سیاوش حسین‌زاده

این مدل Arbitrage امروز که همه به قیمت‌های ترب و ایمالز دسترسی دارن، نفس‌های آخرش رو می‌کشه. اگه دنبال ایده هستی، به جای گشتن دنبال محصول، دنبال یه Niche (گوشه بازار) بگرد که نادیده گرفته شده. برنده اونی نیست که همه چی می‌فروشه، اونیه که برای یه گروه خاص، بهترین تجربه کاربری رو می‌سازه. مثلا به جای "فروشگاه لوازم ورزشی"، بشو "مرجع تخصصی تجهیزات ریکاوری برای دونده‌ها".

توی لایه فنی هم، تمرکز رو از ویترین اینستاگرام ببر سمت Retention و دیتای مشتری. بیزینسی که ندونه مشتریش کی دوباره برمی‌گرده، فقط داره برای اینستاگرام و تبلیغاتچی‌ها پول چاپ می‌کنه. آینده متعلق به Micro-brandهایی هست که روی Operations و وفاداری مشتری سرمایه‌گذاری می‌کنن، نه فقط ویترین‌های پر زرق‌وبرق.

بازار سخت‌افزار داره یه تغییر ساختاری و ترسناک رو تجربه می‌کنه. غول‌های هوش مصنوعی برای زنده موندن به حافظه نیاز دارن و دارن مثل جاروبرقی تمام ظرفیت تولید RAM و HBM رو از بازار جمع می‌کنن. وقتی از Training مدل‌های بزرگ حرف می‌زنیم، بحث دیگه سر چند گیگابایت نیست؛ دیتاسنترها دارن کل خروجی کارخونه‌ها رو پیش‌خرید می‌کنن. این یعنی خط تولیدهایی که قبلا برای گوشی و لپ‌تاپ من و شما قطعه می‌ساختن، حالا دارن برای سرورهای AI کار می‌کنن چون حاشیه سودش خیلی بالاتره.

اما چرا شرکت‌ها تولید رو سریع بالا نمی‌برن؟ چون ساخت یه Fab (کارخونه تولید چیپ) یه پروژه ۱۰ میلیارد دلاریه که حداقل ۳ تا ۵ سال زمان می‌بره. علاوه بر این، تولیدکننده‌ها یه ترس قدیمی دارن که بهش می‌گن PTSD سال ۲۰۱۸. اون زمان همگی با هم تولید رو زیاد کردن، بازار اشباع شد، قیمت‌ها ناگهانی سقوط کرد و همشون میلیاردها دلار ضرر دادن. الان ترجیح می‌دن بازار تشنه بمونه و قیمت‌ها بالا باشه، تا اینکه ریسک تولید اضافه رو قبول کنن.

خلاصه اینکه ما وارد عصر قحطی RAM شدیم. تقاضای AI بی‌نهایته، عرضه به شدت قطره‌چکانی و محتاطانه. اگه قصد ارتقای سیستم یا خرید لپ‌تاپ دارید، منتظر ارزونی نباشید. تو این جنگ تقاضا، یوزر معمولی آخرین اولویت برای زنجیره تامینه.

آسیب‌پذیری CVE-2025-14847 با امتیاز ۸.۷ یعنی فاجعه امنیتی برای هر کسی که این دیتابیس رو توی Production داره. قصه از این قراره که پروتکل ارتباطی مونگو وقتی می‌خواد پکت‌های فشرده‌شده با Zlib رو باز کنه، توی چک کردن طول دیتا (Length Parameter) سوتی می‌ده. نتیجه؟ یه اتکر بدون نیاز به هیچ نوع Authenticationای می‌تونه دیتای موجود توی Heap Memory رو بالا بکشه.

این نشت حافظه اصلا شوخی نیست! وقتی از Uninitialized Memory حرف می‌زنیم، یعنی هر چیزی که توی RAM سرور لود شده، از Pointerهای سیستمی و اطلاعات وضعیت داخلی گرفته تا دیتای حساس بقیه یوزرها، همه‌اش در دسترسه. این اطلاعات مثل نقشه راه برای اتکر عمل می‌کنه تا حملات زنجیره‌ای و خطرناک‌تری رو روی کل زیرساخت شما سوار کنه. از ورژن‌های قدیمی ۳.۶ تا ۸.۲ جدید، تقریبا همه‌جا این نشت امنیتی وجود داره.

اگه ادمین سیستم یا Developer هستید، وقت رو تلف نکنید. سریعا به نسخه‌های پچ‌شده (مثل 8.0.17 یا 7.0.28) Upgrade کنید. اگه به هر دلیلی فعلا دستتون برای آپدیت بسته‌ست، Zlib رو توی تنظیمات networkMessageCompressors کلا Disable کنید و سوییچ کنید روی Snappy یا Zstd. امنیت توی لایه دیتابیس آخرین جاییه که باید توش تعلل کرد.

