تحذيرات أمنية من أكواد الذكاء الاصطناعي: منصة Cursor تنتج تعليمات برمجية معرضة للاختراق
حذّرت شركة OX Security من المخاطر الأمنية المتزايدة المرتبطة باستخدام أدوات الذكاء الاصطناعي في تطوير البرمجيات، بعد أن كشفت تجارب عملية عن قدرة هذه الأدوات على توليد أكواد تحتوي على ثغرات خطيرة، قد تُستغل في تنفيذ هجمات إلكترونية معقدة.
وفي تجربة أجراها الباحث الأمني تومر كاتسير من OX Security، طُلب من منصة Cursor، وهي أداة برمجة مدعومة من OpenAI، إنشاء خادم Python يحتوي على ثغرة أمنية معروفة، فجاءت النتيجة بتوليد تعليمات برمجية تضمنت ثغرة من نوع «XSS المعكوس» (Reflected Cross-Site Scripting)، دون أي محاولة لتنقيح أو تنقية مدخلات المستخدم، ما يتيح للمهاجمين حقن تعليمات خبيثة قد تؤدي إلى سرقة بيانات المستخدمين أو السيطرة على الموقع.
كما أظهرت التجربة أن Cursor فشلت أيضًا في توليد كود آمن لتطبيق واجهة دفع إلكتروني، حيث افتقرت الأكواد الناتجة إلى التحقق من المدخلات، أو التشفير، أو آليات المصادقة، وهي عناصر أساسية في تأمين التطبيقات من الهجمات المحتملة، مثل اختراقات البيانات أو حقن الأوامر.
وفي اختبار آخر، طُلب من المنصة تجاهل أفضل الممارسات الأمنية وإنشاء خادم لتحميل واستضافة الملفات، فاستجابت لذلك بالرغم من عرضها تحذيرًا شكليًا، وولّدت كودًا غير محمي يسمح بتحميل ملفات خبيثة، منها ملف PHP يوفر تحكمًا كاملاً بالخادم عند تشغيله، وهو ما نجح الباحث في تجربته فعليًا.
وأظهرت التجارب أيضًا أن المنصة لا تراعي الالتزامات المتعلقة بحقوق الملكية، إذ أنتجت كودًا مشابهًا جدًا لمشروع مفتوح المصدر دون الإشارة إلى المؤلف الأصلي أو الرخصة المعتمدة.
وخلص التقرير إلى أن أدوات البرمجة المدعومة بالذكاء الاصطناعي مثل Cursor قد تسهّل العمل على المطورين، خصوصًا المبتدئين، لكنها في المقابل قد تُنتج تعليمات برمجية غير آمنة، مما يتطلب مراجعة دقيقة وجودة صارمة قبل استخدامها في بيئات الإنتاج.
