آیبیام و رد هت «لایتول» را برای خودکارسازی امنیت متنباز با هوش مصنوعی راهاندازی کردند
شرکتهای آیبیام و رد هت، «لایتول» (Lightwell) را راهاندازی کردند؛ یک طرح ۵ میلیارد دلاری که از هوش مصنوعی برای یافتن و رفع خودکار آسیبپذیریها در نرمافزارهای متنباز، بدون ایجاد اختلال در سیستمهای سازمانی، استفاده میکند.
به قلم تیم سردبیری کوهستان
این خبر را به اشتراک بگذارید
- رهبران امنیت سازمانی
- لایتول را به دلیل حذف توقف عملیاتی مرتبط با ارتقاءهای سنتی نرمافزار، ارزشمند میدانند.
- نگهدارندگان متنباز
- از مشارکتهای بالادستی قدردانی میکنند اما نگران کنترل شرکتی بر تحریمهای آسیبپذیری هستند.
- شکاکان امنیت هوش مصنوعی
- این سؤال را مطرح میکنند که آیا مهندسان انسانی میتوانند وصلههای تولید شده توسط هوش مصنوعی را به اندازه کافی سریع تأیید کنند تا از ایجاد گلوگاه جلوگیری شود.
چرا مهم است
نرمافزار متنباز ۹۰ درصد اینترنت مدرن را تأمین میکند، اما رفع آسیبپذیریهای آن اغلب باعث از کار افتادن سیستمهای حیاتی میشود. لایتول با استفاده از هوش مصنوعی برای اعمال مستقیم اصلاحات در نسخههای قدیمیتر نرمافزار (backporting)، به بیمارستانها، بانکها و دولتها اجازه میدهد تا زیرساختهای خود را فوراً ایمن کنند، بدون اینکه خطر توقف عملیاتی را بپذیرند.
آیبیام و رد هت رسماً «لایتول» را راهاندازی کردند، یک طرح تجاری عظیم که برای خودکارسازی کشف و رفع آسیبپذیریها در نرمافزارهای متنباز طراحی شده است. این پلتفرم که این هفته به طور عمومی در دسترس قرار گرفت، نتیجه تعهد مشترک ۵ میلیارد دلاری است که اوایل سال جاری اعلام شده بود. لایتول با ترکیب مدلهای هوش مصنوعی مولد و نظارت مهندسی انسانی، قصد دارد کدهای زیربنایی اینترنت مدرن را ایمن کند و راهی برای سازمانها فراهم آورد تا نقصهای حیاتی را بدون ایجاد اختلال در عملیات روزانه خود، برطرف سازند.[1][2]
مقیاس مشکل زنجیره تأمین نرمافزار به یک نقطه بحرانی رسیده است. اجزای متنباز اکنون تا ۹۰ درصد از پایگاههای کد سازمانی را تشکیل میدهند و سالانه تقریباً ۱۰ تریلیون بار دانلود میشوند. در حالی که این اکوسیستم مشترک نوآوری سریع را به دنبال دارد، یک سطح حمله گسترده نیز ایجاد میکند. یک آسیبپذیری وصلهنشده در یک کتابخانه پرکاربرد میتواند خطرات فوری و آبشاری را در هزاران شبکه شرکتی و دولتی ایجاد کند.[1][4]
این بحران آسیبپذیری با ظهور هوش مصنوعی به شدت تشدید شده است. بازیگران مخرب به طور فزایندهای از اکسپلویتهای ارزانقیمت و تولیدشده توسط هوش مصنوعی – که اغلب تولیدشان تنها ۵۰ دلار هزینه دارد – برای اسکن و حمله به سیستمهای وصلهنشده با سرعت ماشین استفاده میکنند. در نتیجه، میانگین پایگاه کد سازمانی اکنون بیش از ۵۸۰ آسیبپذیری را در خود جای داده است، که یک انباشتگی ایجاد کرده که تیمهای امنیتی انسانی به سادگی نمیتوانند با استفاده از روشهای سنتی آن را برطرف کنند.[1][4]
از لحاظ تاریخی، رفع این آسیبپذیریها تیمهای مهندسی پلتفرم را مجبور به یک مصالحه دشوار کرده است. وصلهگذاری روتین نیازمند تست رگرسیون گسترده است تا اطمینان حاصل شود که کد جدید ویژگیهای موجود را خراب نمیکند. ارتقاء یک وابستگی متنباز به آخرین نسخه آن اغلب «تغییرات مخرب» (breaking changes) ایجاد میکند که خطوط لوله استقرار را فلج میسازد، و بسیاری از سازمانها را وادار میکند تا بهروزرسانیهای امنیتی حیاتی را به تأخیر بیندازند تا ریسک از کار افتادن سیستمهای تولیدی خود را نپذیرند.[4][5]
