امنیت زنجیره تأمینتوضیح و تحلیلJul 10, 2026, 1:21 AM· 7 دقیقه مطالعه· #1 از 3 در فناوری

آی‌بی‌ام و رد هت «لایت‌ول» را برای خودکارسازی امنیت متن‌باز با هوش مصنوعی راه‌اندازی کردند

شرکت‌های آی‌بی‌ام و رد هت، «لایت‌ول» (Lightwell) را راه‌اندازی کردند؛ یک طرح ۵ میلیارد دلاری که از هوش مصنوعی برای یافتن و رفع خودکار آسیب‌پذیری‌ها در نرم‌افزارهای متن‌باز، بدون ایجاد اختلال در سیستم‌های سازمانی، استفاده می‌کند.

به قلم تیم سردبیری کوهستان

رهبران امنیت سازمانی 40%نگه‌دارندگان متن‌باز 30%شکاکان امنیت هوش مصنوعی 30%
رهبران امنیت سازمانی
لایت‌ول را به دلیل حذف توقف عملیاتی مرتبط با ارتقاءهای سنتی نرم‌افزار، ارزشمند می‌دانند.
نگه‌دارندگان متن‌باز
از مشارکت‌های بالادستی قدردانی می‌کنند اما نگران کنترل شرکتی بر تحریم‌های آسیب‌پذیری هستند.
شکاکان امنیت هوش مصنوعی
این سؤال را مطرح می‌کنند که آیا مهندسان انسانی می‌توانند وصله‌های تولید شده توسط هوش مصنوعی را به اندازه کافی سریع تأیید کنند تا از ایجاد گلوگاه جلوگیری شود.

چرا مهم است

نرم‌افزار متن‌باز ۹۰ درصد اینترنت مدرن را تأمین می‌کند، اما رفع آسیب‌پذیری‌های آن اغلب باعث از کار افتادن سیستم‌های حیاتی می‌شود. لایت‌ول با استفاده از هوش مصنوعی برای اعمال مستقیم اصلاحات در نسخه‌های قدیمی‌تر نرم‌افزار (backporting)، به بیمارستان‌ها، بانک‌ها و دولت‌ها اجازه می‌دهد تا زیرساخت‌های خود را فوراً ایمن کنند، بدون اینکه خطر توقف عملیاتی را بپذیرند.

آی‌بی‌ام و رد هت رسماً «لایت‌ول» را راه‌اندازی کردند، یک طرح تجاری عظیم که برای خودکارسازی کشف و رفع آسیب‌پذیری‌ها در نرم‌افزارهای متن‌باز طراحی شده است. این پلتفرم که این هفته به طور عمومی در دسترس قرار گرفت، نتیجه تعهد مشترک ۵ میلیارد دلاری است که اوایل سال جاری اعلام شده بود. لایت‌ول با ترکیب مدل‌های هوش مصنوعی مولد و نظارت مهندسی انسانی، قصد دارد کدهای زیربنایی اینترنت مدرن را ایمن کند و راهی برای سازمان‌ها فراهم آورد تا نقص‌های حیاتی را بدون ایجاد اختلال در عملیات روزانه خود، برطرف سازند.[1][2]

مقیاس مشکل زنجیره تأمین نرم‌افزار به یک نقطه بحرانی رسیده است. اجزای متن‌باز اکنون تا ۹۰ درصد از پایگاه‌های کد سازمانی را تشکیل می‌دهند و سالانه تقریباً ۱۰ تریلیون بار دانلود می‌شوند. در حالی که این اکوسیستم مشترک نوآوری سریع را به دنبال دارد، یک سطح حمله گسترده نیز ایجاد می‌کند. یک آسیب‌پذیری وصله‌نشده در یک کتابخانه پرکاربرد می‌تواند خطرات فوری و آبشاری را در هزاران شبکه شرکتی و دولتی ایجاد کند.[1][4]

