اگر امروز یک متخصص امنیت هستید، احتمالاً میپرسید آیا رباتها جای شما را میگیرند یا خیر. رقابت اخیر شرکت XBOW پاسخی دقیق به این سؤال داد: هوش مصنوعی در سرعت میبرد، اما در پیچیدگی میبازد.
این رقابت روی یک حفرهی امنیتی بحرانی در Exim (یک سرور ارسال ایمیل) متمرکز بود. در این مسیر، یک عامل (Agent) در برابر متخصصی ۲۰ ساله قرار گرفت. این عامل شبیه کارآموزی سریع است که تمام کتابهای راهنما را خوانده اما هرگز در محیط واقعی کار نکرده است. همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای زبانی اشاره کردیم، مرز بین اتوماسیون و شهود انسانی هنوز جابهجا نشده است.
هدف، آسیبپذیری CVE-2026-45185 در نسخه ۴.۹۷ از Exim بود. به نقل از گزارش xbow.com، این نقص از نوع اجرای کد از راه دور (RCE) است. این قابلیت شبیه پیدا کردن کلیدی است که اجازه میدهد از بیرون به هر اتاقی در یک ساختمان وارد شوید. این باگ در ۱۲ مه ۲۰۲۶ بهصورت عمومی منتشر شد.
رقابت در سه مرحله پیش رفت:
- مرحله اول (بدون ASLR): XBOW Native با استفاده از حمله glibc پیروز شد.
- مرحله دوم (با ASLR): عامل هوش مصنوعی دوباره با هدف قرار دادن تخصیصدهنده Exim پیروز شد.
- مرحله نهایی (نسخه تولیدی): متخصص انسانی با استفاده از مدل زبانی بزرگ (LLM) به عنوان دستیار، موفق شد آدرس استک را استخراج کند. این مدل شبیه کتابخانهداری است که میلیاردها صفحه را خوانده و حالا با همان لحن جواب میدهد. در این مرحله، هوش مصنوعی شکست خورد.
این نتیجه نشان میدهد که هوش مصنوعی برای مراحل اولیه پژوهش، یک «دکمه توربو» است. اما در «مایل آخر»، یعنی جایی که محیط واقعی و کثیف است، هنوز به شهود و تردید انسانی نیاز داریم. هوش مصنوعی در حل مسائلی که شبیه مسابقات CTF هستند عالی است. احتمالاً این الگوها را از هزاران گزارش آنلاین یاد گرفته است.
گام بعدی شما
- ابزارهای عاملمحور را برای تحلیل سریع کدها به کار بگیرید، اما هرگز خروجی نهایی را بدون بررسی دستی تایید نکنید.
- روی مهارتهای «پاکسازی حافظه» (Heap Grooming) تمرکز کنید؛ جایی که هوش مصنوعی هنوز ضعیف است.
- پیادهسازی کامل این اکسپلویت را دنبال کنید تا ببینید آیا مسیر کاملاً خودکار به RCE ممکن است یا خیر.
اما داستان سختافزاری این تحول حتی شگفتانگیزتر است — به تحلیل ما دربارهی تراشههای Blackwell مراجعه کنید.
گفتگو