سیاوش حسین‌زاده

بازار سخت‌افزار داره یه تغییر ساختاری و ترسناک رو تجربه می‌کنه. غول‌های هوش مصنوعی برای زنده موندن به حافظه نیاز دارن و دارن مثل جاروبرقی تمام ظرفیت تولید RAM و HBM رو از بازار جمع می‌کنن. وقتی از Training مدل‌های بزرگ حرف می‌زنیم، بحث دیگه سر چند گیگابایت نیست؛ دیتاسنترها دارن کل خروجی کارخونه‌ها رو پیش‌خرید می‌کنن. این یعنی خط تولیدهایی که قبلا برای گوشی و لپ‌تاپ من و شما قطعه می‌ساختن، حالا دارن برای سرورهای AI کار می‌کنن چون حاشیه سودش خیلی بالاتره.

اما چرا شرکت‌ها تولید رو سریع بالا نمی‌برن؟ چون ساخت یه Fab (کارخونه تولید چیپ) یه پروژه ۱۰ میلیارد دلاریه که حداقل ۳ تا ۵ سال زمان می‌بره. علاوه بر این، تولیدکننده‌ها یه ترس قدیمی دارن که بهش می‌گن PTSD سال ۲۰۱۸. اون زمان همگی با هم تولید رو زیاد کردن، بازار اشباع شد، قیمت‌ها ناگهانی سقوط کرد و همشون میلیاردها دلار ضرر دادن. الان ترجیح می‌دن بازار تشنه بمونه و قیمت‌ها بالا باشه، تا اینکه ریسک تولید اضافه رو قبول کنن.

خلاصه اینکه ما وارد عصر قحطی RAM شدیم. تقاضای AI بی‌نهایته، عرضه به شدت قطره‌چکانی و محتاطانه. اگه قصد ارتقای سیستم یا خرید لپ‌تاپ دارید، منتظر ارزونی نباشید. تو این جنگ تقاضا، یوزر معمولی آخرین اولویت برای زنجیره تامینه.

آسیب‌پذیری CVE-2025-14847 با امتیاز ۸.۷ یعنی فاجعه امنیتی برای هر کسی که این دیتابیس رو توی Production داره. قصه از این قراره که پروتکل ارتباطی مونگو وقتی می‌خواد پکت‌های فشرده‌شده با Zlib رو باز کنه، توی چک کردن طول دیتا (Length Parameter) سوتی می‌ده. نتیجه؟ یه اتکر بدون نیاز به هیچ نوع Authenticationای می‌تونه دیتای موجود توی Heap Memory رو بالا بکشه.

این نشت حافظه اصلا شوخی نیست! وقتی از Uninitialized Memory حرف می‌زنیم، یعنی هر چیزی که توی RAM سرور لود شده، از Pointerهای سیستمی و اطلاعات وضعیت داخلی گرفته تا دیتای حساس بقیه یوزرها، همه‌اش در دسترسه. این اطلاعات مثل نقشه راه برای اتکر عمل می‌کنه تا حملات زنجیره‌ای و خطرناک‌تری رو روی کل زیرساخت شما سوار کنه. از ورژن‌های قدیمی ۳.۶ تا ۸.۲ جدید، تقریبا همه‌جا این نشت امنیتی وجود داره.

اگه ادمین سیستم یا Developer هستید، وقت رو تلف نکنید. سریعا به نسخه‌های پچ‌شده (مثل 8.0.17 یا 7.0.28) Upgrade کنید. اگه به هر دلیلی فعلا دستتون برای آپدیت بسته‌ست، Zlib رو توی تنظیمات networkMessageCompressors کلا Disable کنید و سوییچ کنید روی Snappy یا Zstd. امنیت توی لایه دیتابیس آخرین جاییه که باید توش تعلل کرد.

