شکار باگ مبتنی بر هوش مصنوعی باعث افزایش چشمگیر آسیبپذیریهای امنیتی میشود
چشمانداز امنیت سایبری در حال تجربه یک تحول بنیادین است، زیرا هوش مصنوعی از یک دستیار غیرفعال به یک شکارچی فعال باگ تبدیل میشود. دادههای اخیر نشان میدهند که بهکارگیری LLMهای تخصصی برای حسابرسی امنیتی، منجر به انفجار بیسابقه در گزارش آسیبپذیریهای نرمافزاری شده است.
افزایش تصاعدی گزارشهای CVE
بر اساس یافتههای اخیر Epoch AI، حجم گزارشهای مربوط به آسیبپذیریها و افشای مشترک (CVE) با شدت بالا و بحرانی به سطوح تاریخی رسیده است. تنها در ژوئن ۲۰۲۶، ۲۱ سازمان تقریباً ۱۵۰۰ آسیبپذیری بحرانی را گزارش کردند؛ رقمی که بیش از ۳.۵ برابر رکورد ماهانه قبلی است.
این جهش یک پدیده غیرعادی نیست، بلکه همبستگی مستقیمی با ادغام جریانهای کاری عاملمحور (agentic workflows) خودگردان در تحقیقات امنیتی دارد. دادهها یک روند صعودی واضح را از آوریل ۲۰۲۶ نشان میدهند که نقطه عطفی در نحوه شناسایی و ثبت نقصهای نرمافزاری در پایگاههای داده جهانی محسوب میشود.
Claude Mythos شرکت Anthropic و برنامه "Glasswing"
به نظر میرسد محرک اصلی این جهش، عرضه نسخه پیشنمایش Claude Mythos از شرکت Anthropic باشد. این مدل که در آوریل معرفی شد، بهطور ویژه با قابلیت شکار خودگردان آسیبپذیریهای نرمافزاری طراحی شده است. Anthropic فاش کرد که حتی پیش از عرضه نسخه عمومی، شرکای مورد اعتماد از این مدل برای شناسایی و رفع پیشدستانه باگها استفاده میکردند.
تأثیر این مدلهای تخصصی به بهترین وجه در برنامه "Glasswing" شرکت Anthropic نمایان شده است. گزارشها حاکی از آن است که این ابتکار تا به امروز بیش از ۱۰,۰۰۰ آسیبپذیری با شدت بالا یا بحرانی را کشف کرده است. نکته قابل توجه این است که بخش قابل توجهی از این کشفیات هنوز علنی نشدهاند، که نشان میدهد مقیاس واقعی کشف آسیبپذیریهای مبتنی بر هوش مصنوعی ممکن است حتی از معیارهای گزارششده فعلی نیز فراتر رود.
رقابت تنگاتنگ: OpenAI و آینده حسابرسی خودکار
Anthropic تنها بازیگر در این عرصه پرمخاطره نیست. برنامه "Daybreak" شرکت OpenAI نیز با حرکت صنعت به سمت مدل "تیم قرمز به عنوان سرویس" (red-teaming-as-a-service)، در موج رو به رشد گزارشهای آسیبپذیری نقش دارد. این رقابت بین آزمایشگاههای پیشرو هوش مصنوعی، بهطور مؤثری در حال ایجاد یک لایه حسابرسی خودکار و عظیم در سراسر پشته نرمافزاری جهانی است.
برای توسعهدهندگان و بنیانگذاران، این تغییر یک تیغ دو لبه است. در حالی که مدلهای هوش مصنوعی مانند Claude Mythos و فناوری پشت Daybreak شرکت OpenAI با یافتن باگها پیش از آنکه بازیگران مخرب بتوانند از آنها سوءاستفاده کنند، یک سپر دفاعی قدرتمند فراهم میکنند، اما حجم عظیم آسیبپذیریهای کشفشده، فشار زیادی را بر تیمهای DevOps و امنیت وارد میکند تا سیستمها را با سرعتی شتابان اصلاح (patch) کنند.
چرا این موضوع برای اکوسیستم هوش مصنوعی اهمیت دارد
این تحول نشاندهنده ظهور "امنیت عاملمحور" (Agentic Security) است. ما از بازبینیهای دستی کد به سمت یک چرخه حسابرسی مداوم و مبتنی بر هوش مصنوعی حرکت میکنیم. با ماهرتر شدن LLMها در استدلال در میان کدهای پیچیده، معیار اصلی امنیت نرمافزار از "اصلاح واکنشگرا" به "ریشهکنی پیشدستانه" تغییر خواهد کرد و چرخه حیات توسعه نرمافزار را بهطور اساسی دگرگون خواهد کرد.
نکات کلیدی
- حجم بیسابقه: گزارشهای CVE با شدت بالا در یک ماه به ۱۵۰۰ مورد رسید که بیش از ۳.۵ برابر رکورد قبلی است.
- مدلهای تخصصی پیشران تغییر: Claude Mythos Preview شرکت Anthropic و Daybreak شرکت OpenAI پیشگام کشف خودگردان آسیبپذیریها هستند.
- مقیاس عظیم کشف: تنها برنامه Glasswing شرکت Anthropic بیش از ۱۰,۰۰۰ آسیبپذیری بحرانی را شناسایی کرده است که نشاندهنده پتانسیل عظیم حسابرسی امنیتی مبتنی بر هوش مصنوعی است.
