تصور کنید یک کلید جامع برای تمام درهای ساختمانتان به دست کسی بدهید که گاهی دچار توهم میشود و واقعیت را با خیال میسازد؛ این دقیقاً همان ریسکی است که با دادن دسترسی کامل مدیریتی به یک عامل هوش مصنوعی در وبسایتتان میپذیرید. در واقع، دادن دسترسیهای مدیریتی کامل به یک عامل هوش مصنوعی، مانند سپردن یک اسلحه پُر شده به سیستمی است که احتمال توهم (Hallucination) در آن وجود دارد. برای حل این معضل، شرکت Vinkius در ۱۵ ژوئیه ۲۰۲۶، WordPress Subscriber Creator را معرفی کرد؛ یک سرور پروتکل زمینهٔ مدل (MCP) — که شبیه به یک لایهٔ نظارتی سختگیر است و اجازه نمیدهد مدل هر دستوری را اجرا کند — که طراحی شده است تا دسترسیهای گسترده به API را با محدودیتهای سختافزاری و کدگذاریشده در سمت سرور جایگزین کند.
این چرخش راهبردی، یک نقص بنیادین در گردشهای کاری عاملمحور را هدف قرار داده است: این باور غلط که «پرامپتنویسی» میتواند یک مرز امنیتی باشد. توسعهدهندگان اغلب به عاملها میگویند «فقط کاربر مشترک بساز»، اما یک تزریق پرامپت (Prompt Injection) هوشمند یا یک خطای استدلالی میتواند مدل را بهراحتی فریب دهد تا اگر ابزار زیربنایی اجازه دهد، نقش مدیر (Administrator) را به کاربر ببخشد. این چالشها ما را به یاد قوانین حیاتی برای جلوگیری از تبدیل عاملهای هوش مصنوعی به حفرههای امنیتی میاندازد که بر لزوم ایجاد حصارهای سختافزاری تأکید داشت. طبق مستندات فنی Vinkius، اگر ابزار مورد استفاده قابلیتهایی نظیر update_user یا delete_user داشته باشد، تکیه بر «پایبندی مدل به دستورات»، یک استراتژی نیست، بلکه یک آسیبپذیری باز است.
با نگاهی به پوششهای قبلی ما در مورد اینکه چگونه DIA AI Coach از تجزیه و تحلیل لایهبندی شده (Layered Parsing) برای مدیریت هزینهها استفاده میکند، اکنون شاهد حرکت مشابهی در صنعت به سمت محدودیتهای معماری لایهبندی شده برای امنیت هستیم. در حوزه خودکارسازی وردپرس، رویکرد رایج استفاده از افزونههای حجیم و متورم، سطح حمله گستردهای ایجاد میکند که محیطهای تولیدی حرفهای نمیتوانند آن را تحمل کنند. اکثر این افزونهها برای انسانها ساخته شدهاند و شامل تنظیمات و ویژگیهای پیچیدهای هستند که برای خودکارسازی خالص کاملاً غیرضروری و زائد میباشند.
توهمِ امنیت از طریق پرامپت
در هنگام آزمایش با MCP، اولین غریزه توسعهدهندگان اغلب ساخت ابزارهایی است که دسترسیهای گستردهای فراهم میکنند تا هوش مصنوعی بتواند «همه چیز را مدیریت کند». اما باید درک کرد که مجموعه دستورات یک مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه را خوانده و حالا با همان لحن کتابها جواب میدهد — هرگز یک مرز امنیتی نیست. امنیت واقعی مستلزم محدودیتهای سختافزاری در سمت سرور است؛ جایی که قابلیت انجام عملیات غیرمجاز اصلاً در محیط اجرا (Execution Context) وجود نداشته باشد.
