از اسکریپت‌ها تا ازدحام‌ها: چرا هوش مصنوعی در حال شکستن دفاع‌های سنتی سیبیل است

نکات کلیدی:

• پائولو دِآمیکو می‌گوید عامل‌های هوش مصنوعی طی ۵ سال آینده مدیریت هویت را به نقشی مرکزی منتقل خواهند کرد.
• ادغام Agentkit و x402 تراکنش‌ها را برای ۱ فردِ تأییدشده به‌ازای هر عاملِ مجاز امن می‌کند.
• تا سال ۲۰۲۶، World ID از رمزنگاری ZK برای متوقف کردن بات‌ها استفاده می‌کند؛ با الزام ارائه اثبات اینکه شما یک فرد جدید هستید.

مرگ «باتِ تکراری»

سال‌ها، نبرد با حملات سیبیل—جایی که یک بازیگر واحد برای برهم زدن یک سیستم، تعداد زیادی هویت جعلی ایجاد می‌کند—بازیِ تشخیص رفتارِ شبیه بات بود. اگر هزار حساب با هم‌زمانی کامل حرکت می‌کردند یا از همان اسکریپت خشک و سخت استفاده می‌کردند، سامانه‌های امنیتی می‌توانستند به‌راحتی آن‌ها را به‌عنوان مخرب علامت‌گذاری کنند.

با این حال، ادغام هوش مصنوعی (AI) در حال برچیدنِ بنیادیِ این دفاع‌های سنتی است. در گفت‌وگویی با Bitcoin.com News که بر چشم‌انداز تهدیدِ در حال تحول تمرکز داشت، پائولو دِآمیکو، مهندس ارشد محصول در Tools for Humanity، تشریح کرد که چگونه AI از یک ابزار فنی به یک «تقویت‌کننده نیرو» پیچیده برای مهاجمان دیجیتال تبدیل شده است.

در گذشته، اجرای یک حمله سیبیل در مقیاس بزرگ مستلزم سربار فنی قابل‌توجهی بود تا اطمینان حاصل شود «کلون‌ها» متمایز به نظر می‌رسند. به گفته دِآمیکو، AI با خودکارسازی ساخت پرسوناهای باورپذیر، این مانع ورود را پایین آورده است.

دِآمیکو می‌گوید: «AI آن خودکارسازی را هم آسان‌تر برای استقرار می‌کند و هم در عمل قانع‌کننده‌تر.» «توان مهاجم را برای تولید رفتار واقع‌گرایانه، سازگاری پویا، و دور زدن کنترل‌های امنیتی موجود گسترش می‌دهد.»

برخلاف بات‌های سنتی که از کدِ ایستا پیروی می‌کنند، عامل‌های مبتنی بر AI می‌توانند پست‌های منحصربه‌فرد شبکه‌های اجتماعی تولید کنند، در تراکنش‌های آن‌چین متنوع مشارکت کنند، و «لرزش» زمان‌بندی انسانی را تقلید کنند. این سازگاری پویا باعث می‌شود برای سامانه‌های امنیتی قدیمی تقریباً غیرممکن باشد که یک خوشه از حساب‌ها را به‌عنوان حساب‌هایی که توسط یک موجودیت واحد کنترل می‌شوند شناسایی کنند.

شاید مهم‌ترین تغییری که دِآمیکو شناسایی می‌کند، یک تغییر بنیادین در نحوه درک ما از ترافیک خودکار است. از نظر تاریخی، تیم‌های امنیتی با یک معیار ساده کار می‌کردند: ترافیک خودکار بد است؛ ترافیک انسانی خوب است. اما با حرکت به سمت دوره‌ای از عامل‌های AI غیرمتمرکز که وظایف مشروع انجام می‌دهند، این دوگانه در حال فروپاشی است.

دِآمیکو توضیح می‌دهد: «عامل‌ها یک رابط جدید برای تعامل آنلاین فراهم می‌کنند، که تشخیص خودکارسازیِ مضر را از فعالیتِ خودکارِ مشروع یا مطلوب دشوارتر می‌کند.» «در نتیجه، اکنون سایت‌ها باید دفاع‌های خود را برای جهانی تطبیق دهند که در آن خودِ خودکارسازی دیگر نشانه قابل‌اعتمادی از سوءاستفاده نیست.»

آیا CAPTCHA مرده است؟

اگر AI بتواند پازل‌ها را حل کند و الگوهای مرورِ انسانی را تقلید کند، این پرسش مطرح می‌شود: آیا CAPTCHA سنتی مرده است؟ به گفته دِآمیکو، این ابزارها لزوماً در حال ناپدید شدن نیستند، اما در حال گذر از یک تکامل رادیکال‌اند.

اتکا به پازل‌های ساده در حال تبدیل شدن به بازی‌ای است که AI بیش از پیش در آن برنده می‌شود. در عوض، راه‌حل‌های قدرتمند باید به سمت نمایشِ بنیادینِ بهترِ یک انسان در جهان دیجیتال حرکت کنند. دِآمیکو به استانداردهای نوظهور مانند استانداردهای گروه کاری Privacy Pass اشاره می‌کند که نمایی از آینده‌ای ارائه می‌دهند که در آن اقدامات «انسان-در-حلقه» از طریق لایه‌های فناوری عمیق‌تر تأیید می‌شوند.

برای مقابله با تهدیدِ یک ازدحام سیبیل از عامل‌های خودمختار، زیرساخت‌های جدیدی در حال شکل‌گیری است که «یگانگیِ تأییدشده» را در اولویت قرار می‌دهد. یکی از این راه‌حل‌ها Agentkit است؛ یک SDK مبتنی بر پروتکل World ID.

