سیاوش حسین‌زاده

باگ CVE-2025-68613 با اسکور ۹.۹ نشون داد که چرا Isolation توی Runtime همه‌چیزه. مشکل اینجاست که Expressionهای تعریف شده توسط یوزر، به‌جای محیط قرنطینه یا همون Sandboxed، مستقیما توی Context اصلی سیستم اجرا می‌شدن. یعنی یک اتکر با دسترسی Authenticated می‌تونه با امتیازات پروسسِ n8n، روی کل سیستم عامل کد اجرا کنه (ACE).

با ۵۷ هزار دانلود هفتگی در npm، این فقط یه حفره ساده نیست، یه تهدید Supply Chain جدیه. وقتی ابزاری دسترسی روتین به دیتابیس‌ها، کلیدهای API و دیتای حساس سازمان داره، اکسپلویت کردنش یعنی دسترسی به تمام شریان‌های حیاتی. طبق آمار Censys بیش از ۱۰۰ هزار اینستنس بالا هستن که بخش بزرگی‌شون هنوز پچ نشدن.

امنیت توی ابزارهای Low-code نباید فدای راحتی پیاده‌سازی بشه. اگه امکان آپدیت سریع به ورژن 1.120.4 یا بالاتر رو ندارید، حتما دسترسی‌های Workflow Creation رو به حداقل برسونید و محیط اجرا رو با محدود کردن OS Privileges قرنطینه کنید. اتوماسیون بدون ایزولاسیون، یعنی دعوت‌نامه رسمی برای نفوذ به زیرساخت سازمانتون.

بحران اخیر یوتیوب برای فارسی‌زبان‌ها، فراتر از یک افت درآمد ساده‌ست. گوگل داره با دقته جراحی مغز و اعصاب، ترافیک داخل ایران رو شناسایی و از چرخه Monetization حذف می‌کنه! فرقی هم نمی‌کنه پشت چه ابزاری برای دور زدنش باشید.

گوگل این بار با متدهای پیشرفته‌تری از چک کردن IP سراغ شناسایی ترافیک ایران رفته. حتی اگه با Static IP وصل بشید، سیستم‌های Fingerprinting گوگل با آنالیز دیتای WebGL، فونت‌های سیستم و Timezone براوزر، هویت واقعی لوکیشن رو استخراج می‌کنن.

علاوه بر این، تحلیل رفتاری یا Behavioral Analysis تیر خلاص رو می‌زنه. وقتی ۹۰٪ یوزرهای یک کانال، الگوهای Latency مشابهی دارن و از رنج‌های IP دیتاسنترهای خاص (که پاتوق VPNهاست) میان، الگوریتم به راحتی ترافیک رو Invalid رد می‌کنه تا از جیب تبلیغ‌دهنده محافظت کنه.

مدل درآمدی مبتنی بر AdSense برای کسانی که مخاطب داخل ایران دارن رسما به بن‌بست رسیده. یوتیوبری که روی CPM حساب باز کرده بود، حالا با واقیعت تلخ ترافیک سوخته مواجه شده. این یعنی پایانی برای محتوای زرد و حجیم، و شروع اجباری دوران اسپانسرشیپ و افیلیت.

واقعیت اینه که پلتفرم هیچ تعهدی به پرداخت پول بابت ترافیکی که براش سود تبلیغاتی نداشته باشه، نداره. این یه زنگ خطر برای بیزنس‌مدل‌هاییه که ۱۰۰٪ روی زیرساخت و سیاست‌های یه شرکت بیگ‌تک بنا شدن.

عصر طلایی درآمد دلاری آسون تموم شد. حالا یا باید محتوای Global به زبان انگلیسی ساخت، یا بیزنس‌مدل رو از یوتیوب به سمت حمایت مالی مستقیم و فروش سرویس خاصی برد.

جو بازار طوری شده که انگار کل Software Engineering قراره تو یه موضوع خلاصه بشه. همه دنبال Prompt نویسی هستن، اما حقیقت اینه که هوش مصنوعی فقط یه لایه‌ست.

خروجی‌های سریع AI دارن حجم عجیبی از کدهای کپی-پیستی رو وارد Codebaseها می‌کنن. کدی که کار می‌کنه ولی کسی مسئولیتش رو نمی‌پذیره، یعنی انفجار بدهی فنی! بدون درک عمیق از معماری، فقط دارین با سرعت بیشتری به سمت بن‌بست حرکت می‌کنید.