این بحران آسیب‌پذیری با ظهور هوش مصنوعی به شدت تشدید شده است. بازیگران مخرب به طور فزاینده‌ای از اکسپلویت‌های ارزان‌قیمت و تولیدشده توسط هوش مصنوعی – که اغلب تولیدشان تنها ۵۰ دلار هزینه دارد – برای اسکن و حمله به سیستم‌های وصله‌نشده با سرعت ماشین استفاده می‌کنند. در نتیجه، میانگین پایگاه کد سازمانی اکنون بیش از ۵۸۰ آسیب‌پذیری را در خود جای داده است، که یک انباشتگی ایجاد کرده که تیم‌های امنیتی انسانی به سادگی نمی‌توانند با استفاده از روش‌های سنتی آن را برطرف کنند.[1][4]

از لحاظ تاریخی، رفع این آسیب‌پذیری‌ها تیم‌های مهندسی پلتفرم را مجبور به یک مصالحه دشوار کرده است. وصله‌گذاری روتین نیازمند تست رگرسیون گسترده است تا اطمینان حاصل شود که کد جدید ویژگی‌های موجود را خراب نمی‌کند. ارتقاء یک وابستگی متن‌باز به آخرین نسخه آن اغلب «تغییرات مخرب» (breaking changes) ایجاد می‌کند که خطوط لوله استقرار را فلج می‌سازد، و بسیاری از سازمان‌ها را وادار می‌کند تا به‌روزرسانی‌های امنیتی حیاتی را به تأخیر بیندازند تا ریسک از کار افتادن سیستم‌های تولیدی خود را نپذیرند.[4][5]

لایت‌ول این بن‌بست عملیاتی را از طریق فرآیندی که به عنوان «بک‌پورتینگ خودکار» (automated backporting) شناخته می‌شود، حل می‌کند. به جای مجبور کردن یک شرکت به ارتقاء به جدیدترین نسخه یک بسته نرم‌افزاری، موتور هوش مصنوعی لایت‌ول یک وصله امنیتی هدفمند ایجاد کرده و آن را مستقیماً بر روی نسخه قدیمی‌تر و خاص نرم‌افزاری که شرکت در حال حاضر از آن استفاده می‌کند، اعمال می‌کند. این امر به کسب‌وکارها اجازه می‌دهد تا آسیب‌پذیری را فوراً از بین ببرند، بدون اینکه منطق اصلی برنامه خود را تغییر دهند یا ارتقاءهای پرخطر در سطح سیستم را اجرا کنند.[2][4]

این سیستم با استفاده از یک موتور رفع نقص مبتنی بر هوش مصنوعی مولد کار می‌کند که مدل‌های پیشرو مانند «کلود میتوس پریویو» (Claude Mythos Preview) شرکت انتروپیک را با مدل‌های تخصصی هوش مصنوعی متن‌باز ترکیب می‌کند. وظیفه این موتور شناسایی آسیب‌پذیری‌های پنهان در عمق معماری‌های نرم‌افزاری، اعتبارسنجی شدت آن‌ها و تولید کد اولیه برای وصله کردن آن‌ها است. هوش مصنوعی با مقیاس و سرعتی عمل می‌کند که محققان انسانی قادر به رقابت با آن نیستند و هزاران مخزن را به طور همزمان اسکن می‌کند.[1][3][4]

شواهد اولیه نشان می‌دهد که این رویکرد مبتنی بر هوش مصنوعی بسیار مؤثر است. در یک افشاسازی اخیر، انتروپیک فاش کرد که مدل Mythos Preview آن بیش از ۱۰۰۰ پروژه متن‌باز را اسکن کرده و بیش از ۶۲۰۰ آسیب‌پذیری را علامت‌گذاری کرده است. هنگامی که شرکت‌های امنیتی خارجی نمونه‌ای از این مسائل علامت‌گذاری شده را به طور مستقل بررسی کردند، ۹۰.۶ درصد به عنوان آسیب‌پذیری‌های واقعی تأیید شدند و بیش از ۶۰ درصد نیز دارای شدت بالا یا حیاتی بودند. این نسبت بالای سیگنال به نویز برای خودکارسازی فرآیند اولویت‌بندی (triage) حیاتی است.[3]

شواهد اولیه نشان می‌دهد که این رویکرد مبتنی بر هوش مصنوعی بسیار مؤثر است.

