غزال زیاری- در سالهای اخیر شاهد ظهور مدلهای زبانی بزرگی بودهایم و همین اتفاق، چشمانداز فناوری اطلاعات را بهشدت تغییر داده؛ اما معرفی مدل «کلود میتوس» (Claude Mythos) توسط شرکت آنتروپیک در آوریل ۲۰۲۶، در حقیقت در حکم نقطه عطفی است که فراتر از یک پیشرفت فنی ساده، بهعنوان یک بازتعریف ساختاری در مفهوم امنیت دیجیتال شناخته میشود.
این مدل که در چارچوب پروژه گلسویینگ توسعه یافت، برای اولین بار توانمندیهایی را به نمایش گذاشت که مرزهای بین تحلیل انسانی و محاسبات ماشین در حوزه کشف آسیبپذیریهای نرمافزاری را جابجا کرد؛ اما تناقض بزرگ زمانی به چشم آمد که این مدل که به دلیل بیشازحد خطرناک بودن، بهصورت عمومی منتشرنشده بود، تنها چند هفته بعد از معرفی، با گزارشهایی مبنی بر دسترسی غیرمجاز یک گروه از کاربران پلتفرم دیسکورد روبرو شد.
این اتفاق باعث شد که نهتنها بحث توانمندیهای خیرهکننده هوش مصنوعی در شناسایی حفرههای امنیتی مطرح شود، بلکه از ضعفهای بنیادین در لایههای حفاظتی شرکتهای پیشرو و زنجیره تأمین آنها خبر داد.
معمای میتوس؛ جهشی فراتر از استدلالهای مرسوم
کلود میتوس فقط نسخه بهبودیافته مدلهای قبلی مثل کلود ۴.۶ اپوس نیست؛ بلکه طبق ارزیابیهای فنی، نشاندهنده ورود به عصر «هوش مصنوعی عاملمحور» (Agentic AI) در حوزه امنیت است.
این مدل با تمرکز بر کدهای برنامهنویسی و استدلالهای منطقی پیچیده، توانسته تا در بنچمارکهایی که تا قبل از این برای ماشینها غیرقابلدسترس بود، نمرههای حیرتآوری کسب کند. توانایی میتوس در شناسایی آسیبپذیریهای «روز صفر» که دههها از چشم لایههای دفاعی پنهان مانده بود، حالا صنعت نرمافزار را حیرتزده کرده است.
طبق بررسیهای مقایسهای انجامشده، میتوس در حل چالشهای مهندسی نرمافزار، ۱۳ درصد از نزدیکترین رقیبش موفقتر بوده؛ این بدان معناست که هوش مصنوعی حالا نهتنها قادر است تا کدهای معیوب را پیدا کند، بلکه بهصورت خودمختار، زنجیرهای از حملات چندمرحلهای را برای نفوذ به سیستمهای پیچیده طراحی و اجرا میکند.
امنیت سایبری در عصر هوش مصنوعی: تعریف و لایهها
برای درک عمیقتر ماجرای میتوس، اول باید به این موضوع پرداخت که امنیت سایبری در پیوند با هوش مصنوعی دقیقاً به چه معناست. این مفهوم را میتوان در سه لایه کلیدی بررسی کرد: امنیت برای هوش مصنوعی، هوش مصنوعی علیه امنیت و هوش مصنوعی در خدمت دفاع.
-
لایه اول: امنیتِ خودِ مدل (Security of AI)
این لایه به محافظت از زیرساختهای هوش مصنوعی در برابر حملات فیزیکی و منطقی اشاره دارد. حملاتی مثل «تزریق دستور» که در آن مهاجم سعی میکند تا با دستورات متنی، لایههای حفاظتی مدل را دور بزند، یا «مسمومسازی دادهها» که هدف آن انحراف مدل در زمان آموزش است.
ماجرای کلود میتوس نشان داد که حتی اگر لایههای منطقی مدل نفوذناپذیر باشند، ضعف در دسترسیهای انسانی و پیمانکاران میتواند تمام زحمات امنیتی را به باد دهد.