گوگل سال‌ها روی Transformer سرمایه‌گذاری کرد ولی وقتی نوبت به Deploy رسید، اسیر بوروکراسی خودش شد. گوگل بارد زمانی اومد که OpenAI داشت بازار رو با Feedback Loopهای کاربری شخم می‌زد. مشکل Bard کد زدن یا Context Window نبود، مشکلش احتیاط بیش از حد یا همون Corporate Safety بود که خروجی رو عملا برای Developerها بی‌استفاده می‌کرد.

تغییر نام به Gemini نشون داد که حتی غولی مثل گوگل هم می‌تونه توی تشخیص Latent Space مارکت اشتباه کنه. وقتی با عجله و از روی ترس محصول می‌دی بیرون، فقط داری بدهی فنی جمع می‌کنی. الان که به مسیر نگاه می‌کنیم، Bard فقط یه پروتوتایپ بود که نباید با اون وضع عمومی می‌شد.

توی دنیای AI، اولین بودن لزوما به معنی برنده بودن نیست، ولی ترسو بودن، قطعا مساوی با شکست خوردنه. دیتای خوب و Compute کافی داری؟ اگه جرئت نداری محدودیت‌ها رو بشکنی، بقیه جاتو می‌گیرن.

OpenAI رسما اعتراف کرد که Atlas (مرورگر هوشمندش) هیچ‌وقت به‌طور کامل در برابر Prompt Injection مصون نمیشه. مشکل از ریشه و معماریه؛ وقتی LLM توانایی تفکیک دیتای ورودی (Data) از دستورات اجرایی (Instruction) رو نداره، هر فیلد متنی توی یک وب‌سایت می‌تونه حکم Trojan رو داشته باشه.

هکر یه دستور مخفی لای متن یا کدهای سایت می‌ذاره، مدل هم چون قدرت تشخیص نداره، فکر می‌کنه این دستور مستقیم از طرف کاربر صادر شده. نتیجه؟ لو رفتن Sessionها، کوکی‌ها و اطلاعات حساس، اونم در حالی که شما فکر می‌کنید Agent داره کارش رو درست انجام میده!

تا وقتی پارادایم معماری مدل‌ها برای امنیت بازنگری نشه، سپردن کارهای حساس و دسترسی به اکانت‌ها به این Agentها یعنی بازی با آتیش. Productivity جذابه، ولی نه به قیمت امنیت دیتای شخصی.

باگ CVE-2025-68613 با اسکور ۹.۹ نشون داد که چرا Isolation توی Runtime همه‌چیزه. مشکل اینجاست که Expressionهای تعریف شده توسط یوزر، به‌جای محیط قرنطینه یا همون Sandboxed، مستقیما توی Context اصلی سیستم اجرا می‌شدن. یعنی یک اتکر با دسترسی Authenticated می‌تونه با امتیازات پروسسِ n8n، روی کل سیستم عامل کد اجرا کنه (ACE).

با ۵۷ هزار دانلود هفتگی در npm، این فقط یه حفره ساده نیست، یه تهدید Supply Chain جدیه. وقتی ابزاری دسترسی روتین به دیتابیس‌ها، کلیدهای API و دیتای حساس سازمان داره، اکسپلویت کردنش یعنی دسترسی به تمام شریان‌های حیاتی. طبق آمار Censys بیش از ۱۰۰ هزار اینستنس بالا هستن که بخش بزرگی‌شون هنوز پچ نشدن.

امنیت توی ابزارهای Low-code نباید فدای راحتی پیاده‌سازی بشه. اگه امکان آپدیت سریع به ورژن 1.120.4 یا بالاتر رو ندارید، حتما دسترسی‌های Workflow Creation رو به حداقل برسونید و محیط اجرا رو با محدود کردن OS Privileges قرنطینه کنید. اتوماسیون بدون ایزولاسیون، یعنی دعوت‌نامه رسمی برای نفوذ به زیرساخت سازمانتون.

اضافه شدن Gemini به محصولاتی مثل یخچال‌های سامسونگ، در نگاه اول یه مارکتینگ سنگینه. ولی وقتی عمیق بشیم، بحث سر جابه‌جا کردن Context Window از گوشی به آشپزخونه‌ست. اینکه یخچال بتونه بر اساس مواد موجود، دستور پخت (Recipe) بده یا ارزش غذایی رو مقایسه کنه، قابلیت جدیدی نیست؛ سال‌هاست با Image Recognition سعی دارن انجامش بدن و شکست می‌خورن چون UX فاجعه بود. تفاوت اینجاست که LLMها بالاخره می‌تونن اون دیتای نامنظم (Unstructured Data) داخل یخچال رو به یه خروجی منطقی تبدیل کنن. اما سوال فنی اینجاست: آیا کاربر واقعا حین آشپزی با یخچال (چت) می‌کنه؟ یا این فقط یه تلاش دیگه برای فروختن سخت‌افزار گرون‌تر به بهانه هوش مصنوعیه؟ واقعیت اینه که AI وقتی برنده می‌شه که Invisible باشه. اگه قراره Gemini فقط یه Chatbot روی درِ یخچال باشه، تهش می‌شه یه اسباب‌بازی که بعد یک هفته کسی سمتش نمی‌ره.