هایپ اولیه که خوابید، تازه چالش‌های واقعی مهندسی شروع شد. الان مسئله دیگه صرفا تولید کردن یه عکس با کیفیت نیست، مسئله کنترل مطلق روی خروجی اونه. بیزنس‌ها دیگه دنبال رندوم آرت نیستن؛ اونا Consistency می‌خوان. اگه نتونی یه کاراکتر یا محصول رو توی ده تا شات مختلف ثابت نگه داری، مدل‌ات عملا به درد دنیای واقعی نمی‌خوره.

بازی اصلی الان روی Fine-tune کردن مدل‌ها، استفاده بهینه از Adapterهایی مثل LoRA برای تزریق استایل خاص، و مسلط شدن به Latent Space هست تا خروجی دقیقا همونی بشه که اسپک محصول نیاز داره.

دوره Prompt Engineer بودن به عنوان یه شغل مستقل داره سریع تموم می‌شه. هوش مصنوعی ساخت عکس هم مثل دیتابیس یا API، فقط یه ابزاره توی جعبه‌ابزار توسعه‌دهنده. یا یاد می‌گیری توی پایپ‌لاین اصلی ادغامش کنی و به عنوان یه مهندس کنترلش کنی، یا کلا از مارکت حذف می‌شی. این دیگه هنر نیست، مهندسی محضه.

گوگل سال‌ها روی Transformer سرمایه‌گذاری کرد ولی وقتی نوبت به Deploy رسید، اسیر بوروکراسی خودش شد. گوگل بارد زمانی اومد که OpenAI داشت بازار رو با Feedback Loopهای کاربری شخم می‌زد. مشکل Bard کد زدن یا Context Window نبود، مشکلش احتیاط بیش از حد یا همون Corporate Safety بود که خروجی رو عملا برای Developerها بی‌استفاده می‌کرد.

تغییر نام به Gemini نشون داد که حتی غولی مثل گوگل هم می‌تونه توی تشخیص Latent Space مارکت اشتباه کنه. وقتی با عجله و از روی ترس محصول می‌دی بیرون، فقط داری بدهی فنی جمع می‌کنی. الان که به مسیر نگاه می‌کنیم، Bard فقط یه پروتوتایپ بود که نباید با اون وضع عمومی می‌شد.

توی دنیای AI، اولین بودن لزوما به معنی برنده بودن نیست، ولی ترسو بودن، قطعا مساوی با شکست خوردنه. دیتای خوب و Compute کافی داری؟ اگه جرئت نداری محدودیت‌ها رو بشکنی، بقیه جاتو می‌گیرن.

این فرم‌ها که تهش به شما یک عدد می‌دن، صرفا ابزار جذب مشتری (Lead Gen) برای آژانس‌ها هستن. واقعیت اینه که قیمت‌گذاری روی وردپرس با زدن ۴ تا تیک مثل «فروشگاه» یا «چندزبانه»، مثل اینه که قیمت یک ساختمان رو فقط با پرسیدن تعداد پنجره‌هاش تخمین بزنی.

توی این فرم‌ها چیزی به اسم Architecture یا معماری سیستم دیده نمی‌شه. پیاده‌سازی یک فروشگاه که قرار است روزی ۱۰ تا سفارش داشته باشه با سیستمی که باید زیر فشار کمپین‌های بلک‌فرایدی دوام بیاره، زمین تا آسمون فرق داره. چیزی که ماشین‌حساب به شما نمی‌گه، هزینه پنهان بدهی فنی (Technical Debt) است.

وقتی پروژه‌ای رو صرفا بر اساس «ارزون‌ترین عدد» استارت می‌زنید، در واقع دارید یک بمب ساعتی می‌خرید. استفاده از قالب‌های آماده سنگین و پلاگین‌های غیرضروری برای پایین نگه داشتن هزینه اولیه، یعنی بالا رفتن سرسام‌آور هزینه‌ی میزبانی وب و افت شدید Performance در آینده نزدیک. هزینه Refactor کردن و تمیزکاری کدهای کثیف، همیشه چند برابر هزینه‌ی یک اجرای اصولی از همون روز اوله.

