فکر کن درد و دل هات با هوش مصنوعی توی گوگل پخش بشه، این چیزیه که چند روز پیش برای grok و chatgpt اتفاق افتاد.

ماجرا این بود که chatgpt یه قابلیت اشتراک لینک چت داشت که اگه فعال می‌کردی، چتت می‌تونست توسط گوگل ایندکس بشه. بعضیا بدون اینکه بدونن، این گزینه رو روشن کرده بودن و حدود ۴۵۰۰ مکالمه (شاید خیلی بیشتر) با کلی اطلاعات شخصی، ایمیل، شماره و حتی مسائل کاری و خانوادگی، سر از گوگل درآورد. grok هم با لینک ‌های عمومی که کاربرا پخش کرده بودن، بیش از ۱۰۰ هزار چت از کاربراش که پر از جزئیات شخصی بود توی گوگل پخش شد.

مشکل اینجاست که وقتی چیزی تو اینترنت عمومی شد، حتی اگه حذفش کنی، نسخه‌های ذخیره‌شده‌اش ممکنه سال‌ها باقی بمونه. داده شخصی فقط رمز کارت بانکی نیست، اسم، محل کار یا مشکلات زندگیت هم می‌تونه بر علیهت استفاده بشه.

سم آلتمن هم گفته چت با chat gpt مثل حرف زدن با روانشناس نیست و قانونا محرمانه حساب نمی‌شه، اگه قانون بخواد، شرکت موظفه مکالمات رو بده، پس هیچ‌وقت مسائل خیلی شخصی، پزشکی، اعتقادی یا حقوقی رو توی چت هوش مصنوعی ننویس.

⚙️ @DevFeed01 | Dev’s world.

تازه تو شرکت رفتیم سمت میکروسرویس با Go.
‏
هر سرویس رو مستقل زدیم، goroutine و channel شدن قهرمانای هماهنگی بین‌شون.

با Latency کم، build سریع‌تر از دم کردن قهوه، و deployها بدون استرس.

این است معجزه Go.

⚙️ @DevFeed01 | mrbackdev

#فان فکت: هرجا در هر متن فارسی کاراکتر "—" رو دیدید، اون متن قطعا با AI نوشته شده :)

⚙️ @DevFeed01 | hamidreza01

خودتو توی یه جعبه حبس نکن. نگو فقط فرانت‌اند دولوپری یا فقط بک‌اند دولوپر، خودتو یه «برنامه‌نویس» بدون. برنامه‌نویس خوب فقط روی یه بخش از مشکل کار نمی‌کنه، کل مسئله رو حل می‌کنه. اگه خودتو محدود به یه استک خاص کنی، توانایی حل مسئله‌ت نصفه می‌مونه.

اوایل کار می‌تونی روی یه استک خاص تمرکز کنی تا خودتو ثابت کنی، ولی بعدش نباید همون‌جا گیر کنی. توی یه شرکت خوب، با دولوپرها و تیم‌های دیگه تعامل کن، ازشون یاد بگیر، کم‌کم مسئولیت بخش‌های دیگه کد رو هم بگیر تا به سمت فول‌ استک شدن بری. اینطوری یاد می‌گیری کل مشکل رو حل کنی نه فقط یه تیکه‌ش رو.

اگه شرکتی جلوی یادگیریت رو می‌گیره، بهتره جای دیگه کار کنی. شرکت خوب باید به مهندساش اجازه رشد بده.

سعی کن یه «جنرالیست» باشی، یعنی فقط توی یه بخش متخصص نباش، بلکه دید کلی داشته باشی. اینطوری هم سریع‌تر تکنولوژی‌های جدید رو یاد می‌گیری، هم توی حل مشکلات خاص قوی‌تر می‌شی.

⚙️ @DevFeed01 | RAM PANDEY - dev.to

یه نرم افزار فان و عجیبی وجود داره که با یه زبان کد نویسی مخصوص خودش به صورت گرافیکی امکان تولید موسیقی های مختلف رو فراهم میکنه!

این ابزار اوپن سورس، به نام ORCA ، زبانی رو ارائه میده که شامل اپراتور های مختلفی مثل حلقه ها، شروط، اعداد رندوم و.. میشه که در نهایت خروجی همشون میشه نوت های موسیقی. مخصوص برنامه نویس ها توسعه داده شده و برای وقتایی که حوصلتون سر رفته خیلی چیز بامزه ایه.

یه ویدیو نمونه از نحوه کار و ساخت موسیقی باهاش رو براتون قرار دادم، در نگاه اول خیلی سخت و عجیب به نظر میرسه، اما وقتی راجبش بخونید میفهمید چیز سختی نیست و فقط نوت های موسیقی ای هستند که با اپراتور های شما به صورت گرافیکی تولید میشن، سپس به حرکت در میان و با برخورد به خروجی های صدا میترکن و باعث ایجاد صدای دلخواه شما میشن 🎵

⚙️ @DevFeed01 | hamidreza01

یه ابزاری که باعث میشه سرعت برنامه نویسیت صد برابر بشه، ابزار Appwrite هستش.