-
لایه دوم: هوش مصنوعی بهمثابه سلاح تهاجمی
در این بخش، هوش مصنوعی برای خودکارسازی حملات سنتی به کار میرود. میتوس ثابت کرده که میتواند با هزینهای ناچیز (حدود ۲۸ دلار برای یک عملیات نفوذ کامل به شبکه سازمانی)، کاری را انجام دهد که پیشازاین تیمهای انسانی خبره با هزینهای در حدود ۵۰ هزار دلار و در طول چندین هفته انجام میدادند.
توانایی تولید بدافزارهای چندشکلی که با هر بار اجرا ساختار خود را تغییر میدهند تا از دید آنتیویروسها پنهان بمانند، از دیگر تهدیدات این حوزه است.
-
لایه سوم: هوش مصنوعی بهعنوان سنگر دفاعی
از سوی دیگر، سیستمهای دفاعی مبتنی بر هوش مصنوعی قادرند تا ترافیک شبکه را در مقیاس پتا بایت تحلیل کرده و الگوهای مشکوک را در میلیثانیه شناسایی کنند. مدلهایی مثل کلود میتوس با اسکن کدهای منبع، میتوانند باگهای امنیتی را پیش از انتشار نرمافزار پیدا کنند؛ این مزیتی است که شرکت موزیلا در آزمایش مرورگر فایرفاکس به آن دست پیدا کرد و توانست ۲۷۱ حفره امنیتی را به کمک میتوس شناسایی و برطرف کند.
رخنه در کلود میتوس: شکست در لایه انسانی
حادثهای که در آوریل ۲۰۲۶ اعتبار آنتروپیک را به دردسر انداخت، نه یک هک پیچیده، بلکه ناشی از ترکیبی از خطاهای انسانی و ضعف در پروتکلهای دسترسی بود.
ماجرا از این قرار بود که گروهی از کاربران در یک کانال خصوصی دیسکورد موفق شدند تا به پیشنمایش کلود میتوس دسترسی پیدا کنند.
بررسیهای بلومبرگ نشان داد که این گروه از طریق دو نقص اصلی موفق به انجام این کار شدند:
- حدس زدن URL: این گروه با استفاده از الگوهای نامگذاری قبلی آنتروپیک و اطلاعات لو رفته از یک استارتآپ دیگر (Mercor)، توانستند آدرس محل قرارگیری مدل روی سرور را حدس بزنند.
- اعتبارنامههای مشترک: یکی از اعضای گروه، کارمند یک شرکت پیمانکار آنتروپیک بود و از دسترسیهای خودش برای ورود به سیستم استفاده کرد.
این اتفاق نشان داد که حتی اگر مدل هوش مصنوعی قوانینی برای امتناع از کمک به هکرها هم داشته باشد، امنیت محیطی که مدل در آن میزبانی میشود هنوز هم در حکم پاشنه آشیل است. طبق اعلام آنتروپیک، هیچ نشانهای از نفوذ به سیستمهای مرکزیاش دیده نشده، اما واقعیت این است که خطرناکترین سلاح سایبری جهان برای دو هفته در اختیار افرادی قرار داشت که هیچ نظارتی بر آنها نبود.
نبرد غولها: مقایسه هوش مصنوعیها در ترازوی امنیت
در نیمه اول سال ۲۰۲۶، سه قطب اصلی هوش مصنوعی یعنی آنتروپیک، اوپن ایآی و گوگل، هرکدام با استراتژیهای متفاوتی در میدان امنیت حضور دارند.
۱. خانواده کلود (Anthropic): استدلال عمیق و احتیاط ساختاری
کلود میتوس در صدر تمام بنچمارکهای امنیت سایبری قرار دارد. دقت این مدل در تحلیل کدهای پیچیده و رعایت دستورالعملهای امنیتی، باعث شده تا انتخاب اول پروژههای حساس باشد. بااینوجود دسترسی بسیار سختگیرانه و قیمت بالای توکنها (صدها دلار به ازای هر میلیون توکن) از محدودیتهای آن است.
۲. خانواده GPT (OpenAI): سرعت و نفوذ در بازار
OpenAI با معرفی GPT-۵.۵ و نسخه امنیتی GPT-۵.۴-Cyber، تلاش کرده تا عقبماندگیاش در بخش استدلال امنیتی را جبران کند. گرچه GPT در کارهای روزمره و تعامل با ابزارها سریعتر است، اما در شناسایی باگهای منطقی عمیق هنوز پشت سر میتوس قرار میگیرد. یکی از مشکلات گزارششده برای GPT، تولید کدهای «تنبلی» است که بخشهای مهم امنیتی را حذف میکند.
