24 million secrets exposed on GitHub
تسريب أسرار المطورين مشكلة كبيرة... والذكاء الاصطناعي يجعلها أسوأ بكثير
يحذر خبراء الأمن السيبراني من تفاقم مشكلة تسريب أسرار المطورين (مثل مفاتيح API، بيانات اعتماد غير مشفرة، ورموز الدخول) بسبب الاعتماد المتزايد على أدوات الذكاء الاصطناعي في البرمجة، ما يُسهل على المهاجمين الوصول إلى "مفاتيح المملكة".
جيسون ميلر، نائب رئيس المنتجات في شركة 1Password، أوضح أن هناك صراعًا داخليًا بين رغبة المطورين في السرعة والإبداع، وبين ضرورة الالتزام بأمن الكود وفحصه بعناية، لكن هذا التوازن غالبًا ما يختل مع المطورين المبتدئين أو المرهقين.
الذكاء الاصطناعي يسرّع تسريب الأسرار
أفاد تقرير GitGuardian لعام 2025 بوجود نحو 24 مليون سر مشفر بشكل صريح في مستودعات GitHub العامة – بزيادة 25٪ عن العام السابق. كما أن المستودعات التي تستخدم GitHub Copilot أكثر عرضة لتسريبات الأسرار بنسبة 40٪ مقارنة بالمستودعات الأخرى.
وأشار التقرير إلى أن المطورين المبتدئين الذين يستخدمون أدوات الذكاء الاصطناعي، وبدون إشراف أو مراجعة صارمة، معرضون لتسريب أسرار خطيرة دون وعي، خاصة أن الكثير منهم يخزنها أو يشاركها عبر أدوات غير آمنة مثل Slack أو Jira.
كيف نوقف هذا النزيف؟
يؤكد ميلر أن الحل يكمن في بناء "ضمير أمني" داخل المؤسسات، يعتمد على:
- استخدام أدوات الكشف عن الأسرار قبل إرسال الكود (Pre-commit secrets detection).
- الامتناع عن تخزين الأسرار على الأجهزة أو مشاركتها في الدردشات، وتوفير أدوات آمنة ومشفرة بديلة.
- توفير أدوات ذكاء اصطناعي معتمدة من الشركة تكون مجهزة بحماية مدمجة للأسرار.
- إجراء مراجعات دقيقة للكود، خصوصًا الكود المولد باستخدام الذكاء الاصطناعي.
كما شدد على دور المهندسين الكبار والقيادات الفنية في التوعية والمراجعة المستمرة للكود، لضمان أن الإبداع لا يأتي على حساب الأمان.
خلاصة المقال
الذكاء الاصطناعي يمنح المطورين قدرة هائلة على الإنتاج بسرعة، لكنه قد يكون بوابة لتسريبات كارثية إذا لم يُستخدم بحذر. المؤسسات بحاجة إلى موازنة بين الإبداع والأمان، عبر ثقافة أمنية ناضجة وأدوات تضمن حماية أسرار المطورين قبل أن تقع في أيدي المهاجمين.