لایتول این بنبست عملیاتی را از طریق فرآیندی که به عنوان «بکپورتینگ خودکار» (automated backporting) شناخته میشود، حل میکند. به جای مجبور کردن یک شرکت به ارتقاء به جدیدترین نسخه یک بسته نرمافزاری، موتور هوش مصنوعی لایتول یک وصله امنیتی هدفمند ایجاد کرده و آن را مستقیماً بر روی نسخه قدیمیتر و خاص نرمافزاری که شرکت در حال حاضر از آن استفاده میکند، اعمال میکند. این امر به کسبوکارها اجازه میدهد تا آسیبپذیری را فوراً از بین ببرند، بدون اینکه منطق اصلی برنامه خود را تغییر دهند یا ارتقاءهای پرخطر در سطح سیستم را اجرا کنند.[2][4]
این سیستم با استفاده از یک موتور رفع نقص مبتنی بر هوش مصنوعی مولد کار میکند که مدلهای پیشرو مانند «کلود میتوس پریویو» (Claude Mythos Preview) شرکت انتروپیک را با مدلهای تخصصی هوش مصنوعی متنباز ترکیب میکند. وظیفه این موتور شناسایی آسیبپذیریهای پنهان در عمق معماریهای نرمافزاری، اعتبارسنجی شدت آنها و تولید کد اولیه برای وصله کردن آنها است. هوش مصنوعی با مقیاس و سرعتی عمل میکند که محققان انسانی قادر به رقابت با آن نیستند و هزاران مخزن را به طور همزمان اسکن میکند.[1][3][4]
شواهد اولیه نشان میدهد که این رویکرد مبتنی بر هوش مصنوعی بسیار مؤثر است. در یک افشاسازی اخیر، انتروپیک فاش کرد که مدل Mythos Preview آن بیش از ۱۰۰۰ پروژه متنباز را اسکن کرده و بیش از ۶۲۰۰ آسیبپذیری را علامتگذاری کرده است. هنگامی که شرکتهای امنیتی خارجی نمونهای از این مسائل علامتگذاری شده را به طور مستقل بررسی کردند، ۹۰.۶ درصد به عنوان آسیبپذیریهای واقعی تأیید شدند و بیش از ۶۰ درصد نیز دارای شدت بالا یا حیاتی بودند. این نسبت بالای سیگنال به نویز برای خودکارسازی فرآیند اولویتبندی (triage) حیاتی است.[3]
شواهد اولیه نشان میدهد که این رویکرد مبتنی بر هوش مصنوعی بسیار مؤثر است.
با این حال، آیبیام و رد هت تنها به هوش مصنوعی تکیه نمیکنند. هر وصله تولید شده توسط هوش مصنوعی قبل از توزیع به مشتریان، تحت آزمایش خودکار دقیق و اعتبارسنجی انسانی قرار میگیرد. این شرکتها یک نیروی کار جهانی متشکل از بیش از ۲۰,۰۰۰ مهندس را برای نظارت بر برنامه لایتول اختصاص دادهاند تا اطمینان حاصل کنند که اصلاحات خودکار، الزامات پایداری در سطح سازمانی را برآورده میکنند و خطاهای جدید و پیشبینینشدهای را وارد کد نمیکنند.[1][4][8]
عرضه تجاری به دو پیشنهاد متمایز تقسیم میشود. اولین مورد، «شبکه لایتول» (Lightwell Network)، اکنون به طور عمومی در دسترس است و دسترسی سلفسرویس به کاتالوگی شامل بیش از ۶۵۰۰ وابستگی لایه کاربردی اصلاحشده، امضا شده دیجیتالی و تأیید شده را فراهم میکند. در زمان راهاندازی، این شبکه عمدتاً از اکوسیستمهای جاوا (Java) و پایتون (Python) پشتیبانی میکند که به شدت در سیستمهای بکاند سازمانی و برنامههای کاربردی علم داده استفاده میشوند. مشتریان میتوانند این اصلاحات امضا شده را مستقیماً در ابزارهای ساخت موجود خود، مانند Maven یا Artifactory، وارد کنند.[1][2][5]
