حين يغرق الذكاء الاصطناعي مستودعات GitHub بالكود السام

في مشهد يجسّد الجانب المظلم لثورة توليد الأكواد آليًا، تتصاعد أزمة هندسية وأمنية حقيقية داخل مجتمع المصادر المفتوحة. أحد أبرز الأمثلة المتداولة مؤخرًا هو مشروع «Odysseus»، وهو مساحة عمل ذكاء اصطناعي ذاتية الاستضافة أطلقها صانع المحتوى الشهير PewDiePie، وحقّق انتشارًا تقنيًا هائلًا تجاوز عشرات الآلاف من النجوم على منصة GitHub خلال أسابيع. هذا النجاح السريع جلب معه نوعًا جديدًا من التحديات: الإغراق بطلبات سحب (Pull Requests) منخفضة الجودة ومولّدة آليًا عبر وكلاء الذكاء الاصطناعي البرمجية.

وقد بلغ الأمر بمشرفي المشروع أن نصّوا صراحةً في ملف إرشادات المساهمة على رفض طلبات السحب المُنتَجة بالجملة عبر وكلاء النماذج اللغوية، وإغلاقها دون مراجعة حتى لو كان الإصلاح في جوهره صحيحًا، طلبًا لفتح «مشكلة» (Issue) أولًا بدلًا من طلب سحب مباشر.

المشكلة أعمق من مجرد كود رديء

لم تعد القضية مقتصرة على أكواد غير محسَّنة أو مثقلة بالديون التقنية. بحسب منشور متداول حول المشروع، أدّت بعض المساهمات المولّدة آليًا إلى إدخال ثغرات أمنية حسّاسة، من بينها ما وُصف بأنه إمكانية تخطّي المصادقة الثنائية، ووصول غير مقيّد لملفات الخادم عبر إساءة استخدام معرّف الجلسة، بل وثغرة تنفيذ أوامر عن بُعد. ومع أن هذه التفاصيل المحددة لم تتأكّد من مصدر مستقل حتى كتابة هذه السطور، إلا أنها تعكس نمطًا حقيقيًا من المخاطر يستحق التوقف عنده، بصرف النظر عن دقة كل تفصيل في الحالة بعينها.

لماذا يحدث هذا؟ تحليل معماري

جذر المشكلة أن النماذج اللغوية الكبيرة مُحسَّنة لإرضاء «المسار السعيد» (Happy Path)؛ أي كتابة كود ينفّذ الوظيفة المطلوبة بأسرع ما يمكن. لكنها لا تمتلك بطبيعتها «نموذج تهديد» (Threat Model) يجعلها تتساءل: كيف يمكن لجهة خبيثة أن تستغل هذا الكود؟ النتيجة أن الكود قد يعمل وظيفيًا ويبدو أنيقًا، بينما يفتقر لأبسط ضوابط الأمان في طبقات حسّاسة كالمصادقة وإدارة الجلسات.

وحين تُدمج هذه المساهمات في مشاريع مفتوحة المصدر ضخمة دون رقابة، يتحوّل المشرفون من مهندسين يراجعون المنطق ويبنون الميزات، إلى مدقّقي أمن مرهَقين يفكّكون «ألغامًا» برمجية مغلّفة بأسطر أنيقة ولّدتها الآلة في ثوانٍ. السرعة الخارقة في الإنتاج لا تعني الجودة ولا الموثوقية.

منهجية vibe coding والرقابة الغائبة

كثير من المساهمات يأتي من مطوّرين يعتمدون على ما يُعرف بـ«البرمجة بالإحساس» (vibe coding)؛ أي توجيه وكيل ذكاء اصطناعي بأوامر عامة وقبول مخرجاته دون مراجعة معمارية صارمة. المشكلة ليست في الأداة نفسها، بل في غياب الحوكمة: قبول مخرجات آلية في مسارات حسّاسة دون فهمٍ لما تفعله فعلًا.

كيف تحمي مشروعك؟

الحل ليس رفض الذكاء الاصطناعي، بل تأطيره بحوكمة هندسية صارمة. طبّق مبدأ «الثقة المعدومة» (Zero Trust) على كل مساهمة بصرف النظر عن مصدرها. أنشئ بوابات فحص أمني مؤتمتة ضمن خط التكامل المستمر (Security CI/CD Gates) تفحص التبعيات والأنماط الخطرة قبل الدمج. واجعل المراجعة البشرية إلزامية لكل سطر يلامس المصادقة أو إدارة الجلسات أو صلاحيات الوصول. ووثّق في إرشادات المساهمة بوضوح موقفك من المساهمات المولّدة آليًا، كما فعل مشرفو المشروع المذكور.

خلاصة

توليد الأكواد آليًا أداة قوية، لكنه بلا حوكمة قد يتحوّل إلى قناة لاستيراد الثغرات طوعًا إلى قاعدة شفرتك. الدرس المستفاد من ضجة هذا المشروع ليس أن الذكاء الاصطناعي خطر، بل أن السرعة بلا مراجعة هي الخطر. مشروعك القادم يستحق بوابات أمان حقيقية ومراجعة بشرية واعية، لا ثقة عمياء في مخرجات أنيقة المظهر.