قام موظفو GitHub بإصلاح ثغرة أمنية خطيرة في تنفيذ التعليمات البرمجية عن بعد في أقل من ست ساعات الشهر الماضي. يستخدم بحث ويز نماذج الذكاء الاصطناعي للكشف عن ثغرة أمنية في البنية التحتية الداخلية لـ GitHub والتي كان من الممكن أن تسمح للمهاجمين بالوصول إلى الملايين من مستودعات التعليمات البرمجية العامة والخاصة.
“بدأ فريقنا الأمني على الفور في التحقق من صحة تقرير مكافأة الخطأ. وفي غضون 40 دقيقة، قمنا بإعادة إنتاج الثغرة الأمنية داخليًا وأكدنا خطورتها.” يشرح الكسيس ويلز، كبير مسؤولي أمن المعلومات في GitHub. “كانت هذه قضية حرجة تتطلب اتخاذ إجراءات فورية.”
قام الفريق الهندسي في GitHub بتطوير إصلاح ونشره بعد ما يزيد قليلاً عن ساعة من تحديد السبب الجذري، مما أدى إلى حماية كل من GitHub.com وGitHub Enterprise Server. يقول ويلز: “في أقل من ساعتين، تمكنا من التحقق من صحة النتيجة، ونشرنا إصلاحًا لموقع github.com، وبدأنا تحقيقًا جنائيًا خلص إلى عدم وجود أي استغلال”. وهذا يعني أنه تم إصلاح المشكلة في غضون ست ساعات من تقرير Wiz.
تم اكتشاف الثغرة الأمنية نفسها “باستخدام الذكاء الاصطناعي”، وفقًا لما ذكره ويز. ومع ذلك، ليس من الواضح بالضبط ما هو نموذج الذكاء الاصطناعي الذي ساعد في اكتشاف المشكلة. يقول ساجي تزاديك، الباحث الأمني في Wiz: “من الجدير بالذكر أن هذه واحدة من أولى نقاط الضعف الحرجة التي تم اكتشافها في الثنائيات مغلقة المصدر باستخدام الذكاء الاصطناعي، مما يسلط الضوء على التحول في كيفية تحديد هذه العيوب”.
في حين أن استجابة GitHub السريعة تعني أنه تم نشر الإصلاح في غضون ساعات فقط، يحذر Wiz من أن الثغرة الأمنية النادرة “كانت سهلة الاستغلال بشكل ملحوظ”، على الرغم من مدى تعقيد نظام GitHub الأساسي. يقول ويلز: “من النادر العثور على مثل هذا المستوى وهذه الخطورة، مما يؤدي إلى الحصول على واحدة من أعلى المكافآت المتاحة في برنامج Bug Bounty الخاص بنا، وهو بمثابة تذكير بأن الأبحاث الأمنية الأكثر تأثيرًا تأتي من باحثين ماهرين يعرفون كيفية طرح الأسئلة الصحيحة”.
يأتي اكتشاف ثغرة أمنية كبيرة في GitHub بعد أيام قليلة واجه GitHub انقطاعًا كبيرًا التي تم إرجاعها بشكل عشوائي إلى الالتزامات المدمجة مسبقًا (لقطات التعليمات البرمجية) لبعض المستخدمين. كان لدى GitHub أيضًا انقطاعات أخرى الأسبوع الماضي، فيما أصبح بشكل متزايد اتجاهًا للخدمة. ذكرت الاسبوع الماضي حول مخاوف الموظفين بشأن موثوقية GitHub، سلط الضوء على أحد موظفي GitHub الذي قال “الشركة تنهار، سواء بسبب انقطاعات الخدمة السيئة حقًا والتي أحرقت سمعة الشركة… أو في رحيل القيادة.”
