Close Menu
    جدیدترین پست ها

    هک ۱۸ میلیون دلاری آستیوم هم‌زمان با تداوم موج حملات اوراکل به دیفای

    تیر 25, 1405

    سایه سنگین بایکوت ویکی پدیا بر سر هوش مصنوعی!

    تیر 24, 1405

    با ناپدید شدن حاشیه سود فروشندگان، احتمالاً فروش‌های ناشی از ترس بیت کوین رو به پایان است!

    تیر 23, 1405
    Facebook X (Twitter) Instagram
    • دموی انگلیسی
    • خرید از نوین وردپرس
    Facebook X (Twitter) Instagram
    اروویژن
    • اخبار اقتصادی
    • اقتصاد ایران
    • اقتصاد جهان
    • بازارهای مالی
    • رمزارز
    • کسب‌وکار
    اروویژن
    خانه » هکر میلیارد دلاری بعدی دنیای کریپتو ممکن است با سرعتی فوق‌بشری عمل کند!
    هکر میلیارد دلاری بعدی دنیای کریپتو ممکن است با سرعتی فوق‌بشری عمل کند!
    رمزارز

    هکر میلیارد دلاری بعدی دنیای کریپتو ممکن است با سرعتی فوق‌بشری عمل کند!

    تحریریه اروویژنBy تحریریه اروویژنخرداد 24, 1405بدون دیدگاه7 Mins Read
    Share
    Facebook Twitter LinkedIn Pinterest Email

    جدیدترین مدل هوش مصنوعی شرکت آنتروپیک (Anthropic) که به کاربران امکان دسترسی به قابلیت‌های استدلال و کدنویسی قوی‌تر و سریع‌تری را می‌دهد، پایش به بازار کریپتویی باز شده که خود با مشکلات امنیتی متعددی دست‌وپنجه نرم می‌کند؛ موضوعی که به خوبی می‌تواند این بحران‌ها را تشدید کند.

    این شرکت روز سه‌شنبه مدل کلاد فیبل ۵ (Claude Fable 5) را منتشر کرد؛ این اولین مدل عمومی از کلاس «میتوس» (Mythos) و به گفته آنتروپیک، قدرتمندترین مدل آن‌ها تا به امروز است. این مدل چنان قدرتمند است که شرکت مجبور شد دو نسخه از آن را منتشر کند: یکی برای استفاده عموم و دیگری برای توزیع محدودتر و تحت کنترل!

    نسخه عمومی، از قابلیت استدلال و کدنویسی قوی‌تری بهره می‌برد و در عین حال، خطرناک‌ترین استفاده‌های ممکن از آن مسدود شده است. همتای دیگر آن که محدودیت‌های کمتری دارد، یعنی کلاد میتوس ۵ (Claude Mythos 5)، تنها در دسترس کاربران تاییدشده در حوزه‌های امنیت سایبری و زیرساخت‌های حیاتی قرار گرفته است.

    کارشناسان می‌گویند میتوس می‌تواند آسیب‌پذیری‌های روز صفر (Zero-day) – یا همان نقص‌های نرم‌افزاری ناشناخته قبلی – را پیدا کرده و آن‌ها را به هم زنجیر کند تا به تبدیل یک باگ ساده به یک حمله عملی و موفقیت‌آمیز کمک کند. آنتروپیک می‌گوید این نرم‌افزار تلاش می‌کند با تشخیص درخواست‌های پرخطر، جلوی خطوط حمله احتمالی را بگیرد. این درخواست‌ها پس از شناسایی، به یک مدل ضعیف‌تر یعنی کلاد اوپوس ۴.۸ (Claude Opus 4.8) ارجاع داده می‌شوند.

    این شرکت می‌گوید این سازوکار پشتیبان (ارجاع به مدل ضعیف‌تر)، در کمتر از ۵ درصد از جلسات کاربری (Sessions) فعال می‌شود. این کمپانی همچنین در یک پست وبلاگی اعلام کرد که تیم‌های تخصصی امنیت سایبری و بیش از ۱۰۰۰ ساعت کار خارجی روی برنامه‌های پاداش باگ (Bug-bounty)، هیچ راه سراسری و قطعی برای شکستن و دور زدن این سیستم پیدا نکرده‌اند.

    با این حال، آنتروپیک اذعان دارد که این سیستم احتمالاً خطاناپذیر نیست و انتظار دارد که مهاجمان مصمم و دارای تمکن مالی بالا به تلاش‌های خود ادامه دهند، چرا که این قابلیت بسیار ارزشمند است.

    این شرکت در پست خود نوشت:

    پیشرفت ناشی از قابلیت‌های سطح میتوس برای بسیاری از مهاجمان – به عنوان مثال، کسانی که می‌توانند از حملات سایبری سود مالی ببرند – بسیار ارزشمند است؛ بنابراین انتظار داریم آن‌ها انگیزه بالایی برای تلاش جهت دور زدن اقدامات امنیتی ما داشته باشند.