بحران اخیر یوتیوب برای فارسی‌زبان‌ها، فراتر از یک افت درآمد ساده‌ست. گوگل داره با دقته جراحی مغز و اعصاب، ترافیک داخل ایران رو شناسایی و از چرخه Monetization حذف می‌کنه! فرقی هم نمی‌کنه پشت چه ابزاری برای دور زدنش باشید.

گوگل این بار با متدهای پیشرفته‌تری از چک کردن IP سراغ شناسایی ترافیک ایران رفته. حتی اگه با Static IP وصل بشید، سیستم‌های Fingerprinting گوگل با آنالیز دیتای WebGL، فونت‌های سیستم و Timezone براوزر، هویت واقعی لوکیشن رو استخراج می‌کنن.

علاوه بر این، تحلیل رفتاری یا Behavioral Analysis تیر خلاص رو می‌زنه. وقتی ۹۰٪ یوزرهای یک کانال، الگوهای Latency مشابهی دارن و از رنج‌های IP دیتاسنترهای خاص (که پاتوق VPNهاست) میان، الگوریتم به راحتی ترافیک رو Invalid رد می‌کنه تا از جیب تبلیغ‌دهنده محافظت کنه.

مدل درآمدی مبتنی بر AdSense برای کسانی که مخاطب داخل ایران دارن رسما به بن‌بست رسیده. یوتیوبری که روی CPM حساب باز کرده بود، حالا با واقیعت تلخ ترافیک سوخته مواجه شده. این یعنی پایانی برای محتوای زرد و حجیم، و شروع اجباری دوران اسپانسرشیپ و افیلیت.

واقعیت اینه که پلتفرم هیچ تعهدی به پرداخت پول بابت ترافیکی که براش سود تبلیغاتی نداشته باشه، نداره. این یه زنگ خطر برای بیزنس‌مدل‌هاییه که ۱۰۰٪ روی زیرساخت و سیاست‌های یه شرکت بیگ‌تک بنا شدن.

عصر طلایی درآمد دلاری آسون تموم شد. حالا یا باید محتوای Global به زبان انگلیسی ساخت، یا بیزنس‌مدل رو از یوتیوب به سمت حمایت مالی مستقیم و فروش سرویس خاصی برد.

جو بازار طوری شده که انگار کل Software Engineering قراره تو یه موضوع خلاصه بشه. همه دنبال Prompt نویسی هستن، اما حقیقت اینه که هوش مصنوعی فقط یه لایه‌ست.

خروجی‌های سریع AI دارن حجم عجیبی از کدهای کپی-پیستی رو وارد Codebaseها می‌کنن. کدی که کار می‌کنه ولی کسی مسئولیتش رو نمی‌پذیره، یعنی انفجار بدهی فنی! بدون درک عمیق از معماری، فقط دارین با سرعت بیشتری به سمت بن‌بست حرکت می‌کنید.

بدون تسلط روی Data Modeling و بهینه‌سازی Queryها، شما فقط دارین یه نمای قشنگ برای یه زیرساخت پوسیده می‌سازین. LLM شاید برات اسنیپت بنویسه، ولی نمی‌تونه جای تفکر سیستمی و Maintenance بلندمدت رو بگیره.

اصل بازی هنوز دست کسیه که می‌فهمه تو لایه‌های پایین چه اتفاقی می‌افته. AI ابزاره، نه کل راه‌حل دنیای نرم افزار.

تا بیشتر از این اثر هنری خلق نشده، بنظرم بهتره برگردیم سر اصول. کدی که نفهمی چطور کار می‌کنه، زودتر از اونی که فکر کنی به بدهی غیرقابل‌پرداخت تبدیل می‌شه...

کم‌کم داریم از دوره‌ای عبور می‌کنیم که تصویر فقط مجموعه‌ای از پیکسل‌ها بود. توی سیستم‌های جدید، تصویر در اصل یه تانسوره یعنی یه ساختار عددی چندبعدی که مدل روش یاد می‌گیره، دستکاریش می‌کنه و معنی ازش درمیاره. مدل‌های Diffusion، نویز، embedding متنی، latent space… هوش مصنوعی عکس‌ساز داره منطق تولید تصویر رو از گرافیک سنتی جدا می‌کنه و می‌بره سمت یادگیری ماشین واقعی. من توی این یادداشت نوشتم: این سیستم‌ها عملاً چطور کار می‌کنن Midjourney، Stable Diffusion و DALL·E از نگاه مهندسی و اینکه اگه توسعه دهنده هستی، کدوم مسیر واقعا به کارت میاد اگه دوست داری بدونی پشت این خروجی‌ها دقیقا چه خبره و فقط دنبال عکسای قشنگ نیستی، لینکش اینجاست 👇 راهنمای فنی هوش مصنوعی ساخت عکس