با ادغام Agentkit، وب‌سایت‌ها می‌توانند دسترسی به محتوا را بر اساس قوانین تعیین‌شده برای اعتبارنامه‌های World ID درگاه‌بندی، محدود، یا کنترل کنند. فوری‌ترین کاربرد، محدودسازی نرخ بر اساس انسان‌های یکتا است. برای نمونه، یک پلتفرم می‌تواند به هر فرد تأییدشده تعداد مشخصی درخواست در یک بازه زمانی مشخص بدهد و بدین‌ترتیب عملاً مزیت حساب‌های باتِ تولیدانبوه را خنثی کند.

به گفته دِآمیکو، World ID یک لایه امنیتی معرفی می‌کند که در آن مقیاس‌دادنِ حملات سیبیل به‌طور چشمگیری دشوارتر می‌شود. در این اکوسیستم، مهاجم دیگر نمی‌تواند صرفاً با ارائه یک نشانی ایمیل یا شماره تلفن جدید، یک هویت تازه به دست آورد. برای سیستم، شما باید یک فرد جدید باشید. این تغییر بر Orb—یک قطعه سخت‌افزار مورداعتمادِ پیشرفته—و استفاده از رمزنگاری دانایی‌صفر (ZK) تکیه دارد و تضمین می‌کند یگانگی بدون به خطر انداختن حریم خصوصی افراد تأیید شود.

با رشد اقتصادِ عامل‌های خودمختار، چالش از صرفِ شناسایی به سمت مجوزدهی منتقل می‌شود. پروتکل‌های جدیدی مانند x402 به عامل‌ها امکان می‌دهند مستقیماً برای منابع وب پرداخت کنند. با این حال، پرسش امنیتیِ حیاتی همچنان باقی است: چگونه می‌دانیم یک عامل از طرف یک انسان هزینه می‌کند، نه اینکه مانند یک اسکریپت سرکش عمل کند؟

افق مقررات‌گذاری: حریم خصوصی به‌عنوان یک بنیان

دِآمیکو توضیح می‌دهد که ادغام x402 و Agentkit یک مدل «وکالت» برای عصر دیجیتال فراهم می‌کند. در حالی که x402 سازوکار پرداخت را مدیریت می‌کند، Agentkit اختیارِ پشتِ درخواست را تأیید می‌کند.

دِآمیکو می‌گوید: «از طریق AgentKit، یک کاربر می‌تواند ارائهٔ اثباتِ انسان‌بودن خود را به یک عامل واگذار کند.» «در آن مدل، یک World ID می‌تواند چندین کلیدِ مجاز داشته باشد که اجازه تولید اثبات را دارند. یک کلید متعلق به دستگاه کاربر است و کاربر همچنین می‌تواند از طریق AgentKit یک کلیدِ عامل را مجاز کند.»

این یعنی وقتی یک عامل از طریق x402 پرداختی انجام می‌دهد، یک امضای رمزنگاری‌شده همراه دارد که ثابت می‌کند به‌طور صریح توسط یک انسانِ تأییدشده مجاز شده است. نکته کلیدی اینکه این اختیار محدود است: عامل می‌تواند در چارچوب مجوزهای اعطاشده عمل کند، اما نمی‌تواند World ID کاربر را تغییر دهد یا کنترل گسترده‌تری بر هویت را در دست بگیرد.

با آنکه این فناوری‌ها مرزهای هویت دیجیتال را جابه‌جا می‌کنند، در خلأ وجود ندارند. مسیرِ پیشِ رو برای نوآوری به‌طور نزدیک با جابه‌جایی‌های مقررات‌گذاری جهانی گره خورده است. دِآمیکو تحول چارچوب‌های مقرراتی را نه یک مانع، بلکه همراهی ضروری برای رشد فناوری می‌داند.

دِآمیکو مشاهده می‌کند: «با ادامه پیشرفت AI، انتظار داریم چارچوب‌های مقرراتی پیرامون هویت و حریم خصوصی هم‌زمان با فناوری تکامل پیدا کنند.» «این پیشرفت‌ها چشم‌انداز را بازآرایی خواهند کرد؛ هم فرصت‌های جدید می‌گشایند و هم ریسک‌ها و بردارهای حمله جدیدی معرفی می‌کنند.»

دِآمیکو با نگاه به پنج سال آینده پیش‌بینی می‌کند مدیریت هویت از یک قابلیت امنیتیِ حاشیه‌ای به یک ستون مرکزی اینترنت تبدیل خواهد شد. در جهانی «AI-native»، تعریف هویت باید گسترش یابد تا هم خالق و هم فرستاده را پوشش دهد.

دِآمیکو پیش‌بینی می‌کند: «برای انسان‌ها، این یعنی لنگرهای اعتمادِ قابل‌راستی‌آزماییِ قوی‌تری که اجازه می‌دهند هویت همچنان بازنمایی قابل‌اعتمادی از یک فرد واقعی به‌صورت آنلاین بماند.» «به‌موازات آن، انتظار دارم چارچوب‌های هویتی برای عامل‌های خودمختار اهمیت بیشتری پیدا کنند.»

با آغاز تعامل عامل‌ها با سامانه‌های مالی و پلتفرم‌ها به شکل معنادارتر، این صنعت به راه‌های روشن‌تری نیاز خواهد داشت تا مشخص کند آن‌ها نماینده چه کسی یا چه چیزی هستند، حدود اختیارشان چیست، و آیا از طرف یک کاربر واقعی عمل می‌کنند یا نه.