    … یک ابزار کنترلی قابل اعتماد در برابر یک مهاجم مصمم نیست

    با این حال، شناسایی یک نقطه ضعف در هدف، بزرگ‌ترین نوآوری هوش مصنوعی در جعبه‌ابزار یک هکر نیست. ویژگی کلیدی و اصلی، سرعت فوق‌بشری است و محدودیت‌های ایجادشده در مدل‌های هوش مصنوعی ممکن است آن‌قدر قوی نباشند که بتوانند بر این سرعت غلبه کنند.

    چارلز گیلمت (Charles Guillemet)، مدیر ارشد فناوری شرکت لجر (Ledger – سازنده کیف پول‌های سخت‌افزاری)، در ایمیلی به کوین‌دسک گفت:

    محافظ‌های فعلی هوش مصنوعی فقط اصطکاک و مانع ایجاد می‌کنند. آن‌ها یک کنترل قابل اعتماد در برابر یک مهاجم مصمم نیستند.

    او گفت که این تغییر بیشتر از آنکه به اختراع انواع جدیدی از هک توسط هوش مصنوعی مربوط باشد، به این مربوط است که ساخت و اجرای آن‌ها چقدر زمان می‌برد. یک مدل استدلالی می‌تواند «تمام کامیت‌ها را مقایسه کند (diff every commit)، تمام پیکربندی‌ها را جستجو کند (grep every config) و تمام پیکربندی‌های نادرست را با سرعت ماشین فهرست کند»؛ عباراتی که به مراحل مختلف فرآیند توسعه نرم‌افزار اشاره دارند.

    دنیای کریپتو به شکل غیرعادی در معرض این خطر است، زیرا یک نقص نرم‌افزاری می‌تواند تقریباً بلافاصله به یک خسارت مالی مستقیم تبدیل شود.

    مهندسی اجتماعی

    داده‌های وب‌سایت DefiLlama نشان می‌دهد که پروتکل‌های دیفای (DeFi – امور مالی غیرمتمرکز) در پنج ماهه اول سال جاری بیش از ۸۴۰ میلیون دلار را به دلیل هک از دست داده‌اند. تنها ماه آوریل سهمی بیش از ۶۰۰ میلیون دلار داشت که بدترین ماه ثبت‌شده در تاریخ صنعت مالی غیرمتمرکز به شمار می‌رود.

    با این حال، دو مورد از بزرگ‌ترین حوادث، اکسپلویت‌های ساده قراردادهای هوشمند (از آن نوعی که هوش مصنوعی بتواند طراحی کند) نبودند.

    در یکی از این موارد، یک گروه مرتبط با کره شمالی پس از یک کمپین شش‌ماهه مهندسی اجتماعی که منجر به دسترسی آن‌ها به حساب ادمین شد، حدود ۲۸۵ میلیون دلار از پروتکل دریفت (Drift Protocol) به سرقت بردند. در مورد دیگر، مهاجم از نقص سیستم تک‌تاییدکننده (Single-verifier flaw) سوءاستفاده کرد و توانست تقریباً ۲۹۲ میلیون دلار را از کلپ دائو (Kelp DAO) خارج کند.

    نمونه دیگری نیز روز سه‌شنبه رخ داد؛ زمانی که هیومنیتی پروتکل (Humanity Protocol)، یک سرویس غیرمتمرکز هویت انسانی، بیش از ۳۰ میلیون دلار را به دلیل لو رفتن کلید خصوصی از دست داد. کوین‌دسک دریافت که یک هکر به سه کلید خصوصی از مجموع شش کلید موجود در لپ‌تاپ یکی از کارمندان دسترسی پیدا کرده بود.

    مشکل اصلی دقیقاً همین‌جاست. در حالی که واضح‌ترین دستورات (پرامپت‌ها) برای هک قراردادهای هوشمند ممکن است دقیقاً همان چیزهایی باشند که فیلترهای آنتروپیک برای مهار آن‌ها طراحی شده‌اند، اما بزرگ‌ترین خسارت‌ها اصلاً نیازی به باگ در قرارداد هوشمند نداشته‌اند.

    گیلمت، مدیر لجر، خاطرنشان کرد که این اکسپلویت‌ها از نقاط ضعف آشنایی نشأت می‌گیرند: مهندسی اجتماعی، فرآیندهای امضای بد، کلیدهای افشاشده و خطای انسانی.

    مدلی مانند Fable برای تغییر دادن صرفه اقتصادی یک حمله، نیازی ندارد که یک اکسپلویت آماده و نهایی را تحویل هکر دهد. این مدل می‌تواند مخازن عمومی کد (Repositories) را بخواند، نسخه‌های قدیمی نرم‌افزار را مقایسه کند، گزارش‌های حسابرسی را خلاصه کند و پیام‌های متقاعدکننده‌ای بنویسد که به دنبال اشتباهات عملیاتی کوچکی می‌گردند که انسان‌ها از قلم می‌اندازند.

    این اکسپلویت‌ها همچنان ریشه در مهندسی اجتماعی و خطای انسانی دارند!

