شرکت OpenAI برای رقابت با مدل هوشمصنوعی جنجالی Mythos مدلی به نام GPT-5.4-Cyber را منتشر کرده که برای امنیت سایبری دفاعی طراحی شده و خط قرمز کمتری را دارد. در ادامه با معرفی بیشتر قابلیتها و خطرات احتمالی آن همراه ما باشید.
به گزارش وبسایت The Next Web، شرکت OpenAI یک نسخه از مدل GPT-5.4 را با نام GPT-5.4 Cyber منتشر کرده که محدودیتهای کمتری دارد و مخصوص افزایش امنیت سایبری طراحی شده است.
محدودیت کمتر، دسترسی بیشتر
این نسخه که برای رقابت با مدل هوشمصنوعی جنجالی Mythos شرکت Anthropic طراحی شده، دارای محدودیت کمتری نسبت به نسخه استاندارد مدل GPT-5.4 است.
بدین معنی که در صورت تأیید هویت کاربر بهعنوان یک متخصص امنیت معتبر، امکان استفاده از آن برای یافتن آسیبپذیریها، آنالیز Exploit یا رفتارشناسی بدافزار وجود دارد.
همچنین این مدل دارای قابلیت مهندسی معکوس باینری است که به کاربر اجازه میدهد تا بدون دسترسی به سورس کد، نرمافزار کامپایل شده را بررسی کند!
دسترسی با احراز هویت توسط OpenAI TAC
شرکت OpenAI در ماه فوریه از یک برنامه به نام Trusted Access for Cyber رونمایی کرد که دروقع دروازهای برای احراز هویت و دسترسی به مدلهای هوشمصنوعی خاص را فراهم میکرد.
تا پیش از این، استفاده از این برنامه تنها از طریق دعوتنامه و برای تعداد محدودی کاربر ممکن بود، اما اکنون به گفته OpenAI، متخصصین امنیت سایبری بیشتری میتوانند با احراز هویت و تایید در این برنامه، به مدل GPT 5.4-Cyber دسترسی داشته باشند.
البته باید گفت که این دسترسیها بستگی به آزادی عمل مدل، دارای سطوح مختلفی است که در بالاترین سطح (بیشترین آزادی) نحوه استفاده از مدل، تحت نظر OpenAI است.
در واقع میتوان این سیستم را اینگونه توصیف کرد که به جای اینکه دسترسی کاربر توسط مدل محدود شود، OpenAI تصمیم میگیرد که با توجه به هویت کاربر و سطح دسترسی آن، کدام مدل پاسخ دهد. به گفته OpenAI این سیستم بر سه اصل بنا شده است: دسترسی دموکراتیک با استفاده از معیارهای تأیید هدفمند، استقرار تدریجی که سیستمهای ایمنی را با بروز شدن خطرات بهروزرسانی میکند و افزایش مقاومت اکوسیستم از طریق اعانهسازی و مشارکتهای متنباز.
پاسخ به مدل آنتروپیک
شاید به سختی میتوان گفت که زمانبندی عرضه این مدل توسط OpenAI اتفاقی است و ربطی به معرفی مدل Mythos توسط آنتروپیک ندارد. مدلی که به گفته آنتروپیک هیچوقت قرار نیست به صورت عمومی عرضه شود و نسخه پیشنمایش آن، تنها در اختیار 11 سازمان از جمله اپل، گوگل، مایکروسافت، AWS، سیسکو، CrowStrike و JP Morgan Chase قرار دارد.
اما شرکت OpenAI تقریباً مسیری متفاوت را در پیش گرفته و با وجود توانایی کمتر مدل در بخش یافتن آسیبپذیری دادههای خام، آن را در اختیار کاربران بیشتری قرار میدهد.
البته در این بین، بحثهایی وجود دارد که عرضه انحصاری این گونه ابزارهای امنیتی تنها برای شرکتهای بزرگ، باعث میشود تا بسیاری از شرکتهای کوچکتر که از ارگانهای حیاتی و دولتی در مقابل حملات سایبری دفاع میکنند، از آن محروم باشند.
مدل GPT-5.4-Cyber چه کارهایی میتواند انجام دهد؟
این مدل به جز محدودیت کمتر در درخواستهای بررسی امنیت سایبری، از قابلیت مهندسی معکوس باینری برخوردار است که به کاربر اجازه میدهد تا فایل اجرایی کامپایل شده یک نرمافزار را بررسی کند و بدافزار و آسیبپذیریهای آن را پیدا کند.
همچنین قابلیت استفاده از آن به عنوان ابزار پیشگیری از حملات سایبری نیز وجود دارد، چرا که این قابلیت در نسخه استاندارد GPT 5.4 محدود بود و گاهی حتی به سوالاتی برای افزایش امنیت نیز پاسخ نمیداد.
