچنین به گفته این شرکت، خروجی این فعالیتها فقط به شناسایی آسیبپذیری محدود نبوده و ابزارهایی برای فازینگ (Fuzzing)، تحلیل سوابق آسیبپذیریها و شناسههای CVE و آزمون تفاضلی (Differential Testing) نیز از دل این روند ایجاد شده است.
برنامه Patch the Planet چه تأثیری بر مدیریت ریسک زنجیره تأمین نرمافزار دارد؟
تمرکز OpenAI بر امنیت نرمافزارهای متنباز در پی رخدادهایی مانند آسیبپذیری Log4Shell و ماجرای بکدور در XZ Utils شکل گرفته است؛ رخدادهایی که بهخوبی نشان دادند یک ضعف امنیتی در یک کامپوننت مشترک و پرکاربرد تا چه اندازه میتواند بهسرعت در زنجیره تأمین نرمافزار گسترش یابد و طیف وسیعی از محصولات و سرویسهای سازمانی را تحت تأثیر قرار دهد.
با این حال، پژوهشگران معتقدند برنامه Patch the Planet تنها زمانی میتواند معادلات مدیریت ریسک را تغییر دهد که سازمانها پژوهش آسیبپذیری مبتنی بر هوش مصنوعی را بهعنوان بخشی از یک راهبرد جامع مدیریت ریسک زنجیره تأمین نرمافزار به کار گیرند، نه اینکه آن را جایگزین فرآیندها و کنترلهای امنیتی موجود کنند.
طبق گزارش پژوهشگران، مهمترین مزیت این رویکرد افزایش سرعت در شناسایی، اعتبارسنجی، اصلاح، آزمون و مستندسازی آسیبپذیریها است. بازبینی انسانی نیز با حذف موارد مثبت کاذب پیش از ارسال گزارشها به توسعهدهندگان اصلی پروژهها، از تحمیل بار کاری غیرضروری به تیمهای توسعه جلوگیری میکند.
پژوهشگران تأکید میکنند که اتکا به تخصص انسانی از بین نخواهد رفت؛ بلکه نقش کارشناسان به حوزههایی مانند تریاژ (Triage) و اولویتبندی آسیبپذیریها، ارزیابی قابلیت اکسپلویت، بررسی ایمنی پچها، تعیین زمان مناسب برای افشای آسیبپذیریها و استقرار پچها در محیطهای عملیاتی منتقل خواهد شد.
ضرورت ایجاد سازوکارهای حاکمیتی پیش از بهکارگیری هوش مصنوعی
به گفته پژوهشگران، مدیران ارشد امنیت اطلاعات (CISO) باید پیش از بهکارگیری پژوهش آسیبپذیری مبتنی بر هوش مصنوعی در فرآیندهای امنیتی سازمان، کنترلها و سازوکارهای حاکمیتی مناسبی را پیادهسازی کنند تا یافتهها و گزارشهای تأییدنشده باعث افزایش بار کاری تیمهای مهندسی نشوند.
پژوهشگران معتقدند سازمانها باید در مدلهای مدیریت ریسک خود لایهای با عنوان لایه ارزیابی ارتباط امنیتی (Safety Relevance Layer) را در نظر بگیرند. این لایه یک فریمورک ساختاریافته است که تمامی یافتههای تولیدشده توسط هوش مصنوعی را ملزم میکند پیش از ارجاع به تحلیلگران انسانی، مراحل اعتبارسنجی خودکار را پشت سر بگذارند. این فرآیند شامل اعتبارسنجی پویا از طریق اثبات مفهوم (Dynamic PoC Validation) و همچنین مکانیزمهای قدرتمند برای شناسایی و حذف موارد مثبت کاذب است.
