«حذف باگ‌های امنیتی»؛ دستاورد جایگزینی کدهای AI با استانداردهای وب

اگر امروز برای توسعه برنامه‌های وب از مدل‌های زبانی استفاده می‌کنید، احتمالاً دارید برای کدهایی هزینه می‌دهید که اصلاً نباید تولید شوند. طبق تحلیل دقیق گردش‌کاری که در ۲۵ ژوئن ۲۰۲۶ منتشر شد، توسعه‌دهندگان می‌توانند با تغییر یک استراتژی ساده، حجم توکن‌های مصرفی برای کدهای زیرساختی را ۸۵ تا ۹۲ درصد کاهش دهند.

به نقل از جیم مونت (Jim Mont)، مدل‌های Claude و سایر مدل‌های زبانی بزرگ (LLM) — مثل کتابخانه‌داری که میلیاردها صفحه را خوانده و حالا با همان لحن کتاب‌ها جواب می‌دهد — به‌طور پیش‌فرض از الگوهای قدیمی، طولانی و میرا (Legacy) جاوااسکریپت استفاده می‌کنند. این الگوها نه تنها صورت‌حساب API شما را به دلیل تولید توکن‌های اضافی افزایش می‌دهند، بلکه حفره‌های امنیتی خطرناکی را وارد پروژه می‌کنند.

این ناکارآمدی از یک شکاف در داده‌های آموزشی نشأت می‌گیرد. اکثر مدل‌های زبانی روی مجموعه‌ای از داده‌ها آموزش دیده‌اند که در آن الگوهای قدیمی Node.js غالب هستند؛ الگوهایی مانند استفاده از require('url') یا querystring.parse()، الگوهای میان‌افزاری (Middleware) در Express و یا استفاده از axios با Wrapperهای سفارشی برای مدیریت زمان انتظار (Timeout). در مقابل، سطح APIهای مدرن وب در داده‌های آموزشی جایگاه کمتری دارند. همان‌طور که در تحلیل قبلی ما درباره‌ی ابزارهایی مثل BloatStrip اشاره کردیم که حجم داده‌های ارسالی (Payload) را ۵۷٪ کاهش می‌داد، این یافته جدید نشان می‌دهد که بیشترین صرفه‌جویی نه در پاک‌سازی کدهای موجود، بلکه در جلوگیری از تولید کامل کدهای تکراری (Boilerplate) است.

برای توسعه‌دهندگانی که از محیط‌های اجرایی (Runtime) مانند Deno یا Cloudflare Workers استفاده می‌کنند، پلتفرم از پیش پیاده‌سازی‌های بومی برای URL ،URLSearchParams ،fetch ،FormData ،Headers ،Request ،Response ،AbortController ،ReadableStream و crypto را ارائه داده است. این ابزارها در مرورگر و سرور به‌صورت کاملاً یکسان عمل می‌کنند و نیاز به لایه‌های ترجمه، شیم‌ها (Shims) یا هزینه‌های انطباقی را به‌طور کامل از بین می‌برند. این انتخاب معماری به‌طور آگاهانه توسط Deno انجام شده و توسط WinterCG به عنوان حداقل سطح مشترک APIها در محیط‌های مختلف رسمیت یافته است تا سازگاری بین پلتفرم‌ها تضمین شود.

با این حال، مدل‌ها بدون دستور صریح (Explicit Prompting)، همچنان «چرخ را از نو اختراع می‌کنند» و از الگوهای ناکارآمد استفاده می‌کنند. این اتفاق به‌ویژه زمانی رخ می‌دهد که مدل مانند یک برنامه‌نویس در سطح «جونیور» عمل می‌کند که صرفاً یک تقریب از دانش دانشنامه‌ای است. شکاف میان آنچه مدل به‌طور پیش‌فرض تولید می‌کند و آنچه پلتفرم از پیش ارائه داده است، جایی است که اکثریت هزینه‌های توکن خروجی نهفته است. از آنجا که قیمت توکن‌های خروجی در قیمت‌گذاری APIها ۳ تا ۵ برابر گران‌تر از توکن‌های ورودی است، این وضعیت تبدیل به یک نشت مالی جدی برای سازمان‌ها می‌شود.