در کنار اینها، قابلیت Codex Security که یک ابزار اسکن کد خودکار است، باعث تقویت این مدل شده. این قابلیت که از زمان راهاندازیاش توسط OpenAI، در پیدا کردن بیش از 3000 آسیبپذیری حیاتی در اکوسیستم منبعباز شرکت داشته، اکنون بیش از 100 پروژه منبع باز را از طریق یک برنامه اسکن رایگان پشتیبانی میکند.
شمشیری دو لبه!
بر کسی پنهان نیست که قابلیتهای امنیت سایبری هوشمصنوعی به مانند یک شمشیر دولبه است. بدین معنی همانطور که این فناوری میتواند به مدافعان امنیت سایبری کمک کند، به مهاجمان نیز کمک کند.
به خصوص که این ابزار دارای قابلیت مهندسی معکوس باینری است و مهاجم میتواند برای یافتن آسیبپذیری و حمله به این نرمافزار، از این مدل سوءاستفاده کند. اگرچه OpenAI در این مورد گفته که احراز هویت و نظارت (توسط شرکت)، بهتر از ممنوعیت کامل (توسط خود مدل) است. به عقیده این شرکت، احراز هویت به سبک KYC، سطح دسترسی مختلف و نظارت مستقیم در شرایط حساس، احتمال سوء استفاده از این مدل را کاهش میدهد.
در همین راستا، پژوهشی که در ژانویه منتشر شد، نشان داد که امکان دورزدن قفل یا همان جیلباکس مدل توسط مهاجمان پیشرفته وجود دارد و در 85 درصد مواقع، حملات تزریق پرسشهای سازگار (adaptive prompt injection) حتی در مقابل پیشرفتهترین سپرهای امنیتی، موفق هستند. بنابر این میتوان گفت که امنیت مبتنی بر رد پاسخ، تقریباً بیاثر است و خطرناکتر است.
البته این موضوع باعث نمیشود که راه جایگزین یعنی نظارت، کاملاً مطمئن باشد و آن نیز خود بحثهایی را به وجود آورده. برای مثال، نظارت و دسترسی OpenAI به نحوه استفاده از مدل در سطح بالا، ممکن است به این شرکت اجازه دهد تا به اطلاعات حساسی دسترسی پیدا کند که شاید قدرت و نفوذ این شرکت را در آینده افزایش دهد.
همچنین یک مشکل بزرگتر نیز وجود دارد، در صورتی که OpenAI هک شود و اطلاعات نظارتی آنها لو برود، باعث میشود تا عملاً به یک نقشه و راهنمای رایگان برای حمله به هر آسیبپذیری تبدیل شود.
دو رویکرد متفاوت
در هر صورت میتوان گفت که اکنون هوشمصنوعی امنیت سایبری به دو دسته تبدیل شده است: دسته اول که به عقیده آنها این گونه مدلها بسیار خطرناک هستند و تنها باید در اختیار شرکتهای بسیار بزرگ قرار گیرد و دسته دوم، امکان دسترسی به این ابزار با قدرت کمتر، اما توسط کاربران بیشتر، به شرط احراز هویت و نظارت مستقیم در سطوح بالا.
البته قانون هوش مصنوعی اتحادیه اروپا، که بیشترین تعهدات واقعیاش در تاریخ 2 اگوست 2026 (11 مرداد 1405) اجرا میشود، متغیر دیگری را اضافه خواهد کرد.
به این صورت که سیستمهای هوش مصنوعی با ریسک بالا (دستهای که احتمالاً شامل ابزارهای خودکارسازی امنیتی میشود) باید با الزامات مدیریت ریسک، حاکمیت داده، شفافیت و نظارت انسانی منطبق شوند. اگرچه اینکه مدلهای امنیت سایبری با دسترسی مرحلهای چگونه در این چارچوب جای میگیرند، هنوز یک سؤال بیپاسخ است که نه OpenAI و نه Anthropic پاسخ آن را ندادهاند.
در همین رابطه بخوانید:
- پشت پرده Mythos؛ هوش مصنوعی ترسناک انتروپیک واقعاً چقدر قدرتمند است؟
در نهایت باید گفت که در حال حاضر، واقعیت این است که دو شرکت برجستهٔ هوش مصنوعی جهان برای تجهیز متخصصان امنیت سایبری با مدلهایی که قادر به پیدا کردن و تحلیل آسیبپذیریها با سرعت و مقیاسی هستند که سال گذشته غیرممکن بود، با یک دیگر رقابت میکنند. اینکه این رقابت منجر به اینترنتی ایمنتر یا خطرناکتر شود، بستگی دارد به اینکه چقدر اصول و مقررات پایدار باشند.
نظر خود را اضافه کنید.
برای ارسال نظر وارد شوید
ارسال نظر بدون عضویت در سایت