با این حال، آی‌بی‌ام و رد هت تنها به هوش مصنوعی تکیه نمی‌کنند. هر وصله تولید شده توسط هوش مصنوعی قبل از توزیع به مشتریان، تحت آزمایش خودکار دقیق و اعتبارسنجی انسانی قرار می‌گیرد. این شرکت‌ها یک نیروی کار جهانی متشکل از بیش از ۲۰,۰۰۰ مهندس را برای نظارت بر برنامه لایت‌ول اختصاص داده‌اند تا اطمینان حاصل کنند که اصلاحات خودکار، الزامات پایداری در سطح سازمانی را برآورده می‌کنند و خطاهای جدید و پیش‌بینی‌نشده‌ای را وارد کد نمی‌کنند.[1][4][8]

عرضه تجاری به دو پیشنهاد متمایز تقسیم می‌شود. اولین مورد، «شبکه لایت‌ول» (Lightwell Network)، اکنون به طور عمومی در دسترس است و دسترسی سلف‌سرویس به کاتالوگی شامل بیش از ۶۵۰۰ وابستگی لایه کاربردی اصلاح‌شده، امضا شده دیجیتالی و تأیید شده را فراهم می‌کند. در زمان راه‌اندازی، این شبکه عمدتاً از اکوسیستم‌های جاوا (Java) و پایتون (Python) پشتیبانی می‌کند که به شدت در سیستم‌های بک‌اند سازمانی و برنامه‌های کاربردی علم داده استفاده می‌شوند. مشتریان می‌توانند این اصلاحات امضا شده را مستقیماً در ابزارهای ساخت موجود خود، مانند Maven یا Artifactory، وارد کنند.[1][2][5]

پیشنهاد دوم، «لایت‌ول کلیرینگ‌هاوس پریمیر» (Lightwell Clearinghouse Premier)، در حال حاضر در مرحله دسترسی محدود قرار دارد. این سطح به عنوان یک واسطه مورد اعتماد برای تحریم‌های وصله امنیتی و هماهنگی تهدیدات در سطح صنعت عمل می‌کند. این امکان را به سازمان‌های شرکت‌کننده می‌دهد تا آسیب‌پذیری‌های جدید را ارسال کرده و درخواست اصلاحات سفارشی برای نسخه‌های نرم‌افزاری خاص در طول دوره تحریم (embargo) داشته باشند – یک بازه زمانی حیاتی قبل از اینکه نقص به طور عمومی برای اینترنت گسترده‌تر فاش شود.[1][5]

مؤسسات خدمات مالی اولین پذیرندگان مدل Clearinghouse Premier بوده‌اند. بانک‌ها و شرکت‌های تجاری در صورت وصله‌نشدن یک آسیب‌پذیری نرم‌افزاری، با برخی از بالاترین هزینه‌های انطباق و جریمه‌های نظارتی در مقایسه با سایر صنایع مواجه می‌شوند. از آنجایی که هیچ مؤسسه‌ای به تنهایی نمی‌تواند با مقیاس رو به رشد تهدیدات متن‌باز همگام شود، بخش مالی مدل دفاع جمعی لایت‌ول را به عنوان یک تحول ضروری در مدیریت ریسک می‌بیند.[3][5]

نکته مهم این است که لایت‌ول تعهد دیرینه رد هت به جامعه گسترده‌تر متن‌باز را حفظ می‌کند. هنگامی که سیستم یک اصلاحیه امنیتی را تولید و تأیید می‌کند، رد هت وصله بک‌پورت شده را به پروژه اصلی متن‌باز بالادستی (upstream) ارسال می‌کند. این رویکرد «اول بالادستی» تضمین می‌کند که جامعه گسترده‌تر از اصلاحات تولید شده توسط هوش مصنوعی بهره‌مند شوند، تکه‌تکه شدن پروژه را کاهش می‌دهد و امنیت پایه کل اکوسیستم را بهبود می‌بخشد.[2][8]

