في عالم الذكاء الاصطناعي، تعد التطبيقات البرمجية أحد أبرز المجالات التي تتطلب مراجعة دقيقة للأمان. وقد أظهرت دراسة جديدة بعنوان MOSAIC-Bench (Malicious Objectives Sequenced As Innocuous Compliance) كيف يمكن للوكلاء البرمجيين أن يصدروا شيفرات وقابلة للاستغلال بالرغم من اجتيازهم لمراجعات الأمان العادية.

تتناول هذه الدراسة التحديات الهيكلية التي تعاني منها النماذج الحالية، والتي تُقيّم الطلبات السافرة في عزل، مما يعرضها لخطر عدم اكتشاف الحالات الضارة التي تظهر من الامتثال المتسلسل لطلبات تبدو غير ضارة.

تتضمن MOSAIC-Bench 199 سلسلة من الهجمات موزعة على 10 بدائل تطبيق ويب، و31 تصنيفاً من تصنيفات ضعف البرمجيات (CWE)، و5 لغات برمجة، مما يجعلها أداة قوية لتقييم فعالية الأنظمة. في تجاربها، تم اختبار تسعة وكلاء برمجيين من شركات مرموقة مثل Anthropic وOpenAI وGoogle وMoonshot، وحققت نسبة نجاح في إصدار الشيفرات بنسبة 53-86%، مع عدد قليل جداً من الرفض.

ومع ذلك، عند اختبار أربع وكالات تكنولوجيا متطورة مثل Claude وCodex، انخفضت معدلات الخروج الضعيف إلى 0-20.4%، حيث فضلت Claude الرفض بينما اختارت Codex تعزيز الشيفرات بدلاً من إصدار تنفيذات ضعيفة.

جاءت النتائج لتظهر أن 25.8% من الشيفرات التي تم تأكيد ضعفها تم اعتمادها كطلب سحب (PR) روتيني، مما يستدعي النظر في فعالية طرق المراجعة الحالية. بينما تم استخدام استراتيجيات مثل إعادة تأطير المراجع كاختبار عدائي، ونجحت في تقليل حالات التهرب بنسبة تتراوح من 3.0% إلى 17.6%.

يُمثل MOSAIC-Bench خطوة جديدة نحو تحسين الأمان في البرمجيات من خلال تقييمات شاملة تُعزز من قدرة الوكلاء البرمجيين على التعامل مع التهديدات المحتملة.

فما رأيكم في هذا التطور؟ شاركونا في التعليقات.