    در چنین محیطی، یک مدافع امنیتی باید امنیت تک‌تک مسیرهای کلیدی، هر وابستگی نرم‌افزاری (Dependency)، هر فرآیند امضا و هر حساب کاربری دارای سطح دسترسی بالا را تامین کند. از آنجایی‌که هوش مصنوعی مرحله شناسایی و ردیابی را سرعت می‌بخشد، مرحله نهایی تایید و امضا اهمیت بیشتری پیدا می‌کند. کلیدهای خصوصی باید در جایی قرار بگیرند که یک لپ‌تاپ هک‌شده نتواند به آن‌ها دسترسی داشته باشد و کاربران به یک صفحه نمایش قابل اعتماد نیاز دارند که نشان دهد آن‌ها دقیقاً چه چیزی را تایید می‌کنند.

    گیلمت گفت:

    بیایید واقع‌بین باشیم: این اکسپلویت‌ها همچنان ریشه در مهندسی اجتماعی و خطای انسانی دارند. هوش مصنوعی این واقعیت را خلق نکرده، بلکه آن را نمایان کرده و سرعت آن را به سرعت ماشین رسانده است. تنها راه خروج واقعی، یک ریشه سخت‌افزاری اعتماد (Hardware root of trust) است: کلیدهای خصوصی که در یک المان امنیتیِ گواهی‌شده تولید و نگهداری می‌شوند، همراه با یک نمایشگر قابل اعتماد و امضای شفاف (Clear Signing).

    یک تیغ دو لبه

    با این حال، همین تکنیک‌ها برای محافظت از خود کد نیز کاربرد دارند. پندل (Pendle)، یک پروتکل بازدهی دیفای، اعلام کرده است که از زمان اولین نسخه کلود اوپوس، از مدل‌های آنتروپیک به صورت تدافعی استفاده کرده است. این تیم از هوش مصنوعی برای نقشه‌برداری از پایگاه کد خود و تست استرس قراردادهایش، از جمله قراردادهای تازه مستقرشده، استفاده می‌کند. آن‌ها می‌گویند این ابزارها باگ‌ها را در مراحل اولیه شکار می‌کنند و به نوشتن کدهای تمیزتر کمک می‌کنند.

    توسعه‌دهندگان پندل در مصاحبه‌ای در تلگرام گفتند که قراردادهای هوشمند مورد اشتباهی برای نگرانی هستند. یک قرارداد هوشمند کوتاه است و تنها حدود ده نقطه ورود دارد. حسابرسان مجرب مدت‌هاست که می‌توانند وضعیت کامل یک قرارداد را در ذهن خود نگه دارند و هر حالت خاص و مرزی را آزمایش کنند.

    تیم توسعه‌دهنده گفت:

    واقعاً خطوط کد زیادی در یک قرارداد هوشمند برای حسابرسی وجود ندارد.

    این یعنی هک بزرگ بعدی کریپتو ممکن است پدیده جدیدی به نظر نرسد. این اتفاق احتمالا همان پکیج آلوده، توسعه‌دهنده فریب‌خورده یا فرآیند امضای بدی خواهد بود که دیفای از قبل با آن‌ها آشنایی دارد.

    فقط مسئله این است که احتمالاً زودتر از آنچه فکرش را بکنیم رخ خواهد داد.

    منبع: Coindesk

    Share. Facebook Twitter Pinterest LinkedIn Tumblr Email
    تحریریه اروویژن

    Related Posts

    هک ۱۸ میلیون دلاری آستیوم هم‌زمان با تداوم موج حملات اوراکل به دیفای

    تیر 25, 1405

    سایه سنگین بایکوت ویکی پدیا بر سر هوش مصنوعی!

    تیر 24, 1405

    با ناپدید شدن حاشیه سود فروشندگان، احتمالاً فروش‌های ناشی از ترس بیت کوین رو به پایان است!

    تیر 23, 1405

    کشف باگ اتریوم توسط هوش مصنوعی؛ اما هنوز تایید با کاربر انسانی است!

    تیر 21, 1405
    Add A Comment
    Leave A Reply Cancel Reply

    پست های برتر

    Subscribe to Updates

    آخرین اخبار ورزشی را از سایت ورزش در مورد فوتبال، فوتبال و تنیس دریافت کنید.

    Advertisement
    Demo

    لورم ایپسوم متن ساختگی با تولید سادگی نامفهوم از صنعت چاپ و با استفاده از طراحان گرافیک است. چاپگرها و متون بلکه روزنامه و مجله در ستون و سطرآنچنان که لازم است

    Facebook X (Twitter) Instagram Pinterest YouTube
    پست های اخیر

    هک ۱۸ میلیون دلاری آستیوم هم‌زمان با تداوم موج حملات اوراکل به دیفای

    تیر 25, 1405

    سایه سنگین بایکوت ویکی پدیا بر سر هوش مصنوعی!

    تیر 24, 1405

    با ناپدید شدن حاشیه سود فروشندگان، احتمالاً فروش‌های ناشی از ترس بیت کوین رو به پایان است!

    تیر 23, 1405
    Get Informed

    دریافت خبرنامه

    آخرین اخبار خلاقانه را در مورد هنر، طراحی و تجارت دریافت کنید.

    Facebook X (Twitter) Instagram Pinterest
    تمامی حقوق برای مدیر سایت محفوظ است.

    Type above and press Enter to search. Press Esc to cancel.