اگر مدیریت یک شبکه سازمانی را بر عهده دارید، تقویم بهروزرسانیهای شما اکنون به بزرگترین ریسک امنیتی تبدیل شده است. فاصله بین شناسایی یک باگ و رفع آن، به شکافی عمیق تبدیل شده که امنیت دادههای شما را تهدید میکند.
برای دههها، تیمهای امنیتی به چرخههای پیشبینیپذیر تکیه میکردند؛ مثل «سهشنبههای وصله» مایکروسافت. اما هوش مصنوعی زاینده (Generative AI) — که شبیه دستیاری است که میلیاردها خط کد را در ثانیهها میخواند تا کوچکترین خطاها را بیابد — این جریان آرام را به سیل تبدیل کرده است. به گزارش dev.to، فرآیند یافتن آسیبپذیریها اکنون تقریباً آنی است، در حالی که رفع آنها همچنان کند و دستی باقی مانده است.
همانطور که در تحلیل قبلی ما دربارهی امنیت مدلهای زاینده اشاره کردیم، سرعت شناسایی تهدیدها در حال تبدیل شدن به یک سلاح دو لبه است. طبق اعلام مایکروسافت، این شرکت تنها در مه ۲۰۲۶ بیش از ۱۰۰ آسیبپذیری را شناسایی کرد. این فهرست شامل دو خطای اجرای کد از راه دور با امتیاز بحرانی ۹.۸ (CVE-2026-41089 و CVE-2026-41096) بود.
سایر بازیگران بازار نیز وضعیت مشابهی دارند:
- پالو آلتو نتورکس (Palo Alto Networks) پس از اجرای مدلهای پیشرفته هوش مصنوعی روی کدهای خود، ۷۵ آسیبپذیری را در یک اطلاعیه افشا کرد که ۷ برابر حجم معمول آن است.
- موزیلا (Mozilla) تنها در آوریل ۲۰۲۶ تعداد ۴۲۳ باگ را رفع کرد؛ در حالی که میانگین ماهانه آن در سال ۲۰۲۵ تنها ۲۱ مورد بود.
- اوراکل (Oracle) برای مقابله با این سرعت، از ۲۸ مه ۲۰۲۶ بهروزرسانیهای خود را از حالت سه ماهه به ماهانه تغییر میدهد.

مایکروسافت اکنون از MDASH استفاده میکند؛ یک سامانه اسکن عاملمحور (Agentic) — شبیه تیمی از کاراتکهای متخصص که هر کدام بخشی از یک قلعه را بازرسی میکنند و با هم هماهنگ هستند. این سیستم بیش از ۱۰۰ عامل (Agent) هوشمند را برای یافتن خطاهای بحرانی مدیریت میکند. در یک چرخه، MDASH موفق شد ۱۶ آسیبپذیری در ویندوز پیدا کند که ۴ مورد آنها از نوع اجرای کد از راه دور بودند.

این تغییر ساختاری است. دستور دادن به هوش مصنوعی برای یافتن باگ، ارزان و سریع است، اما پنجرههای تعمیرات و فرآیندهای مدیریت تغییر در سازمانهای شما، کند و گران هستند. این تضاد، ریسک «دم بلند» ایجاد میکند؛ یعنی در حالی که غولها کدهای خود را سخت میکنند، فروشندگان کوچکتر که از اسکنرهای هوش مصنوعی استفاده نمیکنند، به راحتترین اهداف برای مهاجمان تبدیل میشوند.
گام بعدی شما
- ارزیابی ریسک تامینکنندگان خود را بازنگری کنید و بپرسید آیا از اسکنرهای هوش مصنوعی استفاده میکنند یا خیر.
- اولویتبندی وصلهها را به جای تکیه صرف بر امتیاز CVSS، بر اساس «قابلیت دسترسی واقعی» در شبکه خود تنظیم کنید.
- تقویم بهروزرسانیهای امنیتی خود را از حالت ایستا به حالت پویا تغییر دهید.
اما این سرعت در شناسایی باگها، تنها بخشی از یک بازی بزرگتر است؛ اثر این رقابت بر قیمت تراشههای امنیتی را در گزارش بعدی بررسی میکنیم.




گفتگو