تفاوت قیمت بین یک اپراتور وردپرس و یک Solution Architect توی همین دید سیستمی نهفته‌ست. یکی براتون «سایت نصب می‌کنه» و یکی برای بیزنس شما، زیرساخت قابل مقیاس (Scalable Infrastructure) می‌سازه.

اگه وردپرس رو فقط یک هزینه می‌بینید، دنبال ارزون‌ترین بگردید؛ اما اگه اون رو به چشم دارایی کسب و کارتون می‌بینید، به جای بازی با ماشین‌حساب‌های آنلاین، روی تدوین یک RFP برای توصیف دقیق یک پروژه برای رفع نیاز های واقعی کسب و کارتون وقت بذارید. خروجی واقعی و مهندسی شده، اصلا از توی فرم‌های جمع آوری شماره موبایل در نمیاد.

بیشتر پکیج‌فروش‌ها دراپ‌شیپینگ رو به عنوان «درآمد غیرفعال» می‌فروشن، اما واقعیت این بیزنس از دید اعداد و ارقام متفاوته. شما عملا دارید روی Arbitrage ترافیک بازی می‌کنید. وقتی زنجیره تامین (Supply Chain) و کیفیت محصول دست شما نیست، چیزی به نام وفاداری مشتری برای شما وجود نداره.

بیشتر بچه‌ها متوجه نیستن که توی این نوع کسب و کار، شما اصلا صاحب کسب و کار نیستید! شما صرفا یک واسطه دیتا هستید. شما دیتای مشتری رو می‌گیرید و می‌سپرید به یک نفر دیگه. اگه این وسط برندینگ اختصاصی یا کنترل روی زنجیره تامین نداشته باشید، عملا هیچ Asset یا دارایی ارزشمندی نساختید که بشه بعدا فروختش یا کلا روش حساب کرد.

دراپ‌شیپینگ شاید برای یادگیری Ad-Tech و تست کردن بازار خوب باشه، ولی به عنوان یک استراتژی بلندمدت، تقریباً خودکشیه! تهش می‌بینی کل سودت رو دادی به پلتفرم‌های تبلیغاتی و فقط استرس سروکله زدن با مشتری شاکی و تأمین‌کننده بی‌مسئولیت برات مونده.

بیزنس واقعی یعنی ایجاد ارزش یا حل یک مسئله فنی. اگه انرژی‌تون رو روی ساخت محصول چه نرم‌افزاری، چه فیزیکی بذارید، دارایی ارزشمند می‌سازید، نه صرفا یک جریان نقدی ناپایدار.

واقعیت اینه که ابزارهایی مثل Framer، v0.dev یا Bolt.new در تولید UI خوب هستن، اما خروجی اون‌ها هنوز با یک Project Architecture استاندارد فاصله زیادی داره. برای یک Landing Page ساده یا MVP که قرار نیست زیاد عمر کنه، AI بی‌رقیبه؛ اما داستان Software Engineering جای دیگه‌ای رقم می‌خوره.

بزرگترین چالش، کدهای کثیف و عدم درک Context بیزنسه. هوش مصنوعی فعلا توی یک Latent Space محدود از الگوهای تکراری گیر کرده. نتیجه می‌شه سایت‌هایی که شبیه هم هستن، SEO ضعیفی دارن و وقتی بخواید یک قابلیت پیچیده بهشون اضافه کنید، هزینه‌ی Refactor کردن کدهای تولید شده توسط AI، از هزینه‌ی پیاده‌سازی اصولی از صفر بیشتر می‌شه.

هوش مصنوعی دیزاینر یا توسعه دهنده رو حذف نمی‌کنه، بلکه مرز بین اپراتور و معمار رو مشخص می‌کنه. اگه فقط بلدید کامپوننت کنار هم بچینید، AI همین الان جای شما رو گرفته؛ ولی اگه کارتون حل مسئله و مدیریت Stateهای پیچیده‌ست، این ابزارها فقط سرعت‌گیرهای شما رو حذف می‌کنن.