ادغام جراحی در برابر انباشت کد
برای حل این مسئله، WordPress Subscriber Creator از اصل «اعتماد صفر» (Zero-Trust) پیروی میکند. این ابزار از REST API بومی وردپرس (مسیر /wp-json/wp/v2/users) استفاده میکند اما هر چیزی جز منطق ساخت کاربر را حذف و دور میریزد. محدودیتهای فنی کلیدی عبارتاند از:
- اجبار در نقش کاربر (Role Enforcement): سرور تمام دادههای ورودی (Payloads) را رهگیری میکند و هر تلاشی از سوی هوش مصنوعی برای اختصاص نقشی غیر از «مشترک» (subscriber) را بازنویسی کرده و میبندد. حتی اگر مدل Claude سعی کند مقدار
role: administratorرا ارسال کند، این بازنویسی مطلق باقی میماند. - دسترسی صفر برای خواندن (Zero-Read Access): این ابزار اساساً نمیتواند لیست کاربران موجود را بخواند، پستها را مرور کند یا تنظیمات کلی سایت را تغییر دهد.
- جداسازی اعتبارنامهها (Credential Isolation): برای جلوگیری از نشت اطلاعات حساس در تاریخچه چتها، سرور MCP رمزهای عبور تصادفی میسازد که هرگز به مدل LLM بازگردانده نمیشوند و در خروجی ابزار ذخیره نمیگردند.
به جای اشتراکگذاری رمزها، سیستم گام نهایی را به جریان بومی «فراموشی رمز عبور» وردپرس میسپارد. کاربر بعد از ساخته شدن، مسیر بازیابی استاندارد را طی میکند تا اعتبارنامههای خود را تنظیم کند؛ بدین ترتیب مدل کاملاً از چرخه مدیریت اسرار (Secret-handling loop) خارج میشود.
زیرساخت در سطح تولید
محیط اجرا، این عملیات را امنتر میکند. بر اساس مستندات فنی Vinkius، تمام سرورهای این کاتالوگ از طریق MCPFusion در محیطهای ایزوله V8 (V8 sandboxes) اجرا میشوند. این محیطها توسط هشت سیاست مجزا، از جمله زنجیرههای حسابرسی HMAC و پیشگیری از حملات SSRF مدیریت میشوند تا تضمین شود که هرگونه اکسپلویت منطقی در یک محیط محدود (Sandbox) گیر کند و به سیستم اصلی نفوذ نکند. برای اطمینان از صحت این پیکربندیها، توصیه میشود از چکلیست ۶ مرحلهای برای ایمنسازی سرورهای MCP پیش از استقرار استفاده کنید.
این رویکرد، این پیشفرض را که عاملهای هوش مصنوعی برای مفید بودن به «انعطافپذیری» نیاز دارند، تغییر میدهد. برای جذب لید یا ثبتنام اعضا در سطح تولید — برای مثال زمانی که Claude از طریق چت یک ایمیل را دریافت میکند تا کاربر را در MemberPress یا WooCommerce ثبت کند — یک پل تغییرناپذیر (Immutable Bridge) بسیار ارزشمندتر از یک ابزار همهکاره است. توسعهدهندگان با حذف عمدی ویژگیها، سیستمی پیشبینیپذیر و قابل حسابرسی میسازند.
اگر تعاملا ت مشتری را از طریق کانالهای حساس و پرمخاطره مثل واتساپ یا چتهای وب مدیریت میکنید، این مرزهای سخت تنها راه تضمین این است که یک بات بهطور اتفاقی کاربر را به مدیر سایت تبدیل نکند. بهای این امنیت، از دست دادن «جادوی» ابزارهای همهکاره در مقابل reliability یا قابلیت اطمینان در سطح تولید است.
توسعهدهندگان اکنون میتوانند این سرورهای محدودشده را در گردشهای کاری خود ادغام کنند تا از مرحله آزمایشگاهی خودکارسازی هوش مصنوعی فراتر روند. اما چالش حیاتی بعدی، مقیاسدهی این ادغامهای جراحی در سیستمهای پراکنده مدیریت مشتری (CRM) و سیستمهای ایمیلی مانند AWeber یا Audienceful خواهد بود که در گزارشهای آتی بررسی خواهیم کرد.
گام بعدی شما
- بررسی پروتکل MCP برای جایگزینی دسترسیهای API گسترده با ابزارهای تکمنظوره.
- بازنگری در مجوزهای دسترسی مدلهای زبانی در محیطهای Production و حذف دسترسیهای Write غیرضروری.
- تست ابزارهای Vinkius برای خودکارسازی ثبتنام کاربران بدون درگیر کردن مدل با رمز عبورها.




گفتگو