چرا مدل‌های زبانی گزارش‌های محرمانهٔ امنیتی را بی‌اثر می‌کنند؟

تصور کنید سال‌ها برای یافتن یک حفره امنیتی وقت گذاشته‌اید تا آن را به‌صورت محرمانه گزارش کنید، اما متوجه می‌شوید یک مدل زبانی در عرض چند ثانیه همان باگ را برای هزاران نفر دیگر پیدا کرده است. فیلیپ گولگی، مدیر سابق تیم امنیت زبان Go، معتقد است برای حفظ نرم‌افزارهای متن‌باز، باید یک فیلتر ذهنی سخت‌گیرانه داشت: اینکه هر «درخواست تغییر» (Pull Request) را به جای یک «تکلیف اجباری»، به عنوان یک «هدیه» تلقی کرد. او استدلال می‌کند که استثنای دیرینه برای گزارش‌های محرمانه آسیب‌پذیری، اکنون به تاریخ پیوسته است.

قرارداد سنتی امنیت

برای سال‌ها، پژوهشگران امنیتی با گزارش خصوصی باگ‌ها به‌جای افشاگری کامل و عمومی، خدمتی ارزشمند ارائه می‌دادند. در مقابل، توسعه‌دهنده‌ها با پاسخ سریع و ثبت نام پژوهشگر در فهرست‌های اعتبار، این همکاری را پاداش می‌دادند. طبق این قرارداد اجتماعی، از توسعه‌دهندگان انتظار می‌رفت که گزارش‌ها را سریعاً تأیید کنند، آن‌ها را بررسی نمایند، گزارش‌دهنده را به‌روز نگه دارند و در نهایت اعتبار کار را به وی بازگردانند.

این ساختار بر این فرض استوار بود که «بینش امنیتی» کالایی کمیاب است و embargoها (قرارهای محرمانه) پنجره‌ای حیاتی برای توسعه‌دهندگان ایجاد می‌کنند تا پیش از آنکه مهاجمان بتوانند از یک اکسپلویت استفاده کنند، وصله‌های لازم را منتشر کنند. گولگی اشاره می‌کند که در گذشته، نادیده گرفتن چنین گزارش‌هایی به معنای عدم توجه به امنیت کاربران بود و این موضوع یک «دلیل برای شرمساری» تلقی می‌شد.

تأثیر مدل‌های زبانی بزرگ (LLM)

به نقل از تحلیل گولگی در ۲۳ ژوئن ۲۰۲۶، این فرضیات دیگر صادق نیستند؛ زیرا مدل‌های زبانی بزرگ اکنون تقریباً به اندازه هر پژوهشگر انسانی در شناسایی باگ‌ها توانمند هستند. از آنجایی که هر کسی — از توسعه‌دهندگان گرفته تا مهاجمان — می‌تواند این مدل‌ها را اجرا کند، بینش امنیتی دیگر یک کالای کمیاب نیست.

همان‌طور که در تحلیل‌های پیشین ما درباره‌ی امنیت مدل‌های بازمتن اشاره کردیم، دموکراتیزه شدن ابزارهای تحلیل کد، توازن قدرت را تغییر داده است. اکنون هر کسی با دسترسی به این مدل‌ها می‌تواند حجم عظیمی از تحلیل‌های امنیتی را انجام دهد. پیشرفت در این زمینه چنان سریع است که مدل‌های تخصصی مانند GPT-5.5-Cyber توانسته‌اند دقت رفع خودکار حفره‌های امنیتی را به بیش از ۸۵ درصد برسانند و مرز بین کشف و اصلاح را کمرنگ‌تر کنند.

گلوگاه جدید غربالگری

بر اساس مستندات ارائه شده توسط گولگی، یک تغییر بنیادین در خط لوله امنیتی رخ داده است:

• کشف پیش‌پاافتاده شده است: یافتن مشکلات بالقوه دیگر بخش سخت ماجرا نیست و به امری ساده تبدیل شده است.
• غربالگری (Triage) گلوگاه جدید است: چالش اصلی اکنون تشخیص این است که کدام پرچم‌های شناسایی شده توسط هوش مصنوعی آسیب‌پذیری‌های واقعی هستند و کدام‌یک صرفاً نویز محسوب می‌شوند.
• نسبت سیگنال به نویز: حجم گزارش‌های ارسالی به صندوق‌های پستی امنیتی (security@) اکنون شبیه به خروجی‌های پر سروصدای یک مدل زبانی است و این موضوع باعث شده گزارش‌های خارجی، مگر در صورت وجود رابطه اعتماد قبلی، ارزش کمتری پیدا کنند.

