اگر از کتابخانههای متنباز در پروژههای خود استفاده میکنید، باید بدانید که امنیت کد شما دیگر مانند گذشته نیست. تصور کنید هزاران متخصص امنیتی، هر لحظه و بدون خستگی، تمام خطوط کد شما را برای یافتن کوچکترین اشتباه بررسی میکنند.
این کابوس اکنون به واقعیت تبدیل شده است. مدل زبانی بزرگ (LLM) — مثل کتابخانهداری که میلیاردها صفحه را خوانده و حالا با همان لحن کتابها جواب میدهد — حالا به شکارچیان باگ تبدیل شده است. همانطور که در تحلیلهای پیشین ما دربارهی امنیت مدلهای زاینده اشاره کردیم، سرعت تکامل ابزارها از سرعت اصلاح باگها پیشی گرفته است.
به نقل از گزارش Metabase، از ژانویه ۲۰۲۶ تغییری بنیادین در امنیت متنباز رخ داد. عامل (Agent) — شبیه کارمندی است که نه تنها میفهمد چه باید کرد، بلکه ابزارهای لازم برای اجرای آن را هم در دست دارد — اکنون میتواند کل یک مخزن کد را با دقتی مشابه پژوهشگران نخبه اسکن کند.
طبق گزارش این شرکت، آمارها تکاندهنده است:
- تعداد گزارشهای امنیتی از ۱۰ مورد در ماه به ۱۰ مورد در هفته رسید.
- اکثر این گزارشها با فرمت markdown و توسط هوش مصنوعی تولید شدهاند.
- هدف این حملات، حفرههای بسیار عمیق و پنهانی است که پیشتر نادیده گرفته میشدند.

در فوریه ۲۰۲۶، ابزار Claude Security عرضه شد، اما این روند از قبل آغاز شده بود. این اتوماسیون، یک اقتصاد جدید «سرویسهای امنیتی» ایجاد کرده است؛ جایی که پژوهشگران کدها را انبوه-اسکن میکنند تا یافتههای خود را بفروشند.
فشار به قدری زیاد شده که شرکت Cal.com اخیراً تصمیم گرفت مدل خود را بسته (Closed-source) کند. آنها میخواهند از چرخهی بیپایان و خستهکنندهی اصلاح باگهای لحظهای فرار کنند. در واقع، مزیت سنتی «چشمهای زیاد» در متنباز از بین رفته است؛ چون حالا هر کسی با پرداخت هزینه توکن، میتواند تمام حفرههای کد را پیدا کند.

گام بعدی شما
- تمام وابستگیهای (Dependencies) متنباز خود را در این فصل بازبینی کنید.
- نسخههای مورد استفاده را تثبیت (Pin) کنید تا بهروزرسانیهای ناخواسته باعث ورود باگ نشوند.
- دسترسیهای سیستم خود را بر اساس اصل «حداقل دسترسی» (Least-privilege) محدود کنید.
اما تأثیر این روند بر آینده لایسنسهای نرمافزاری پیچیدهتر است — به بررسی ما دربارهی مدلهای تجاری جدید متنباز مراجعه کنید.




گفتگو