جدیدترین نسل از مدل‌های پیشرفته هوش مصنوعی دیگر فقط با کاربران چت نمی‌کنند، تصاویر تولید نمی‌کنند یا کد نمی‌نویسند. پژوهشگران به طور فزاینده‌ای از سیستم‌هایی مانند Claude Mythos و Claude Opus 4.8 از Anthropic و GPT-5.5 از OpenAI برای شناسایی آسیب‌پذیری‌های نرم‌افزاری استفاده می‌کنند که این امر نگرانی‌هایی را در مورد پیامدهای گسترده شدن این قابلیت‌ها ایجاد می‌کند.

سرمایه‌گذاران کریپتو این هفته با افشای توسعه‌دهندگان Zcash که Claude Opus 4.8 به کشف یک آسیب‌پذیری حیاتی کمک کرده است، متوجه تهدید رو به رشد هوش مصنوعی قدرتمند شدند. این آسیب‌پذیری می‌توانست به مهاجم اجازه دهد ZEC نامحدود تولید کند. به دلیل طراحی شبکه، در حال حاضر هیچ راهی برای اطلاع دقیق از اینکه آیا ZEC جعلی واقعاً تولید شده است یا خیر، وجود ندارد—و این عدم قطعیت منجر به سقوط قیمت ZEC در اواخر این هفته شد.

کارشناسان هشدار می‌دهند که با افزایش توانایی نرم‌افزارهای هوش مصنوعی و دسترس‌پذیرتر شدن این ابزارها، آسیب‌پذیری‌های بیشتری ممکن است در هفته‌ها و ماه‌های آینده کشف شوند. در ادامه نگاهی به این تهدید رو به رشد و چگونگی تأثیر آن بر دنیای کریپتو خواهیم داشت.

مدل‌های اولیه هوش مصنوعی به صورت حرفه‌ای به عنوان دستیاران برنامه‌نویسی استفاده می‌شدند و به توسعه‌دهندگان در نوشتن، توضیح و اشکال‌زدایی نرم‌افزار کمک می‌کردند. با بهبود این فناوری، پژوهشگران شروع به استفاده از همین سیستم‌ها برای بازبینی کد، ممیزی نرم‌افزار و تحقیقات آسیب‌پذیری کردند.

انتقال از دستیار برنامه‌نویسی به ابزار امنیتی همزمان با تغییر گسترده‌تری در نحوه استفاده از هوش مصنوعی در توسعه نرم‌افزار بود. پس از راه‌اندازی Claude Code در سال ۲۰۲۵، Anthropic افزایش شدیدی در کد تولید شده توسط هوش مصنوعی در تیم‌های مهندسی خود گزارش داد که نشان‌دهنده حرکتی از مدل‌هایی که کد پیشنهاد می‌کردند به سیستم‌هایی که قادر به نوشتن و اجرای آن بودند، است.

متخصصان امنیت می‌گویند پیامدهای این امر فراتر از کمک به توسعه‌دهندگان در نوشتن کد است.

دنی جنکینز، مدیرعامل و هم‌بنیانگذار ThreatLocker، به Decrypt گفت: "هوش مصنوعی در بازبینی کد و یافتن آسیب‌پذیری‌های بالقوه در آن بسیار بهتر از اکثر انسان‌ها عمل می‌کند." جنکینز اظهار داشت که سیستم‌های هوش مصنوعی کنونی در حال حاضر کشف آسیب‌پذیری را تسریع می‌کنند، در حالی که مدل‌های جدیدتر مانند Mythos می‌توانند این قابلیت‌ها را به طور قابل توجهی گسترش دهند و آن را یک "مشکل بزرگ" قریب‌الوقوع نامید.

او گفت: "فقط مسئله زمان است تا افراد بد به آن دسترسی پیدا کنند."

به گفته جنکینز، هوش مصنوعی موانع ورود به تحقیقات آسیب‌پذیری را نیز کاهش می‌دهد و به افراد بیشتری اجازه می‌دهد کد را تحلیل کنند، نقاط ضعف را شناسایی کرده و اکسپلویت‌ها را توسعه دهند. او انتظار دارد با گسترش دسترسی به سیستم‌های با قابلیت فزاینده، سرعت کشف آسیب‌پذیری‌ها افزایش یابد.