بدون تسلط روی Data Modeling و بهینه‌سازی Queryها، شما فقط دارین یه نمای قشنگ برای یه زیرساخت پوسیده می‌سازین. LLM شاید برات اسنیپت بنویسه، ولی نمی‌تونه جای تفکر سیستمی و Maintenance بلندمدت رو بگیره.

اصل بازی هنوز دست کسیه که می‌فهمه تو لایه‌های پایین چه اتفاقی می‌افته. AI ابزاره، نه کل راه‌حل دنیای نرم افزار.

تا بیشتر از این اثر هنری خلق نشده، بنظرم بهتره برگردیم سر اصول. کدی که نفهمی چطور کار می‌کنه، زودتر از اونی که فکر کنی به بدهی غیرقابل‌پرداخت تبدیل می‌شه...

الان n8n و هوش مصنوعی حسابی هایپ شده و هر روز یکی داره یه دوره n8n می‌فروشه. ولی اگه واقعا هدفت یاد گرفتنه، بهترین منابع همچنان همون دوره‌های به‌روز مراجع اصلی مثل Udemy هستن.

واقعیت اینه که خیلی از دوره‌های پولی فارسی، همون دوره های Udemy هستن که فقط دوباره ضبط / بازگو و کادوپیچ فارسی شدن.

اگه از ایران امکان پرداخت دلاری نداری، راهش ساده‌ست: همون دوره جامع n8n رو کامل و رایگان از تورنت دانلود کن. من توی پست های بعدی درمورد تورنت بیشتر توضیح میدم بهتون.

اکثر این دوره‌های n8n زیرنویس انگلیسی دارن و اگه زبانت خیلی قوی نیست، با کمک هوش مصنوعی می‌تونی زیرنویس رو راحت به فارسی ترجمه کنی و حتی خلاصه و نت‌برداری هم بگیری ازش.

پس قبل از اینکه بری سراغ خرید هر دوره n8n و هوش مصنوعی، یه لحظه فکر کن:

در واقع، دوره جامع n8n و هوش مصنوعی الان هم رایگانه! چیزی که فرق ایجاد می‌کنه اینه که بشینی ببینی، تمرین کنی و بسازی. نه اینکه صرفا یه مجموعه ویدیوی ری‌پک‌شده قدیمی آرشیو کنی!

اوضاع یه‌جوری شده که واقعا آدم حالش بد میشه دیگه فقط امسال ۳.۶ میلیون نفر از هند رفتن دوره‌های AI توی کورسرا خریدن!! در حالی که کل کورسرا توی تمام عمرش حدود ۳۲ میلیون خرید دوره داشته. معلومه قراره چه بلایی سر اینترنت بیارن.

نتیجش واضحه: بمباران محتوای بی‌روح و بی‌کیفیت با برچسب هوش مصنوعی. مخصوصا یوتیوب که پر شده از ویدیوهای فیس‌لس، اسلایدشو + ویس رباتیک + تیترهای کلیکی زرد و مسخره. نه ایده‌ای، نه تجربه‌ای، نه حتی زحمت حداقلی. فقط تولید انبوه برای گرفتن ویو بیشتر.

یوتیوب هم فهمیده اوضاع خرابه و پول‌دادن رو سخت‌تر کرده، که نتیجش افت شدید درآمد یوتیوبرهاس، مخصوصا ایرانی‌ها که همزمان شد با دسترسی دانشجویی. خیلی از یوتیوبرهای معروف هم این افت رو تایید کردن.

گوگل هم از اون طرف APIهای رایگان AI رو جمع کرده (از ۱۰۰۰ درخواست به ۲۰ تا دونه رسید) که حداقل جلوی یه بخشی از این آشغال‌سازی رایگان رو بگیره ولی با همه‌ی اینا، یوتیوب هنوز نتونسته جلو این سیل محتوای الکی رو بگیره.

به‌نظر میاد خیلی‌ها AI رو با «تولید محتوا» اشتباه گرفتن، در حالی که AI قرار بود ابزار باشه، نه دستگاه چاپ زباله دیجیتال...

https://github.com/alibaba/ChatUI

یک، دو، سه... تست صدا! 🎙️ این اولین پست آزمایشی تو پلتفرم اختصاصی خودمه. قراره اینجا خیلی سریع و کوتاه از چیزایی که یاد می‌گیرم یا برام جالبه بنویسم. (امیدوارم دکمه لایک درست کار کنه 😄)