۳. خانواده Gemini Google: سلطان دادههای حجیم
مزیت بیرقیب گوگل، پنجره Context دو میلیون توکنی است. این قابلیت به مدافعان اجازه میدهد تا کل معماری یک شبکه یا تمام کدهای یک سازمان را به مدل بخورانند تا روابط پنهان میان اجزا کشف شود. بااینوجود، Gemini در رعایت دقیق دستورالعملهای طولانی گاهی دچار توهم میشود.
| ویژگی امنیتی |
کلود میتوس |
GPT-۵.۵ |
Gemini ۱.۵ Pro |
Llama ۳.۳ |
| ظرفیت حافظه (Context) |
۲۰۰K Tokens |
۱۲۸K Tokens |
۲M Tokens |
۱۲۸K Tokens |
| دقت در کشف Zero-day |
بسیار بالا |
متوسط رو به بالا |
متوسط |
پایین (بدون تنظیم) |
| خودمختاری (Agentic) |
کامل (۳۲ مرحله) |
پیشرفته |
متوسط |
محدود |
| امنیت در برابر جیلبریک |
بسیار قوی |
قوی |
متوسط |
ضعیف |
| نوع دسترسی |
انحصاری (Glasswing) |
اشتراکی (Plus/Pro) |
سازمانی (Vertex) |
متنباز (Open) |
سونامی آسیبپذیری و پارادوکس دفاع سایبری
یکی از مفاهیم کلیدی که در گزارشهای سال ۲۰۲۶ تکرار شده، اصطلاح سونامی آسیبپذیری است. هوش مصنوعی با توانایی اسکن انبوه، تعداد باگهای کشفشده را بهطور تصاعدی افزایش داده است.
مثلاً مشتریان مایکروسافت گزارش دادهاند که بعد از عرضه آزمایشی میتوس، با موجی از ۱۵۰ آپدیت امنیتی در یک بازه زمانی کوتاه روبرو شدهاند. این وضعیت، تیمهای IT را در موقعیت دشواری قرار میدهد؛ چرا که این حجم از تغییرات پایداری سیستمها را به خطر میاندازد و از سوی دیگر نادیده گرفتن آنها به معنای باز گذاشتن در برای هکرهایی است که آنها هم به ابزارهای مشابه دسترسی دارند.
اگرچه مدلهایی مثل میتوس در کشف عالی هستند؛ اما در ترمیم به مشکل برمیخورند. هوش مصنوعی معمولاً نمیتواند context تجاری را درک کند؛ یعنی نمیداند که آیا یک باگ در یک سرور غیرحیاتی بهاندازه یک باگ در پایگاه داده اصلی بانک اهمیت دارد یا نه و اینجاست که نیاز به پلتفرمهای واسط برای اولویتبندی ریسکها بیشازپیش احساس میشود.
تهدیدات نوظهور: فراتر از کدهای برنامهنویسی
در سال ۲۰۲۶، امنیت سایبری فقط به معنای جلوگیری از نفوذ به سرورها نیست. هوش مصنوعی ابعاد جدیدی از حملات را ممکن ساخته که مستقیماً روان و اعتماد انسان را هدف قرار میدهند. ازجمله آنها میتوان به این موارد اشاره کرد:
۱. کلاهبرداریهای مبتنی بر جعل هویت
استفاده از هوش مصنوعی برای شبیهسازی صدا و تصویر مدیران، به یکی از ابزارهای اصلی برای افراد خلافکار تبدیلشده است. در جولای ۲۰۲۵، گزارشهایی از جعل صدای مقامات دولتی برای عبور از پروتکلهای امنیتی منتشر شد که نشاندهنده اثربخشی بالای این روش در مهندسی اجتماعی است.
۲. کمپینهای نفوذ و ضداطلاعات
به دلیل لایههای حفاظتی ضعیفتر مدلهای متنباز، از این مدلها برای تولید انبوه محتوای گمراهکننده و کدهای مخرب استفاده میشود. بنچمارک SocialHarmBench نشان میدهد که برخی مدلها تا ۹۸٪ در برابر درخواستهای مربوط به تولید پروپاگاندا و دستکاری تاریخی آسیبپذیر هستند.