او گفت: "پیش از هوش مصنوعی، تهدیدات و اکسپلویت‌های امنیت سایبری هر سال در حال افزایش بودند. پس از هوش مصنوعی، این روند حتی سریع‌تر شده است، و فکر می‌کنم این سرعت به دو دلیل افزایش یافته است. یکی اینکه اکنون می‌توانید از هوش مصنوعی برای کمک به یافتن آسیب‌پذیری‌ها و اکسپلویت‌ها استفاده کنید، و تعداد افرادی که توانایی انجام این کار را دارند به شدت افزایش یافته است. دیگر نیازی نیست که یک اسکریپت کیدی باشید."

با توانمندتر شدن سیستم‌های هوش مصنوعی، شرکت‌ها شروع به استفاده از آنها در امنیت سایبری کردند. روز سه‌شنبه، Anthropic دسترسی به Project Glasswing را گسترش داد و به ۱۵۰ شرکت و مؤسسه اجازه دسترسی به Claude Mythos را داد تا به شناسایی و رفع آسیب‌پذیری‌های نرم‌افزاری قبل از انتشار گسترده‌تر این مدل کمک کند.

در ماه آوریل، موزیلا بعداً فاش کرد که مدل‌های Anthropic به شناسایی صدها آسیب‌پذیری کمک کرده‌اند که این شرکت آنها را در مرورگر وب فایرفاکس رفع کرده است، در حالی که پژوهشگران Calif از Mythos Preview در کاری استفاده کردند که منجر به تولید یکی از اولین اکسپلویت‌های عمومی برای تراشه‌های M5 اپل شد.

استانیسلاو فورت، پژوهشگر سابق در Google DeepMind و Anthropic و اکنون بنیانگذار و دانشمند ارشد شرکت امنیتی Aisle، گفت که نگرانی‌ها در مورد کشف آسیب‌پذیری با کمک هوش مصنوعی معتبر هستند، اما اغلب به اشتباه درک می‌شوند.

فورت به Decrypt گفت: "پاسخ ساده‌لوحانه این است که تلاش کنیم دسترسی به مدل‌های قدرتمند را محدود کنیم. من فکر می‌کنم این اساساً امنیت از طریق گمنامی است، و امنیت از طریق گمنامی یکی از بدترین ایده‌ها در این زمینه است. قابلیت کشف روز صفر در حال حاضر به طور گسترده در مدل‌هایی توزیع شده است که هیچ‌کس نمی‌تواند آنها را محدود کند. تلاش برای محدود کردن آن در خط مقدم، ریسک را از بین نمی‌برد؛ بلکه فقط آن را به تأخیر می‌اندازد و در عین حال مدافعانی را که بیش از همه به این ابزارها نیاز دارند، کند می‌کند."

فورت گفت که خطر بزرگتر این است که مدافعان، به ویژه نگهدارندگان متن‌باز، ممکن است به همان ابزارهای پیشرفته هوش مصنوعی که در دسترس مهاجمان است، دسترسی نداشته باشند.

او گفت: "این عدم تعادل خطر واقعی است. پاسخ محدودیت نیست؛ بلکه دموکراتیزه کردن پشته دفاعی است."

Anthropic تنها شرکتی نیست که مدل‌های هوش مصنوعی را برای امنیت سایبری توسعه می‌دهد. در ماه مه، مایکروسافت MDASH را معرفی کرد، یک سیستم کشف آسیب‌پذیری خودکار که به گفته این شرکت به شناسایی آسیب‌پذیری‌های ناشناخته ویندوز کمک کرده است.

خطر برای کریپتو

کریپتو و دیفای در حال تجربه تأثیر شکار باگ با کمک هوش مصنوعی هستند. پروژه‌های بلاک‌چین همیشه اهداف جذابی بوده‌اند زیرا پول زیادی در خطر است و بخش زیادی از کد آنها به صورت عمومی در دسترس است. جنکینز گفت که با بهبود هوش مصنوعی در یافتن نقص‌های نرم‌افزاری، پروژه‌های کریپتوی متن‌باز می‌توانند اهداف آسان‌تری برای پژوهشگران امنیتی که به دنبال باگ هستند و مهاجمانی که به دنبال سوءاستفاده از آنها هستند، تبدیل شوند.

