مع انتشار أدوات البرمجة المدعومة بالذكاء الاصطناعي في فرق التطوير حول العالم، تكشف دراسات حديثة عن صورة مقلقة لجودة الكود وأمنه. فبحسب تقرير حديث لشركة أمن التطبيقات Endor Labs، لا يتجاوز عدد الاعتمادات البرمجية الآمنة (Dependencies) التي تقترحها وكلاء البرمجة بالذكاء الاصطناعي واحداً من كل خمسة، بينما تحتوي نسبة كبيرة من البقية على ثغرات معروفة أو حزم خيالية لا وجود لها فعلياً.
التقرير أشار إلى أن ما بين 44 و49 في المئة من الاعتمادات التي تستوردها هذه الأدوات في المشاريع تتضمن ثغرات أمنية موثقة مسبقاً. أما الجزء الآخر من الاعتمادات غير الآمنة فيتكون من حزم غير حقيقية ووهمية بأسماء تبدو حقيقية لكنها غير موجودة، ما يفتح الباب لهجمات جديدة على سلسلة الإمداد البرمجية عبر نشر حزم خبيثة تحمل الأسماء نفسها.
دراسات أكاديمية حديثة ذهبت أبعد من ذلك، إذ رصدت ما وصفته بـ“تدهور أمني بالتغذية الراجعة” في الكود المولّد آلياً. فبدلاً من أن تؤدي جولات التحسين المتتالية إلى كود أكثر أماناً، أظهرت تجربة على مئات عينات الكود زيادة ملحوظة في الثغرات الحرجة بعد بضع جولات من “التحسين” باستخدام الذكاء الاصطناعي، ما يناقض الافتراض الشائع بأن التكرار يحسّن الجودة تلقائياً.
وتشير تحليلات مستقلة إلى أن نحو ثلث الكود المولَّد بالذكاء الاصطناعي يحتوي على ثغرات معروفة، بينما وجدت دراسة واسعة النطاق أن 45 في المئة من هذا الكود يضيف عيوباً أمنية جديدة. المخاطر تختلف بحسب لغة البرمجة، حيث تظهر Java معدلات فشل أمنية أعلى من غيرها، في حين تحقق Python وJavaScript وC# نسب نجاح أفضل نسبياً، لكنها تظل بعيدة عن مستوى “آمن بشكل افتراضي”. الهجمات من نوع حقن الشيفرة في الواجهات (Cross-Site Scripting) وحقن السجلات (Log Injection) بدت من بين أكثر النقاط ضعفاً في الكود الذي تنتجه النماذج.
حالات عملية دعمت هذه النتائج؛ فاختبارات أجرتها شركات أمنية على منصات بناء التطبيقات بالذكاء الاصطناعي أظهرت أن بعض هذه المنصات تولّد بشكل افتراضي تطبيقات ويب قابلة للاستغلال بثغرات تخزين شيفرة خبيثة في الواجهات، حتى عندما يطلب المستخدم صراحةً تطبيقاً “آمناً”. كما كُشف عن ثغرات خطيرة في تكامل بعض أدوات الذكاء الاصطناعي مع منصات إدارة الكود، سمحت نظرياً بسرقة الشيفرة أو تنفيذ هجمات حقن أو تسريب بيانات حساسة.
في السياق نفسه، برز بروتوكول Model Context Protocol (MCP)، الذي يربط وكلاء الذكاء الاصطناعي بأدوات وخدمات خارجية، كنقطة ضعف جديدة. تقارير أمنية وثّقت حوادث تضمنت حزم خبيثة وخوادم غير موثوقة وصلاحيات وصول مفرطة إلى واجهات برمجة التطبيقات، ما قد يعرض آلاف التطبيقات لمخاطر إضافية إذا لم تُدار هذه الصلاحيات بعناية.
ورغم هذه المخاطر، يستمر الاعتماد على أدوات البرمجة بالذكاء الاصطناعي في الارتفاع. استطلاع مطوري Stack Overflow لعام 2025 يشير إلى أن 84 في المئة من المطورين يستخدمون أو يخططون لاستخدام هذه الأدوات، وأكثر من نصف المحترفين يعتمدون عليها يومياً في عملهم. في المقابل، يرتفع منسوب الحذر؛ فقرابة نصف المطورين يصرحون بعدم الثقة في دقة مخرجات الأدوات، ويبدون انزعاجاً من حلول قريبة من الصواب لكنها ليست صحيحة بالكامل.
رسالة الباحثين الأمنيين واضحوهي أن أدوات البرمجة القائمة على الذكاء الاصطناعي يمكن أن تسرّع التطوير وتزيد الإنتاجية، لكنها لا تعفي الفرق من مسؤولية التحقق اليدوي، ومراجعة الكود، وفحص الاعتمادات البرمجية بعناية. من دون هذه الخطوة، قد تتحول هذه الأدوات من مساعد ذكي في عملية التطوير إلى باب جديد للهجمات والثغرات في الأنظمة الحساسة.