برای تسریع پذیرش سازمانی، آی‌بی‌ام یک اکوسیستم عظیم از شرکای ادغام در اطراف لایت‌ول ایجاد کرده است. یکپارچه‌سازان سیستم‌های بزرگ و شرکت‌های امنیت سایبری، از جمله Deloitte، Palo Alto Networks، AMD و Cognizant، در حال گنجاندن وابستگی‌های اصلاح‌شده لایت‌ول در معماری‌های خود هستند. به عنوان مثال، Palo Alto Networks در حال ترکیب وصله‌گذاری شبکه مجازی خود با اصلاحات نرم‌افزاری لایت‌ول است تا در حالی که وصله‌های دائمی تحت آزمایش هستند، یک محافظت لایه‌ای ایجاد کند.[3][7]

در حالی که هوش مصنوعی وصله‌ها را تولید می‌کند، نیروی جهانی متشکل از ۲۰,۰۰۰ مهندس هر اصلاحیه را قبل از استقرار تأیید می‌کنند.
در حالی که هوش مصنوعی وصله‌ها را تولید می‌کند، نیروی جهانی متشکل از ۲۰,۰۰۰ مهندس هر اصلاحیه را قبل از استقرار تأیید می‌کنند.

با وجود خوش‌بینی پیرامون این راه‌اندازی، صنعت امنیت سایبری به دقت نحوه مقیاس‌پذیری لایت‌ول را زیر نظر دارد. عدم قطعیت اصلی در گلوگاه انسانی نهفته است: همانطور که مدل‌های هوش مصنوعی پیشرو حتی توانایی بیشتری در کشف آسیب‌پذیری‌های روز صفر (zero-day) پیدا می‌کنند، حجم وصله‌های مورد نیاز به شدت افزایش خواهد یافت. اینکه آیا ۲۰,۰۰۰ مهندس رد هت می‌توانند این اصلاحات را به اندازه کافی سریع تأیید و مستقر کنند تا با اکتشافات تولید شده توسط هوش مصنوعی همگام شوند، آزمون نهایی دوام این پلتفرم باقی می‌ماند.[3][6]

در نهایت، لایت‌ول نشان‌دهنده یک تغییر ساختاری در نحوه رویکرد صنعت فناوری به امنیت نرم‌افزار است. آی‌بی‌ام و رد هت با جدا کردن رفع آسیب‌پذیری از چرخه سنتی ارتقاء نرم‌افزار، تلاش می‌کنند تا سرعت مهاجمان خودکار را با مدافعان خودکار مطابقت دهند. برای سازمان‌های مدرن، ایمن‌سازی زنجیره تأمین نرم‌افزار در حال گذار از یک کار دستی فناوری اطلاعات به یک قابلیت مستمر با سرعت ماشین است.[4][6]

بررسی عمیق دیدگاه‌ها

رهبران امنیت سازمانی

تمرکز بر پایداری عملیاتی و حذف ارتقاءهای مخرب.

برای مدیران ارشد امنیت اطلاعات (CISOs) در شرکت‌های بزرگ، لایت‌ول یک تضاد عملیاتی اساسی را حل می‌کند: الزام به وصله کردن آسیب‌پذیری‌ها در مقابل الزام به آنلاین نگه داشتن سیستم‌ها. وصله‌گذاری سنتی اغلب نیازمند ارتقاء به نسخه‌های جدیدتر نرم‌افزار است که یکپارچه‌سازی‌های موجود را مختل می‌کند و منجر به توقف پرهزینه می‌شود. رهبران سازمانی رویکرد «بک‌پورتینگ» لایت‌ول را به عنوان یک پیشرفت می‌بینند که به آن‌ها اجازه می‌دهد زیرساخت خود را فوراً ایمن کنند، بدون اینکه نیاز به بازنویسی برنامه‌های اصلی یا تحمل تست رگرسیون گسترده داشته باشند.

نگه‌دارندگان متن‌باز

تعهد «اول بالادستی» را ارزشمند می‌دانند اما نگران تمرکزگرایی شرکتی هستند.

