تم اكتشاف هجوم متطور على سلسلة التوريد بمساعدة الذكاء الاصطناعي يستهدف النظام البيئي مفتوح المصدر على منصة GitHub. ويُعرف هذا الحملة باسم "PRT-scan"، وتمثل الحادثة الرئيسية الثانية في الأشهر الأخيرة حيث استغل الجهات الفاعلة الخبيثة الذكاء الاصطناعي بشكل واضح لأتمتة اكتشاف واستغلال خطأ في التكوين الشائع عبر عدد هائل من المستودعات. يؤكد هذا الهجوم تطوراً خطيراً في التهديدات الإلكترونية، حيث لم يعد الذكاء الاصطناعي مجرد أداة دفاعية، بل أصبح محفزاً قوياً للجهات الخبيثة التي تسعى لتحقيق النطاق والكفاءة.
يدور جوهر هجوم PRT-scan حول استغلال خطأ أمني شائع في التكوين يتعلق بطلبات السحب (Pull Requests) على GitHub. تستخدم الجهات الفاعلة الخبيثة أدوات مدعومة بالذكاء الاصطناعي للمسح التلقائي عن المستودعات ذات أذونات المراجعة والدمج المرنة أو غير المُكونة بشكل صحيح. من خلال تحديد الأهداف حيث قد تقوم سير العمل الآلية أو الحافظين بدمج الكود تلقائياً، يمكن للمهاجمين تقديم طلبات سحب ضارة مصممة للتسلل إلى سلسلة توريد البرمجيات. يتيح هذا الاستهداف الآلي لفاعل أو مجموعة واحدة مهاجمة آلاف المشاريع في وقت واحد، وهو نطاق كان من الصعب تحقيقه يدوياً في السابق.
يتبع هذا الحادث اتجاهًا مقلقًا لتسليح الذكاء الاصطناعي في العمليات الإلكترونية. يتيح استخدام الذكاء الاصطناعي للمهاجمين التحرك بسرعة غير مسبوقة، وتحليل قواعد التعليمات البرمجية وإعدادات المستودعات الشاسعة لتحديد نقاط الضعف على نطاق يتناسب مع التعلم الآلي. بالنسبة لمجتمع المصادر المفتوحة، الذي يعتمد على الثقة والمراجعة التعاونية، يمثل هذا تحدياً وجودياً. يمكن للذكاء الاصطناعي توليد تغييرات ضارة في الكود تبدو معقولة أسرع مما يمكن للحافظين البشريين مراجعتها واقعياً، مما قد يؤدي إلى إدخال أبواب خلفية أو برامج ضارة أو تخريب في التبعيات الحرجة التي يستخدمها الملايين بصمت.
للدفاع ضد هذه الموجة الجديدة من التهديدات المدعومة بالذكاء الاصطناعي، يجب على المنظمات والحافظين تبني موقف أمني أكثر صرامة. تشمل الخطوات الحاسمة فرض مراجعة بشرية إلزامية لجميع طلبات السحب، وتنفيذ قواعد حماية قوية للفروع، وتطلب المصادقة متعددة العوامل للوصول إلى المستودع، ومراجعة سير عمل GitHub Action وأرقام الوصول بانتظام. علاوة على ذلك، يجب على صناعة الأمن الإلكتروني تسريع تطوير الأدوات الدفاعية المدعومة بالذكاء الاصطناعي القادرة على اكتشاف الكود الضار المُولد بالذكاء الاصطناعي وأنشطة المسح الجماعي غير الطبيعية. حملة PRT-scan هي تحذير واضح بأن عصر الهجمات الآلية الذكية قد حان، مما يتطلب دفاعاً آلياً وذكياً على قدم المساواة.