۳. شکار خودکار اهداف ارزشمند
هوش مصنوعی حالا میتواند شبکههای اجتماعی و فعالیتهای آنلاین کارمندان را تحلیل کرده و شخصیسازیشدهترین ایمیلهای فیشینگ را طراحی کند. این حملات که «Vibe Hacking» نامیده میشوند، آنقدر متقاعدکننده هستند که حتی متخصصان باسابقه را نیز بهاشتباه میاندازند.
ژئوپلیتیک امنیت هوش مصنوعی: نبرد برای برتری جهانی
کنترل مدلهایی مثل کلود میتوس حالا به یک موضوع امنیتی تبدیلشده؛ نبرد بین دولتها و شرکتهای فناوری برای تعیین استانداردهای امنیتی، جغرافیای اینترنت را تغییر میدهد.
موسسه امنیت هوش مصنوعی بریتانیا (AISI) اولین نهادی بود که نسبت به توانایی میتوس در اجرای حملات خودمختار هشدار داد. این نهاد تأکید کرد که پنجره زمانی بین کشف یک حفره و بهرهبرداری از آن توسط هوش مصنوعی به کمتر از ۷۲ ساعت کاهشیافته است.
از سوی دیگر، اتحادیه اروپا با اجرای «قانون هوش مصنوعی»، شرکتها را ملزم به اثبات ایمنی مدلهای خود پیش از استقرار در بخشهای حساس کرده است.
اگر دسترسی به ابزارهای دفاعی برتر فقط در اختیار بلوکهای خاصی از قدرت باشد، بهزودی شاهد ظهور «اینترنتهای چندگانه» خواهیم بود. در این سناریو، کشورهایی که به فناوریهایی مثل میتوس دسترسی ندارند، به اهداف دائمی باجافزارها و حملات دولتی تبدیل میشوند و عملاً از اقتصاد دیجیتال جهانی حذف خواهند شد.
توصیههای راهبردی در عصر میتوس
ارزیابیهای سال ۲۰۲۶ نشان میدهد که استراتژیهای سنتی دیگر کارساز نیستند و برای بقا در این محیط، سازمانها باید تغییرات زیر را مدنظر قرار دهند:
- پذیرش مدل اعتماد صفر: با توجه به توانایی هوش مصنوعی در سرقت اعتبارنامهها، هیچ دسترسی نباید دائمی باشد.
- بومیسازی مدلهای دفاعی: سازمانها باید از هوش مصنوعی برای نظارت بر هوش مصنوعی استفاده کنند تا الگوهای غیرعادی در پرامپتها و خروجیها شناسایی شود.
- تقویت زنجیره تأمین: حادثه آنتروپیک ثابت کرد که امنیت یک شرکت تنها بهاندازه ضعیفترین پیمانکار آن است.
نتیجهگیری: عبور از مرزهای ترس و فرصت
کلود میتوس نمادی از پارادوکس پیشرفت در قرن بیست و یکم است؛ ابزاری که میتواند اینترنت را امنتر از همیشه کند، اما درعینحال توانایی فروپاشی زیرساختهای حیاتی را هم دارد. رخنه در محیط پیمانکاری آنتروپیک یادآور این حقیقت تلخ بود که در نبرد امنیت، تکنولوژی تنها بخشی از ماجراست و انسان همچنان متغیری غیرقابلپیشبینی است.
ما در آستانه دورانی هستیم که در آن امنیت سایبری دیگر یک فعالیت دورهای یا واکنشی نیست، بلکه به یک فرآیند مداوم و هوشمند تبدیلشده. موفقیت در این دوران نه با پنهان کردن ابزارهای قدرتمند در پشت دیوارهای بسته، بلکه با همکاری بینالمللی، شفافیت در ارزیابی ریسک و ارتقای سواد دیجیتال عمومی ممکن خواهد بود. هوش مصنوعی شمشیر دو لبهای است که هم هکرها و هم مدافعان را مسلح کرده؛ اما برنده نهایی کسی است که بتواند سرعت ماشین را با خرد و نظارت انسانی پیوند بزند.
منابع: businesstoday، aisi، theguardian، pcmag
۵۸۳۲۱
نظر شما