تصور کنید یک سیستم امنیتی به شما میگوید «به من اعتماد کنید»، اما هیچ راهی برای اثبات آن وجود ندارد. ممیزی بایتبهبایت و عمومی روی API شرکت VeraData دقیقاً نشان داد که وقتی «تأیید بدون اعتماد» (Trustless Verification) در دنیای واقعی میشکند و سپس در لحظه اصلاح میشود، چه اتفاقی میافتد. هفتهی گذشته، یک تحلیلگر مستقل به نام babyblueviper1 زنجیره هش (Hash Chain) این API را کالبدشکافی کرد تا ثابت کند احکام انطباق صادرشده توسط این سرویس، واقعی هستند یا صرفاً تولیدات ساختگیاند.
زمینه و زیرساخت
این تقابل فنی در اکوسیستم x402 رخ داد؛ لایهای برای پرداختهای عاملهای خودکار که در حال حاضر ماهانه حدود ۳.۷ میلیون تراکنش با حجم تقریبی ۱.۱ میلیون دلار را پردازش میکند. در این محیط، عاملها (Agents) — که مانند دستیارهای دیجیتالی هستند و میتوانند مستقل از انسان تصمیم بگیرند و خرید کنند — هزینهی دادهها را از طریق ریزپرداختهای USDC روی شبکههای Base یا Solana میپردازند. این مدل پرداخت باعث شده است تا نیاز به کلیدهای API سنتی یا ایجاد حسابهای کاربری حذف شود.
شرکت VeraData به عنوان یک API دادههای انطباق در منطقه آمریکای لاتین (LATAM) برای این عاملها عمل میکند. این سرویس مسئولیت غربالگری تحریمها (که بیش از ۵۹,۰۰۰ مورد را پوشش میدهد)، ارائه نرخهای بانک مرکزی و انجام بررسیهای KYB (شناسایی کسبوکار) را بر عهده دارد. این بررسیها در برابر دفاتر رسمی از جمله RFC مکزیک، CNPJ برزیل و RUES کلمبیا انجام میشود.
مشکل اصلی در این اقتصاد دادههای ماشین-خوان، مسئلهی «اعتماد» است: یک عامل هوشمند نیاز دارد راهی بیابد تا تأیید کند که یک حکم انطباق — مثلاً یک بررسی تحریم — صرفاً توسط ارائهدهنده اختراع نشده است. در دنیای ممیزی، شعار «به من اعتماد کن» در برابر یک ممیز شکاک دوام نمیآورد.
جزئیات فنی و بلوک AAT
برای حل این مشکل، VeraData از یک بلوک AAT استفاده میکند که شامل یک زنجیره هش SHA-256 است. این زنجیره مسیری را طی میکند که از query_hash شروع شده، به event_hash میرسد و در نهایت به chain_hash ختم میشود. این سازوکار بهطور خاص برای ارائه شواهد ممیزی مطابق با ماده ۱۲ قانون هوش مصنوعی اتحادیه اروپا (EU AI Act) طراحی شده است.
در جریان ممیزی زنده، babyblueviper1 (که در حال ساخت پیادهسازی مرجع ERC-8299/WYRIWE است) فراخوانیهایی را علیه نقطه پایانی /sanctions اجرا کرد و هر هش را بهطور مستقل بازسازی نمود. این فرآیند منجر به شناسایی سه شکاف بحرانی شد:
- ابهام در مشخصات: ممیز با یک عدم تطابق مواجه شد زیرا دستورالعملهای بازسازی هش گفته بود
SHA256(query_hash + "|" + ...)، اما ذکر نکرده بود که مقادیر هش دارای پیشوند:sha256هستند. ممیز ابتدا از مقادیر Hex ساده استفاده کرد و شکست خورد؛ تنها با افزودن پیشوند بود که تطابق حاصل شد. این مورد اکنون به یک جزئی از تستهای تطبیق عمومی تبدیل شده است. - یکپارچگی زمانی: ارائهدهنده پذیرفت که مقدار
chain_stored: trueتنها ثابت میکند رکورد در پایگاهداده وجود دارد، اما ثابت نمیکند که این رکورد «چه زمانی» نوشته شده است. برای جلوگیری از تولید رکوردهای جعلی پس از وقوع یک حادثه (Backdating)، اصلاحی شامل استفاده از امضاهای مستقل و لنگر زمانی بیتکوین (Bitcoin OTS Temporal Anchoring) برنامهریزی شده است، هرچند هنوز ساخته نشده است. - منطق ساختاری: برای نتایجی که وضعیت «پاک» (CLEAN) داشتند، API آرایه
matchesرا بهطور کلی حذف میکرد. بررسیهای قطعی نشان داد «بررسی شد و چیزی یافت نشد» از نظر ساختاری با «عدم پر شدن یک فیلد» متفاوت است. این نقص فنی در همان روز با یک کامیت مرتبط اصلاح شد.