علاوه بر این، محرمانگی و embargoهای هماهنگ شده نیز کارایی خود را از دست داده‌اند. مهاجمان دیگر نیازی ندارند منتظر پست‌های رسمی افشای باگ بمانند؛ آن‌ها می‌توانند به سادگی از مدل زبانی خود بخواهند که حفره را شناسایی کند. این بدان معناست که مدافعان و مهاجمان به‌طور همزمان با گلوگاه‌های غربالگری مشابهی روبرو هستند.

این تغییر، مفروضات حرفه‌ای این حوزه را دگرگون می‌کند. جایگاه «خاص» پژوهشگران خارجی با تمرکز بر «اصلاح سریع» و «پیشگیری خودکار» جایگزین می‌شود. برای تیم‌های فنی، این یعنی اولویت باید به سمت ادغام تحلیل‌های امنیتی مبتنی بر LLM مستقیماً در خط لوله‌های یکپارچه‌سازی مداوم (CI) تغییر کند.

به‌جای مدیریت سیستم‌های پیچیده برای اعطای اعتبار به پژوهشگران و مدیریت رشته‌گفتارهای محرمانه، شغل توسعه‌دهنده اکنون شامل غربالگری سریع و وصله زدن (Patching) با سرعت بالا است. در واقع، شرم اجتماعی که زمانی نادیده گرفتن یک گزارش امنیتی را ایجاد می‌کرد، با افزایش حجم گزارش‌های کم‌ارزش و نویزی در حال کم‌رنگ شدن است.

پایداری و پشتیبانی

حفظ این استانداردهای امنیتی نیازمند منابع اختصاصی است. فعالیت‌های گولگی توسط Geomys پشتیبانی می‌شود؛ سازمانی متشکل از توسعه‌دهندگان حرفه‌ای Go که بودجه خود را از طریق قراردادهای retainer توسط شرکت‌هایی مانند Ava Labs، Teleport، Datadog، Tailscale و Sentry تأمین می‌کند تا پایداری نگهداری متن‌باز تضمین شود.

این شرکا دیدگاه‌های امنیتی خاصی را ارائه می‌دهند. برای نمونه، شرکت Teleport مشاهده کرده است که حملات از بدافزارهای سنتی به سمت به خطر انداختن حساب‌های کاربری معتبر از طریق فیشینگ و مهندسی اجتماعی تغییر مسیر داده‌اند. از سوی دیگر، Ava Labs تأکید دارد که نگهداری پروتکل‌های رمزنگاری، مانند کلاینت AvalancheGo، برای پذیرش گسترده فناوری بلاکچین حیاتی است.

توسعه‌دهندگان اکنون باید بر اتوماسیون مرحله کشف تمرکز کنند و روی ابزارهایی سرمایه‌گذاری نمایند که بتوانند نویزهای LLM را در مقیاس بزرگ فیلتر کنند. دوران «گزارش‌های ممتاز» به پایان رسیده و جای خود را به دنیایی از کشف خودکار و فراگیر آسیب‌پذیری‌ها می‌دهد.

گام بعدی شما

• ابزارهای تحلیل استاتیک کد مبتنی بر LLM را در ابتدای چرخه توسعه (Shift Left) ادغام کنید.
• معیارهای جدیدی برای فیلتر کردن گزارش‌های تکراری و نویزی تعریف کنید تا تیم‌های فنی دچار فرسودگی نشوند.
• بر روی اتوماسیون مرحله «کشف» سرمایه‌گذاری کنید تا زمان بیشتری برای «غربالگری» و «اصلاح» داشته باشید.

اما این اتوماسیون در لایه نرم‌افزار، نیاز به سخت‌افزارهای قدرتمندتری برای استنتاج سریع دارد — به تحلیل ما درباره‌ی تراشه‌های Blackwell مراجعه کنید.