جامعه متن‌باز عموماً از سرازیر شدن منابع مهندسی استقبال می‌کند، به ویژه تعهد رد هت برای ارسال تمام وصله‌های تولید شده توسط هوش مصنوعی به پروژه‌های اصلی بالادستی. این امر بار مسئولیت را از دوش نگه‌دارندگان داوطلب که اغلب تحت فشار گزارش‌های امنیتی هستند، کاهش می‌دهد. با این حال، برخی از حامیان نگرانند که متمرکز کردن رفع آسیب‌پذیری در یک مرکز تجاری آی‌بی‌ام/رد هت می‌تواند یک اینترنت دو لایه ایجاد کند، جایی که مشتریان سازمانی پرداخت‌کننده، وصله‌های حیاتی را در طول دوره‌های تحریم دریافت می‌کنند، در حالی که عموم مردم همچنان در معرض خطر باقی می‌مانند.

شکاکان امنیت هوش مصنوعی

مقیاس‌پذیری تأیید انسانی در برابر کد تولید شده توسط هوش مصنوعی را زیر سؤال می‌برند.

محققان امنیتی که نسبت به کدنویسی مبتنی بر هوش مصنوعی تردید دارند، به مشکل «گلوگاه انسانی» اشاره می‌کنند. در حالی که مدل‌های پیشرو مانند Claude Mythos می‌توانند کد را اسکن کرده و وصله‌ها را با سرعت بی‌سابقه‌ای تولید کنند، این وصله‌ها همچنان باید توسط مهندسان انسانی تأیید شوند تا اطمینان حاصل شود که نقص‌های منطقی ظریف یا آسیب‌پذیری‌های جدیدی را معرفی نمی‌کنند. شکاکان استدلال می‌کنند که با افزایش توانایی مدل‌های هوش مصنوعی در یافتن باگ‌ها، ۲۰,۰۰۰ مهندس پشتیبان لایت‌ول ممکن است در نهایت تحت فشار قرار گیرند و سیستم را مجبور به کاهش سرعت یا مصالحه در دقت بررسی انسانی کنند.

آنچه نمی‌دانیم

  • آیا تیم مهندسی انسانی می‌تواند به اندازه کافی سریع مقیاس‌پذیر شود تا تعداد فزاینده آسیب‌پذیری‌های کشف شده توسط هوش مصنوعی را تأیید کند.
  • نگه‌دارندگان متن‌باز چگونه با هجوم ناگهانی وصله‌های تولید شده توسط هوش مصنوعی و ارسال شده توسط رد هت به مخازن بالادستی خود برخورد خواهند کرد.
  • لایت‌ول کاتالوگ خود را فراتر از جاوا و پایتون، برای پوشش اکوسیستم‌های حیاتی دیگر مانند جاوا اسکریپت (npm) یا راست (Cargo) چه زمانی گسترش خواهد داد.

منابع

پوشش منابع

8 منبع

3 دیدگاه شناسایی‌شده

رهبران امنیت سازمانی 40%نگه‌دارندگان متن‌باز 30%شکاکان امنیت هوش مصنوعی 30%
  1. [1]IBM

    IBM and Red Hat Announce Commercial Launch of Lightwell

    مطالعه در IBM
  2. [2]Red Hat

    Red Hat Lightwell Network: Securing the Open Source Supply Chain

    مطالعه در Red Hat
  3. [3]The Streetرهبران امنیت سازمانی

    Why banks bought into IBM Lightwell first

    مطالعه در The Street
  4. [4]Developer Techنگه‌دارندگان متن‌باز

    IBM and Red Hat launch Lightwell to automate vulnerability remediation

    مطالعه در Developer Tech
  5. [5]Security Briefرهبران امنیت سازمانی

    IBM and Red Hat launch Lightwell for open source security

    مطالعه در Security Brief
  6. [6]AI Tech 365شکاکان امنیت هوش مصنوعی

    Bringing Machine-Speed Security to Lightwell

    مطالعه در AI Tech 365
  7. [7]Arabian Resellerشکاکان امنیت هوش مصنوعی

    Deloitte, IBM, and Red Hat collaborate on software supply chain security

    مطالعه در Arabian Reseller
  8. [8]IT Tech Newsنگه‌دارندگان متن‌باز

    IBM Lightwell Creates AI Open Source Security For Enterprise Scale

    مطالعه در IT Tech News
همیشه در جریان باشید

هر زاویه. هر روز.

دریافت فناوری اخبار همراه با پوشش کامل منابع و تحلیل دیدگاه‌ها، مستقیم در صندوق ورودی شما.