تصحیح صادقانه محدوده فعالیت
فراتر از کدها، این ممیزی باعث شد تا ادعاهای بازاریابی شرکت تصحیح شود. توسعهدهنده پیشتر مدعی پوشش لیستهای منطقهای مانند SARLAFT (کلمبیا)، CNBV (مکزیک) و COAF (برزیل) بود. با این حال، فراخوانیهای زنده نشان داد که مقدار lists_checked تنها شامل ["OFAC_SDN", "UN_CONSOLIDATED"] است.
از آنجا که دسترسی به لیستهای منطقهای مذکور تنها برای نهادهای مالی تنظیمشده (Regulated) محدود است و بهصورت عمومی قابل دانلود نیستند، توسعهدهنده در رشته گفتگوها به این اغراق اعتراف کرد. برای جایگزینی این لیستهای خیالی، توسعهدهنده در همان روز لیستهای تحریمی اتحادیه اروپا (با ۲۹,۷۵۹ مورد) و خزانهداری بریتانیا (با ۹,۶۰۵ مورد) را فعال و راهاندازی کرد. پشتهی صادقانه و فعلی سیستم اکنون شامل: OFAC، سازمان ملل، اتحادیه اروپا و بریتانیا است.
نتایج و پیادهسازی
این شفافیت، خط پایه فنی برای پیادهسازی مرجع ERC-8299/WYRIWE را تغییر داد. ممیز اکنون غربالگری تحریمها را به عنوان یک نوع اثر (artifact_type) درجه اول ادغام کرده و از مورد VeraData به عنوان یک تستکیس عمومی استفاده میکند. حالا هر توسعهدهندهای میتواند با اجرای دستور python3 check_chain.py زنجیره را بر اساس ورودیهای اعلام شده و بدون هیچ وابستگی خارجی تأیید کند.
در نتیجه این تبادل، دو اثبات decision_ref منتشر شد؛ برای مثال: verdict: approve (حکم: تأیید)، confidence: 0.95 (اطمینان: ۰.۹۵) و decision_ref: sha256:3eeb2c6c6e0f5c90c8c9823e593791cfb56a2774611a1bca9c3a5eda1ced39b6.
این اتفاق برای صنعت عاملهای هوش مصنوعی، گامی به سوی «شواهد بازسازیپذیر» است. وقتی یک نقطه پایانی (Endpoint) زنجیرهای قطعی تولید کند و یک طرف ثالث آن را امضا کند، هر شخص ثالث دیگری میتواند حقیقت را بدون نیاز به اعتماد به هیچکدام از طرفین تأیید کند. این موضوع یک حلقه حیاتی را در اقتصاد دادههای ماشین-خوان میبندد.
گام بعدی شما
- اگر در حال ساخت گردشهای کاری عاملمحور هستید، میتوانید اکنون موجودیتها را بهطور رایگان (۵ فراخوانی آزمایشی در روز) از طریق نقطه پایانی
/sanctions/quickو با استفاده از یک کلید آزمایشی غربال کنید. - برای کاربران Claude Code یا Cursor، میتوانید این مهارت را با دستور
npx skills add teodorofodocrispin-cmyk/veradata-skills --skill veradata-latam-complianceنصب کنید. - مستندات مربوط به استاندارد ERC-8299 را برای درک نحوه پیادهسازی شواهد ماشین-خوان مطالعه کنید.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.




گفتگو