اقتصاد توکن در APIهای بومی

بر اساس گزارش منتشر شده در jimmont.com، تفاوت در مصرف توکن در الگوهای رایج کدنویسی بسیار چشمگیر است. این تخمین‌ها بر اساس طول واقعی الگوها است و نسبت‌های ثابتی را نشان می‌دهد:

• تجزیه پارامترهای پرس‌وجو (Query Parameter Parsing):
  • پیش‌فرض مدل: تجزیه دستی شامل شکستن URLهای خام و رمزگشایی قطعات است که تقریباً ۱۴۰ توکن هزینه دارد.
  • API بومی وب: استفاده از Object.fromEntries(new URL(rawUrl).searchParams) تنها ۱۲ توکن مصرف می‌کند؛ یعنی ۹۰٪ کاهش در هر مورد.
• مدیریت داده‌های فرم (Form Data Handling):
  • پیش‌فرض مدل: ردیابی وضعیت هر فیلد برای یک فرم ۳-فیلده (با استفاده از useState و هندلرهای تغییر) بیش از ۲۰۰ توکن مصرف می‌کند.
  • API بومی وب: دستور Object.fromEntries(new FormData(event.target)) این مقدار را به حدود ۱۴ توکن کاهش می‌دهد. نکته مهم این است که این نسخه بومی برای ۲۰ فیلد نیز با همان هزینه ثابت عمل می‌کند.
• چرخه حیات Fetch:
  • پیش‌فرض مدل: ایجاد یک AbortController به همراه یک تایمر setTimeout برای مهلت ۵۰۰۰ میلی‌ثانیه‌ای، حدود ۹۰ توکن می‌گیرد.
  • API بومی وب: دستور AbortSignal.timeout(5000) تنها ۱۲ توکن مصرف می‌کند.
• هماهنگی Async:
  • پیش‌فرض مدل: جداسازی دستی خطاها با استفاده از Promise.all و بلوک‌های .catch() برای تنظیم پرچم‌های شکست، معمولاً ۱۰۰ توکن هزینه دارد.
  • API بومی وب: استفاده از Promise.allSettled() این هزینه را به ۱۰ توکن می‌رساند. این متد یک نتیجه ساختاریافته برای هر تسک با وضعیت "fulfilled" یا "rejected" ارائه می‌دهد.
• اجزای رابط کاربری (UI Components):
  • پیش‌فرض مدل: ساخت یک مودال سفارشی با جاوااسکریپت همراه با مدیریت چرخه حیات (مدیریت document.body.style.overflow ،تله‌های کیبورد و کلیک‌های پس‌زمینه) می‌تواند تا ۲۵۰ توکن مصرف کند.
  • API بومی وب: استفاده از المان معنایی HTML یعنی <dialog>، ردپای توکن را به ۲۵ توکن کاهش می‌دهد. در این حالت، مرورگر به‌طور بومی تله فوکوس و کلید Escape را مدیریت می‌کند.

وقتی این الگوها در یک هندلر درخواست کامل در Deno جمع شوند، تأثیر آن دراماتیک است. یک هندلر معمولی که پارامترهای درخواست را تجزیه می‌کند، بدنه فرم را می‌خواند، از پایگاه داده پرس‌وجو می‌کند و پاسخ را برمی‌گرداند — اگر با سبک پیش‌فرض مدل نوشته شود — اغلب ۴۰۰ تا ۶۰۰ توکن خروجی را فقط صرف کدهای تکراری زیرساختی (Boilerplate) می‌کند. در حالی که همان هندلر با استفاده از APIهای بومی تنها به ۶۰ تا ۹۰ توکن نیاز دارد. این یک بهبود جزئی نیست، بلکه یک کاهش ساختاری در هزینه‌هاست.

دستاوردهای امنیتی و قابلیت اطمینان

کاهش توکن‌ها یک برد مالی است، اما بهبود قابلیت اطمینان ساختاری بسیار حیاتی‌تر است. پیاده‌سازی‌های دستی مستعد شکست و نقص‌های امنیتی هستند. برای مثال، تجزیه دستی رشته‌های پرس‌وجو با الگوی params[key] = value یک بردار حمله Prototype Pollution است، اگر مقدار کلید __proto__ باشد. همچنین فراخوانی‌های دستی decodeURIComponent اغلب هنگام مواجهه با علامت % در موقعیت‌های خاص، به‌طور خاموش شکست می‌خورند و منجر به باگ‌های سخت‌یافت می‌شوند.