پیشنهاد دوم، «لایتول کلیرینگهاوس پریمیر» (Lightwell Clearinghouse Premier)، در حال حاضر در مرحله دسترسی محدود قرار دارد. این سطح به عنوان یک واسطه مورد اعتماد برای تحریمهای وصله امنیتی و هماهنگی تهدیدات در سطح صنعت عمل میکند. این امکان را به سازمانهای شرکتکننده میدهد تا آسیبپذیریهای جدید را ارسال کرده و درخواست اصلاحات سفارشی برای نسخههای نرمافزاری خاص در طول دوره تحریم (embargo) داشته باشند – یک بازه زمانی حیاتی قبل از اینکه نقص به طور عمومی برای اینترنت گستردهتر فاش شود.[1][5]
مؤسسات خدمات مالی اولین پذیرندگان مدل Clearinghouse Premier بودهاند. بانکها و شرکتهای تجاری در صورت وصلهنشدن یک آسیبپذیری نرمافزاری، با برخی از بالاترین هزینههای انطباق و جریمههای نظارتی در مقایسه با سایر صنایع مواجه میشوند. از آنجایی که هیچ مؤسسهای به تنهایی نمیتواند با مقیاس رو به رشد تهدیدات متنباز همگام شود، بخش مالی مدل دفاع جمعی لایتول را به عنوان یک تحول ضروری در مدیریت ریسک میبیند.[3][5]
نکته مهم این است که لایتول تعهد دیرینه رد هت به جامعه گستردهتر متنباز را حفظ میکند. هنگامی که سیستم یک اصلاحیه امنیتی را تولید و تأیید میکند، رد هت وصله بکپورت شده را به پروژه اصلی متنباز بالادستی (upstream) ارسال میکند. این رویکرد «اول بالادستی» تضمین میکند که جامعه گستردهتر از اصلاحات تولید شده توسط هوش مصنوعی بهرهمند شوند، تکهتکه شدن پروژه را کاهش میدهد و امنیت پایه کل اکوسیستم را بهبود میبخشد.[2][8]
برای تسریع پذیرش سازمانی، آیبیام یک اکوسیستم عظیم از شرکای ادغام در اطراف لایتول ایجاد کرده است. یکپارچهسازان سیستمهای بزرگ و شرکتهای امنیت سایبری، از جمله Deloitte، Palo Alto Networks، AMD و Cognizant، در حال گنجاندن وابستگیهای اصلاحشده لایتول در معماریهای خود هستند. به عنوان مثال، Palo Alto Networks در حال ترکیب وصلهگذاری شبکه مجازی خود با اصلاحات نرمافزاری لایتول است تا در حالی که وصلههای دائمی تحت آزمایش هستند، یک محافظت لایهای ایجاد کند.[3][7]

با وجود خوشبینی پیرامون این راهاندازی، صنعت امنیت سایبری به دقت نحوه مقیاسپذیری لایتول را زیر نظر دارد. عدم قطعیت اصلی در گلوگاه انسانی نهفته است: همانطور که مدلهای هوش مصنوعی پیشرو حتی توانایی بیشتری در کشف آسیبپذیریهای روز صفر (zero-day) پیدا میکنند، حجم وصلههای مورد نیاز به شدت افزایش خواهد یافت. اینکه آیا ۲۰,۰۰۰ مهندس رد هت میتوانند این اصلاحات را به اندازه کافی سریع تأیید و مستقر کنند تا با اکتشافات تولید شده توسط هوش مصنوعی همگام شوند، آزمون نهایی دوام این پلتفرم باقی میماند.[3][6]
در نهایت، لایتول نشاندهنده یک تغییر ساختاری در نحوه رویکرد صنعت فناوری به امنیت نرمافزار است. آیبیام و رد هت با جدا کردن رفع آسیبپذیری از چرخه سنتی ارتقاء نرمافزار، تلاش میکنند تا سرعت مهاجمان خودکار را با مدافعان خودکار مطابقت دهند. برای سازمانهای مدرن، ایمنسازی زنجیره تأمین نرمافزار در حال گذار از یک کار دستی فناوری اطلاعات به یک قابلیت مستمر با سرعت ماشین است.[4][6]
بررسی عمیق دیدگاهها
رهبران امنیت سازمانی
تمرکز بر پایداری عملیاتی و حذف ارتقاءهای مخرب.