در یکی از واضح‌ترین نمونه‌ها از اینکه چگونه مدل‌های پیشرفته هوش مصنوعی می‌توانند به پژوهشگران در کشف آسیب‌پذیری‌هایی که سال‌ها از بازبینی انسانی جان سالم به در برده بودند، کمک کنند، تیلور هورنبی، پژوهشگر امنیتی مستقل، آسیب‌پذیری حیاتی در پول حریم خصوصی Orchard مربوط به Zcash را که با کمک Claude Opus 4.8 کشف کرده بود، افشا کرد.

این نقص می‌توانست به مهاجم اجازه دهد ZEC جعلی نامحدود تولید کند و سال‌ها قبل از اینکه وصله شود، کشف نشده باقی مانده بود. در حال حاضر مشخص نیست که آیا این اکسپلویت واقعاً استفاده شده است یا خیر.

Shielded Labs، سازمانی که توسعه Zcash را بر عهده دارد، در یک پست افشاگری نوشت: "این آسیب‌پذیری از زمان فعال‌سازی Orchard در مه ۲۰۲۲ تا زمانی که وصله اضطراری در ۱ ژوئن ۲۰۲۶ اعمال شد، وجود داشت. به دلیل ویژگی‌های حریم خصوصی Orchard و ماهیت این باگ، هیچ راه قطعی برای تعیین با استفاده صرف از رمزنگاری، برای اینکه آیا چنین سوءاستفاده‌ای رخ داده است یا خیر، وجود ندارد."

این حمله در حالی رخ می‌دهد که پروتکل‌های دیفای در حال حاضر با یکی از بدترین سال‌های خود از نظر اکسپلویت‌ها روبرو هستند. بیش از ۸۴۰ میلیون دلار از پروژه‌های دیفای در پنج ماه اول سال ۲۰۲۶ به سرقت رفت، از جمله بیش از ۶۰۰ میلیون دلار تنها در ماه آوریل در حملات به پروژه‌هایی مانند KelpDAO و Drift Protocol.

ظهور به اصطلاح "وایب هکینگ"، که در آن مهاجمان از عامل‌های کدنویسی هوش مصنوعی برای خودکارسازی شناسایی، سرقت اعتبارنامه‌ها، توسعه بدافزار و سایر وظایف استفاده می‌کنند، نگرانی‌هایی را در مورد اینکه هوش مصنوعی موانع انجام حملات سایبری پیچیده را کاهش می‌دهد، افزایش داده است.

به گفته ناتالی نیوزون، بازرس ارشد بلاک‌چین در پلتفرم امنیتی Web3 CertiK، در حالی که آوریل برای اکسپلویت‌های کریپتو به طور غیرعادی شدید بود، روند کلی پایدارتر است و کمتر از اوج تعداد حوادث مشاهده شده در سال‌های گذشته است.

او گفت: "آوریل ۲۰۲۶ ماه بدی برای اکسپلویت‌های کریپتو بود؛ تنها سه روز بدون اکسپلویت وجود داشت که در آنها حداقل ۱۰ هزار دلار به سرقت رفت. با این حال، وقتی به تصویر کلی نگاه می‌کنیم، تعداد حوادث (به استثنای فیشینگ) به طور قابل بحثی نسبتاً ثابت بوده و هنوز کمتر از اوج سال ۲۰۲۳ است."

در حالی که هوش مصنوعی انجام اکسپلویت‌های دیفای را آسان‌تر می‌کند، به گفته راز نیو، مدیر ارشد فناوری Blockaid، خطر بزرگتر این نیست که هوش مصنوعی جایگزین هکرها شود، بلکه آنها را تقویت می‌کند و به مهاجمان اجازه می‌دهد روی تکنیک‌های پیچیده‌تر تمرکز کنند در حالی که هوش مصنوعی وظایف روتین را انجام می‌دهد.

او گفت: "خبر خوب این است که مدافعان نیز می‌توانند از همین ابزارها استفاده کنند. نظارت و شبیه‌سازی با کمک هوش مصنوعی برای تیم‌های امنیتی که تلاش می‌کنند با سرعت پیشرفت کنند، ضروری شده است."