الگوهای سفارشی setTimeout برای لغو Fetch، اغلب در صورتی که مسیر پاک‌سازی (Cleanup) در حین بازبینی کد (Refactor) نادیده گرفته شود، باعث نشت تایمرها می‌شوند. به همین ترتیب، مدیریت دستی فوکوس در مودال‌های دست‌ساز، مکرراً باعث اختلال در صفحه‌خوان‌ها (Screen Readers) و ناوبری با کیبورد می‌شود. ردیابی دستی وضعیت فرم نیز باعث ایجاد باگ‌های ناسازگاری می‌شود؛ زمانی که فیلد جدیدی به UI اضافه می‌شود اما هندلر مربوطه به‌روزرسانی نمی‌گردد.

پیاده‌سازی‌های بومی کاملاً با استانداردهای مشخصات (Spec-compliant) سازگار هستند. این ابزارها در برابر هر مورد خاص (Edge Case) موجود در ترافیک واقعی وب، از طریق مجموعه Web Platform Tests تست شده‌اند که ده‌ها هزار تست میان‌کنندگی (Interoperability) را اجرا می‌کند. برای مثال، URLSearchParams رمزگذاری علامت + و موارد خاص UTF-8 را به‌درستی مدیریت می‌کند زیرا از مشخصات قطعی پیروی می‌کند. در مقابل، معادل دست‌ساز مدل فقط مواردی را مدیریت می‌کند که نویسنده در آن لحظه به یاد آورده باشد.

اثر کامنت‌ها و قالب‌بندی روی هزینه‌ها

توضیحات و قالب‌بندی نیز نقش قابل‌اندازه‌گیری در هزینه توکن‌ها و دقت مدل دارند. تحقیقی از MITRE (سابتو و همکاران، ژوئن ۲۰۲۵) که روی مدل‌های Claude، GPT-4، Llama و Mixtral انجام شد، نشان داد که کامنت‌های نادرست یا قدیمی به‌طور فعال درک مدل (LLM Comprehension) را تخریب می‌کنند. این کامنت‌ها حتی بدتر از نبودِ کامل کامنت عمل می‌کنند، زیرا مدل‌ها حتی زمانی که قصد ذکر شده در کامنت با کد در تضاد است، از قصد کامنت پیروی می‌کنند.

کامنت‌های قدیمی به عنوان «اطلاعات غلط با جایگاه معتبر» عمل می‌کنند. وقتی یک مدل پس از بازبینی کد، مکرراً به یک الگوی قدیمی باز می‌گردد، اغلب یک کامنت قدیمی مقصر است. کامنت‌های مؤثر باید بر قصد طراحی، محدودیت‌ها و «چرایی» تمرکز کنند؛ مثلاً چرا یک تابع خطاهای خود را نمی‌گیرد یا چرا فیلترهای SQL در سطح پایگاه داده مدیریت می‌شوند. کامنت‌های ایجادکننده نویز، مانند نوشتن «حلقه روی آیتم‌ها» بالای یک فراخوانی .forEach()، توکن‌ها را بدون هیچ بازگشت سیگنالی افزایش می‌دهند.

در مقابل، پژوهش‌های ACL 2024 درباره تقویت کامنت‌ها نشان می‌دهد مدل‌هایی که روی کدهای دارای کامنت آموزش دیده‌اند، به‌طور کلی بهتر از مدل‌های آموزش‌دیده با کدهای بدون کامنت عمل می‌کنند، زیرا کامنت‌ها در لحظه استنتاج (Inference) — همان لحظه‌ای که مدل واقعاً جواب تولید می‌کند، شبیه خودِ آشپزی و نه دوره‌ی آموزش آشپز — به عنوان یک پل معنایی عمل می‌کنند.