برای مدیران ارشد امنیت اطلاعات (CISOs) در شرکتهای بزرگ، لایتول یک تضاد عملیاتی اساسی را حل میکند: الزام به وصله کردن آسیبپذیریها در مقابل الزام به آنلاین نگه داشتن سیستمها. وصلهگذاری سنتی اغلب نیازمند ارتقاء به نسخههای جدیدتر نرمافزار است که یکپارچهسازیهای موجود را مختل میکند و منجر به توقف پرهزینه میشود. رهبران سازمانی رویکرد «بکپورتینگ» لایتول را به عنوان یک پیشرفت میبینند که به آنها اجازه میدهد زیرساخت خود را فوراً ایمن کنند، بدون اینکه نیاز به بازنویسی برنامههای اصلی یا تحمل تست رگرسیون گسترده داشته باشند.
نگهدارندگان متنباز
تعهد «اول بالادستی» را ارزشمند میدانند اما نگران تمرکزگرایی شرکتی هستند.
جامعه متنباز عموماً از سرازیر شدن منابع مهندسی استقبال میکند، به ویژه تعهد رد هت برای ارسال تمام وصلههای تولید شده توسط هوش مصنوعی به پروژههای اصلی بالادستی. این امر بار مسئولیت را از دوش نگهدارندگان داوطلب که اغلب تحت فشار گزارشهای امنیتی هستند، کاهش میدهد. با این حال، برخی از حامیان نگرانند که متمرکز کردن رفع آسیبپذیری در یک مرکز تجاری آیبیام/رد هت میتواند یک اینترنت دو لایه ایجاد کند، جایی که مشتریان سازمانی پرداختکننده، وصلههای حیاتی را در طول دورههای تحریم دریافت میکنند، در حالی که عموم مردم همچنان در معرض خطر باقی میمانند.
شکاکان امنیت هوش مصنوعی
مقیاسپذیری تأیید انسانی در برابر کد تولید شده توسط هوش مصنوعی را زیر سؤال میبرند.
محققان امنیتی که نسبت به کدنویسی مبتنی بر هوش مصنوعی تردید دارند، به مشکل «گلوگاه انسانی» اشاره میکنند. در حالی که مدلهای پیشرو مانند Claude Mythos میتوانند کد را اسکن کرده و وصلهها را با سرعت بیسابقهای تولید کنند، این وصلهها همچنان باید توسط مهندسان انسانی تأیید شوند تا اطمینان حاصل شود که نقصهای منطقی ظریف یا آسیبپذیریهای جدیدی را معرفی نمیکنند. شکاکان استدلال میکنند که با افزایش توانایی مدلهای هوش مصنوعی در یافتن باگها، ۲۰,۰۰۰ مهندس پشتیبان لایتول ممکن است در نهایت تحت فشار قرار گیرند و سیستم را مجبور به کاهش سرعت یا مصالحه در دقت بررسی انسانی کنند.
آنچه نمیدانیم
- آیا تیم مهندسی انسانی میتواند به اندازه کافی سریع مقیاسپذیر شود تا تعداد فزاینده آسیبپذیریهای کشف شده توسط هوش مصنوعی را تأیید کند.
- نگهدارندگان متنباز چگونه با هجوم ناگهانی وصلههای تولید شده توسط هوش مصنوعی و ارسال شده توسط رد هت به مخازن بالادستی خود برخورد خواهند کرد.
- لایتول کاتالوگ خود را فراتر از جاوا و پایتون، برای پوشش اکوسیستمهای حیاتی دیگر مانند جاوا اسکریپت (npm) یا راست (Cargo) چه زمانی گسترش خواهد داد.
منابع
[1]IBM
IBM and Red Hat Announce Commercial Launch of Lightwell
مطالعه در IBM →[2]Red Hat
Red Hat Lightwell Network: Securing the Open Source Supply Chain
مطالعه در Red Hat →[3]The Streetرهبران امنیت سازمانی
Why banks bought into IBM Lightwell first
مطالعه در The Street →[4]Developer Techنگهدارندگان متنباز
IBM and Red Hat launch Lightwell to automate vulnerability remediation
مطالعه در Developer Tech →[5]Security Briefرهبران امنیت سازمانی
IBM and Red Hat launch Lightwell for open source security
مطالعه در Security Brief →[6]AI Tech 365شکاکان امنیت هوش مصنوعی
Bringing Machine-Speed Security to Lightwell
مطالعه در AI Tech 365 →[7]Arabian Resellerشکاکان امنیت هوش مصنوعی
Deloitte, IBM, and Red Hat collaborate on software supply chain security
مطالعه در Arabian Reseller →[8]IT Tech Newsنگهدارندگان متنباز
IBM Lightwell Creates AI Open Source Security For Enterprise Scale
مطالعه در IT Tech News →
هر زاویه. هر روز.
دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاهها، مستقیم در صندوق ورودی شما.