همچنین پژوهشگران هشدار میدهند که این کنترلها نباید تنها به اعتبارسنجی یافتهها محدود شوند و باید فرآیند افشای آسیبپذیریها را نیز پوشش دهند؛ بهویژه در مواردی که ابزارهای هوش مصنوعی ضعفی را در کامپوننتهای متنباز شخص ثالث شناسایی میکنند؛ کامپوننتهایی که خارج از کنترل مستقیم سازمان قرار دارند.
سازمانها باید از قبل مسیرهای مشخصی برای ارجاع و پیگیری رخدادها، زمانبندی اطلاعرسانی و تقسیم مسئولیتها تعریف کنند، تا پس از تأیید یک آسیبپذیری در وابستگیهای خارجی، فرآیند واکنش، اطلاعرسانی و پیگیری بهصورت شفاف، قابلردیابی و از پیش تعیینشده انجام شود.
حرکت به سمت کاهش مستمر سطح مواجهه با ریسک
به گفته پژوهشگران، گسترش پژوهش آسیبپذیری مبتنی بر هوش مصنوعی میتواند سازمانها را وادار کند تا از چرخههای دورهای انتشار پچ فاصله بگیرند و به سمت ارزیابی مستمر ریسک حرکت کنند. اگر تحلیل واریانتها (Variant Analysis) و آزمون تفاضلی که پیشتر هفتهها زمان نیاز داشت، در عرض چند روز انجام شود، تیمهای امنیتی نیز باید روشهای سریعتر و دقیقتری برای تشخیص و اولویتبندی یافتههای مهم در محیطهای خود در اختیار داشته باشند.
این تحول به این معناست که سازمانها دیگر نمیتوانند تنها بر امتیازهای عمومی سیستم CVSS برای اولویتبندی اقدامات اصلاحی تکیه کنند. هر آسیبپذیری باید با در نظر گرفتن سامانه تحت تأثیر، نقش آن در کسبوکار، میزان مواجهه آن در محیط عملیاتی و احتمال سوءاستفاده مهاجمان از آن مورد ارزیابی قرار گیرد.
سازمانها باید به سمت اولویتبندی آسیبپذیریها بر اساس شرایط واقعی هر محیط و اهمیت امنیتی آنها حرکت کنند. در این چارچوب، SBOM و VEX باید از اسناد ایستا و انطباقمحور به منابع داده پویا و عملیاتی تبدیل شوند که امکان ارزیابی مستمر ریسک را فراهم میکنند. در محیطهای مبتنی بر هوش مصنوعی نیز این موضوع مستلزم توسعه مدل VEX برای پوشش ریسکهای جدیدی است که توسط سامانههای هوش مصنوعی ایجاد میشوند.
همچنین برنامههای مدیریت آسیبپذیری باید بیش از گذشته با مسئولیتپذیری مالکان نرمافزار، نحوه پاسخگویی تأمینکنندگان و پیامدهای تجاری هر آسیبپذیری همسو شوند.
به اعتقاد پژوهشگران، تیمهای امنیتی باید رویکرد سنتی رسیدگی دورهای به آسیبپذیریها را کنار گذاشته و به سمت کاهش مستمر سطح مواجهه با ریسک (Continuous Exposure Reduction) حرکت کنند؛ رویکردی که برنامه Patch the Planet نیز با بهرهگیری از هوش مصنوعی در مسیر تحقق و تسریع آن گام برمیدارد.
در این رویکرد، SBOMها نباید صرفاً بهعنوان اسناد انطباقی و ایستا در نظر گرفته شوند، بلکه باید به تصویری پویا از داراییها و کامپوننتهای نرمافزاری سازمان تبدیل گردند؛ تصویری که وضعیت واقعی سامانهها، میزان مواجهه آنها با ریسک و نحوه واکنش تأمینکنندگان نرمافزار را نشان میدهد. همچنین تصمیمگیری درباره اعمال پچها باید عواملی مانند اهمیت دارایی، قابلیت اکسپلویت، تدابیر امنیتی جایگزین و تأثیرات کسبوکاری را نیز در نظر بگیرد.