در مورد هزینه‌های ورودی، مطالعه‌ای توسط Pan و Sun (اوت ۲۰۲۵) با عنوان «هزینه پنهان خوانایی» (The Hidden Cost of Readability)، سربار توکن ورودی را در ده‌ها هزار فایل اندازه‌گیری کرد. حذف تو رفتگی‌ها (Indentation)، خطوط خالی و فضاهای سفید برای تراز کردن (Alignment)، تعداد توکن‌های ورودی را به‌طور متوسط ۲۴.۵٪ کاهش داد. این تغییر اساساً هیچ تأثیری بر دقت مدل‌های Claude یا GPT-4 نداشت.

اگرچه توکن‌های ورودی ۳ تا ۵ برابر ارزان‌تر از توکن‌های خروجی هستند، اما این کاهش‌ها در مجموع منجر به ۵ تا ۱۰ درصد صرفه‌جویی کلی در ورودی‌ها می‌شود. نمونه‌هایی از انتخاب‌های قابل اجرا عبارتند از:

• حذف فضاهای سفید ترازکننده.
• بردن کدهای SQL به حاشیه چپ (چون اکثر داده‌های آموزشی SQL چپ‌چین هستند).
• حذف خطوط خالی داخل بدنه توابع.

استراتژی پیاده‌سازی

برای به دست آوردن این صرفه‌جویی‌ها، توسعه‌دهندگان باید از دستورات صریح در ابتدای هر جلسه (Session) استفاده کنند. طبق مطالعه Wang و همکاران (ACM، ۲۰۲۴–۲۰۲۵) در مورد پرامپتن‌های آگاه به استایل، راهنماهای کلی استایل نتایج اندکی دارند. در عوض، نام بردن از APIهای خاص با چارچوب «این کار را بکن / آن کار را نکن»، فضای احتمالات مدل را پیش از شروع تولید کد محدود می‌کند.

دستورات پیشنهادی شامل ترکیبی از APIهای الزامی و الگوهای ممنوعه است:

• استفاده از APIهای بومی وب: URL, URLSearchParams, FormData, AbortController, fetch, Headers, Request, Response, Promise.allSettled(), و Promise.any().
• استفاده از HTML معنایی: به‌کارگیری <dialog>, <details>, و <form> همراه با اعتبارسنجی‌های بومی (مانند required, type="email", pattern, minlength).
• حذف اضافات: هر آنچه که مرورگر یا محیط Deno به‌صورت بومی ارائه می‌دهد را در جاوااسکریپت پیاده نکنید.
• نظم در کامنت‌گذاری: محدودیت‌های طراحی و ناپایدارها (Invariants) را بیان کنید؛ کامنت‌هایی ننویسید که صرفاً آنچه را که خط بعدی کد انجام می‌دهد، بازگو می‌کند.

با ممنوع کردن صریح پیاده‌سازی‌های دستی در جاوااسکریپت برای قابلیت‌هایی که پلتفرم ارائه می‌دهد، توسعه‌دهندگان می‌توانند مدل را مجبور کنند از پیش‌فرض‌های داده‌های آموزشی خود فاصله بگیرد. این تغییر نشان می‌دهد که بالاترین اهرم بهره‌وری در AI، نه یک ترفند جدید پرامپت، بلکه تعهد حرفه‌ای به استانداردهای پلتفرم است. مدل نمی‌داند Runtime شما چه قابلیت‌هایی را ارسال کرده است؛ توسعه‌دهنده انسانی باید این زمینه (Context) را فراهم کند تا مجبور نباشد «مالیات کدهای تکراری» (Boilerplate Tax) را پرداخت کند.

گام بعدی شما

• در پرامپت‌های سیستمی خود، لیستی از APIهای بومی وب که در Runtime شما موجود است را به مدل معرفی کنید.
• کدهای قدیمی را که با الگوهای Node.js نوشته شده‌اند، با استانداردهای Web API بازنویسی کنید تا هزینه استنتاج کاهش یابد.
• فضای خالی و تو رفتگی‌های (Indentation) غیرضروری را در درخواست‌های حجیم ورودی حذف کنید.

اما داستان سخت‌افزاری این تحول حتی شگفت‌انگیزتر است — به تحلیل ما درباره‌ی تراشه‌های Blackwell مراجعه کنید.