OpenAI رسما اعتراف کرد که Atlas (مرورگر هوشمندش) هیچ‌وقت به‌طور کامل در برابر Prompt Injection مصون نمیشه. مشکل از ریشه و معماریه؛ وقتی LLM توانایی تفکیک دیتای ورودی (Data) از دستورات اجرایی (Instruction) رو نداره، هر فیلد متنی توی یک وب‌سایت می‌تونه حکم Trojan رو داشته باشه.

هکر یه دستور مخفی لای متن یا کدهای سایت می‌ذاره، مدل هم چون قدرت تشخیص نداره، فکر می‌کنه این دستور مستقیم از طرف کاربر صادر شده. نتیجه؟ لو رفتن Sessionها، کوکی‌ها و اطلاعات حساس، اونم در حالی که شما فکر می‌کنید Agent داره کارش رو درست انجام میده!

تا وقتی پارادایم معماری مدل‌ها برای امنیت بازنگری نشه، سپردن کارهای حساس و دسترسی به اکانت‌ها به این Agentها یعنی بازی با آتیش. Productivity جذابه، ولی نه به قیمت امنیت دیتای شخصی.

باگ CVE-2025-68613 با اسکور ۹.۹ نشون داد که چرا Isolation توی Runtime همه‌چیزه. مشکل اینجاست که Expressionهای تعریف شده توسط یوزر، به‌جای محیط قرنطینه یا همون Sandboxed، مستقیما توی Context اصلی سیستم اجرا می‌شدن. یعنی یک اتکر با دسترسی Authenticated می‌تونه با امتیازات پروسسِ n8n، روی کل سیستم عامل کد اجرا کنه (ACE).

با ۵۷ هزار دانلود هفتگی در npm، این فقط یه حفره ساده نیست، یه تهدید Supply Chain جدیه. وقتی ابزاری دسترسی روتین به دیتابیس‌ها، کلیدهای API و دیتای حساس سازمان داره، اکسپلویت کردنش یعنی دسترسی به تمام شریان‌های حیاتی. طبق آمار Censys بیش از ۱۰۰ هزار اینستنس بالا هستن که بخش بزرگی‌شون هنوز پچ نشدن.

امنیت توی ابزارهای Low-code نباید فدای راحتی پیاده‌سازی بشه. اگه امکان آپدیت سریع به ورژن 1.120.4 یا بالاتر رو ندارید، حتما دسترسی‌های Workflow Creation رو به حداقل برسونید و محیط اجرا رو با محدود کردن OS Privileges قرنطینه کنید. اتوماسیون بدون ایزولاسیون، یعنی دعوت‌نامه رسمی برای نفوذ به زیرساخت سازمانتون.

اضافه شدن Gemini به محصولاتی مثل یخچال‌های سامسونگ، در نگاه اول یه مارکتینگ سنگینه. ولی وقتی عمیق بشیم، بحث سر جابه‌جا کردن Context Window از گوشی به آشپزخونه‌ست. اینکه یخچال بتونه بر اساس مواد موجود، دستور پخت (Recipe) بده یا ارزش غذایی رو مقایسه کنه، قابلیت جدیدی نیست؛ سال‌هاست با Image Recognition سعی دارن انجامش بدن و شکست می‌خورن چون UX فاجعه بود. تفاوت اینجاست که LLMها بالاخره می‌تونن اون دیتای نامنظم (Unstructured Data) داخل یخچال رو به یه خروجی منطقی تبدیل کنن. اما سوال فنی اینجاست: آیا کاربر واقعا حین آشپزی با یخچال (چت) می‌کنه؟ یا این فقط یه تلاش دیگه برای فروختن سخت‌افزار گرون‌تر به بهانه هوش مصنوعیه؟ واقعیت اینه که AI وقتی برنده می‌شه که Invisible باشه. اگه قراره Gemini فقط یه Chatbot روی درِ یخچال باشه، تهش می‌شه یه اسباب‌بازی که بعد یک هفته کسی سمتش نمی‌ره.