خب دوستا، اگه فکر میکردین دنیای هوش مصنوعی فقط پر از آدمای باحاله که همه چی رو سفت و سخت کنترل میکنن و اشتباهاتشون قابل چشمپوشی نیست، باید بگم قضیه خیلی جالبهتر از این حرفاس! بریم سراغ داستان مارکو الِز، همون پسری که جزو کارمندای مهم DOGE هست.
DOGE اینجا اسمش کلی بامزهست ولی اسم اصلیش Department of Government Efficiency ـه. یعنی ادارهای که اصل کارش بهبود کارایی دولته و توسط ایلان ماسک راهاندازی شده. مارکو، پسر ۲۵ سالهای که چند سالی تو شرکتهای ماسک کار کرده، الان به کلی دیتابیس و اطلاعات حساسی تو سیستمهای دولتی آمریکا مثل Social Security (یعنی اداره تامین اجتماعی)، Treasury (وزارت خزانهداری)، دیپارتمان دادگستری و Homeland Security (امنیت داخلی) وصل شده و دسترسی داره، یعنی رسماً همه چیشون تو دستشه!
حالا قصه از اینجا داغ میشه که آقای الِز معمولاً زیادی راحت با دیتای محرمانه برخورد میکنه و این بار هم تیر خلاص رو زد: ته هفته اومد و یه اسکریپت تو گیتهاب بالا کرد به اسم agent.py که حالا توش یه چیزی رو جا گذاشته بود که اصلاً نباید درز میکرد! اونم چی؟ کلید مخفی API شرکت xAI!
API key مثل کلید درب صندوقیه که اگه کسی داشته باشه، میتونه به ابزارهای محرمانه و سیستمهای هوشمند وصل بشه. این کلید رو ناخواسته تو کدش گذاشت و وقعاً هرکسی میتونست باهاش مستقیم با بیش از ۵۰ تا مدل زبانی هوشمند xAI کار کنه! حالا LLM یعنی Large Language Model که یکی از مدلهای متنمحوره و میتونه مثل انسان متن تولید کنه.
یه استارتاپ به اسم GitGuardian زود متوجه این گاف شد. GitGuardian یه سرویسه که همش کدهای گیتهاب و جاهای دیگه رو اسکن میکنه تا اگه کسی کلید API یا رمز رو اشتباهی لو داد، سریع خبر بده. فوراً به خود الِز ایمیل زد و repository رو صاحبمون هم حذف کرد. ولی این وسط یه نکته عجیب: کلید xAI هنوزم کار میکنه و اصلاً ابطال نشده! یعنی حتی بعد از حذفها، بازم هر کی قبلاً کلید رو دیده باشه میتونه ازش استفاده کنه!
فیلیپ کاتورِگلی (Philippe Caturegli) ـ مسئول هک شرکت امنیتی Seralys گفته این کلیده واقعاً فاتحه امنیت xAI رو خوند. حداقل ۵۲ مدل LLM تو دسترس هرکسی قرار گرفته. آخرین اونها اسمش grok-4-0709 بود که فقط چهار روز پیش ساخته شده بود! (یعنی ۹ جولای ۲۰۲۵)
اینجا باید یه پرانتز باز کنیم: Grok همون ربات هوشمندی هست که xAI ساخته و الان تو توییتر/ایکس (همون توییتر قدیمیه که ایلان خریده و الان اسمش شده X) پیاده شده و داره کار میکنه. جالبه، Grok الان ورژن ۳ رو استفاده میکنه که تو فوریه ۲۰۲۵ عرضه شد.
اصلاً همین امروز تو اخبار اومد که وزارت دفاع آمریکا قراره Grok رو با قراردادی تا ۲۰۰ میلیون دلار بگیره و تو کاراش استفاده کنه! حالا جالبتر اینجاس که کمتر از یک هفته قبل Grok خودشو گم کرد و شروع کرد به تولید محتوای ضدیهودی و حرف زدن از هیتلر! این یعنی قبل از اینکه درستش کنن، وزارت دفاع خورده رو Grok حساب کرده!
در مورد خود مارکو باید بگم که داستانش به همین لو دادن کلید محدود نمیشه. یه بار دیگه هم قوانین امنیت دیتای Treasury رو نقص کرده بود و اطلاعات شخصی رو بدون رمزگذاری ایمیل میزد! این کاراش قانوناً ممنوعه. یجورایی باب شده بود مارکو همیشه با دیتا بد تا میکنه.
یه نکته عجیبتر اینکه دفعه قبلی وقتی به خاطر پستهای نژادپرستانه و ژنتیکمحورش تو شبکههای اجتماعی اخراج شد، معاون رئیس جمهور (J.D. Vance) واسه استخدام دوبارهش فشار آورد، ترامپم قبول کرد و ایلان ماسک هم برگردوندش به DOGE! یعنی هرچی گاف بده، باز برش میگردونن.
بعد از برگشتنش، کولاک کرد. اول تو خزانهداری بود، بعد اومد سراغ دیتابیسهای Social Security، بعد تو وزارت کار مشغول شد، نهایتاً گشت و گذار کرد تو اداره گمرک و حفاظت مرزی (همون U.S. Customs & Border Protection)، سپس اداره مهاجرت و حتی سامانه دادگاههای مهاجرت وزارت دادگستری رو هم ول نکرد! TechCrunch و Business Insider و نیویورکتایمز هرکدوم جدا جدا گزارشی درباره دسترسیهاش منتشر کردن.
اصلاً جالبتر اینکه این اولین بار نیست یکی از بچههای DOGE کلید سیستمهای AI ماسک رو لو میده! دو ماه پیش هم یکی دیگه شون کلید xAI مربوط به SpaceX و Tesla و توییتر رو دو ماه همینطوری روی گیتهاب علنی گذاشته بود! یعنی انگار کلاً تیم امنیتی مناسبی ندارن یا فرهنگ امنیت درستی جا نیفتاده.
کاتورِگلی هم گفت: «اگه یه توسعهدهنده حتی نمیتونه کلید API رو خصوصی نگه داره، چرا باید بهش اطمینان کنیم که این همه اطلاعات محرمانه دولتی رو درست مدیریت میکنه؟» خودش هم اضافه کرد: «یک بار درز یه اشتباهه؛ اما وقتی بازم همین کلیدها هی لو میرن، این فقط بدشانسی نیست، نشونه یه غفلت عمیق و یه فرهنگ امنیتی خراب توی این شرکته.»
در نهایت، مارکو به هیچ ایمیلی جواب نداده و انگار فعلاً سعی دارن قصه رو جمع کنن. اما این اتفاق نشون داد که تو بزرگترین شرکتای هوش مصنوعی دنیا، هنوزم امنیت حتی تو سطح پایه جای کار زیاد داره. چه برسه به وقتی که پای دیتابیسهای دولتی وسطه!
پس اگه روزی تو دنیای برنامهنویسی کلیدی رو گم کردی یا یادت رفت رمز رو حذف کنی، بدون حتی تو تیمهای ماسک و دولت آمریکا هم این گافها پیش میاد، ولی فرقش اینه که برای ماها شاید فقط یه پروژه خراب شه، اونجا اطلاعات یه کشور به باد میره!
منبع: +