این ابزار، با ارائه طیف بسیار گسترده ای از امکانات از قبل اماده، کار برنامه نویسی بک اند رو براتون به شدت اسون میکنه. از قبل امکانات مختلفی مثل سیستم مدیریت کاربری، دیتابیس، حافظه، فانکشن ها، پیام رسانی، ارتباط بلادرنگ، هاستینگ، مدیریت دسترسی ها و بسیاری موارد دیگه رو پیاده سازی کرده تا توسعه بک اند رو براتون ساده کنه.

این ابزار قدرتمند توسط شرکت های بزرگی مثل تیک تاک، اسپاتیفای و.. هم استفاده میشه و در عمل جوابشو پس داده. با این ابزار تمام مفاهیم از قبل اماده هستن و شما به عنوان توسعه دهنده بک اند فقط نیازه توابعی که لازم دارید رو پیاده سازی کنید. حتما امتحانش کن.

⚙️ @DevFeed01 | Dev’s world.

⚠️⚠️⚠️حمله‌ای بی‌سابقه به اکوسیستم NPM گزارش شده است که به عنوان بزرگ‌ترین حمله زنجیره تأمین نرم‌افزار در تاریخ این بستر شناخته می‌شود:
امروز، سازمان امنیت سایبری Aikido Security اعلام کرده که حساب maintainer شناخته‌شده‌ای به نام qix- در اثر یک حمله فیشینگ به دست مهاجمان افتاده است. مهاجمان موفق شدند ۱۸ بسته‌ی محبوب npm مانند chalk، debug و ansi-styles را دست‌کاری کنند. این بسته‌ها در مجموع بیش از دو میلیارد بار دانلود هفتگی دارند

NPM) مخفف Node Package Manager هست.
این ابزار یکی از اصلی‌ترین بخش‌های اکوسیستم Node.js به حساب میاد.


⚠️کارهایی که نباید انجام بدیم

(وقتی شک داریم سیستم یا پروژه ممکنه آلوده باشه)

تراکنش مالی/کریپتو نزنیم

چون بدافزار می‌تونه آدرس گیرنده رو عوض کنه.

سیستم آلوده رو روشن یا آنلاین نکنیم

روشن کردن = اجرای کد مخرب (post-install noscripts).

آنلاین شدن = اتصال به C2 server و لو رفتن داده‌ها.

به‌روزرسانی خودکار بدون بررسی نزنیم

ممکنه آخرین نسخه‌ی یک پکیج مخرب باشه.


از ریجستری‌های غیررسمی یا پکیج‌های ناشناخته نصب نکنیم

مخصوصاً بسته‌هایی با اسم شبیه

ایمیل یا پیام‌های مشکوک رو باز نکنیم

خیلی از این حملات با فیشینگ شروع می‌شن (مثل ایمیل جعلی npm).

پسوردهای قدیمی رو دوباره استفاده نکنیم چون اگه لو رفته باشه، مهاجم راحت وارد حساب می‌شه.


________________________________________________________________________

❌راهکارهای امنیتی برای کاربرهای عادی (غیر برنامه نویس)

اپ‌های دسکتاپ (Slack, Discord, VS Code …) رو از سورس رسمی بگیر

نه از سایت‌های ناشناس یا لینک تلگرام!

تراکنش‌های کریپتو رو دوبار چک کن

قبل از تأیید، آدرس مقصد رو دستی مقایسه کن.

کیف‌پول سخت‌افزاری (Hardware Wallet) استفاده کن
ولی تراکنش هارو با دقت بررسی کن

سیستم رو به‌روز نگه دار ولی با تأخیر

بذار چند ساعت یا یک روز از انتشار آپدیت بگذره، تا اگه مخرب بود خبرش دربیاد.

موقع شک → سیستم رو روشن نکن یا کلا قطع اینترنت

تا بدافزار نتونه به C2 Server وصل بشهم Node.js به حساب میاد.


⚠️کارهایی
❌برای توسعه‌دهنده‌ها و برنامه نویس ها

مدیریت اکانت

FA (Two-Factor Auth)۲ روی حساب npm و GitHub فعال کن (الزامی هم شده).

پسوردها رو با مدیر پسورد (مثل Bitwarden یا 1Password) نگه دار، نه مرورگر.

از کلید امنیتی سخت‌افزاری برای ورود استفاده کن، مخصوصاً اگر maintainer هستی.

مدیریت Dependency

از package-lock.json یا yarn.lock استفاده کن → مطمئن می‌شه همیشه همون نسخه نصب می‌شه.

به جای ^1.2.3 بنویس 1.2.3 تا آپدیت ناخواسته نیاد.(خلاصه نسخه ی شناور نصب نکن)


محیط امن

npm install رو توی VM یا Docker تست کن قبل از اینکه بیاری توی سیستم اصلی.

اگر پکیج ناشناس هست → سورس کدشو بررسی کن مخصوصاً پوشه‌ی noscripts یا postinstall.

Buildها رو روی CI/CD امن (مثلاً GitHub Actions با secrets محدود) انجام بده.

برای پروژه‌های حساس از سیستم جداگانه یا VM اختصاصی استفاده کن.


⚙️ @DevFeed01 | Aikido Security.

ولی واقعا پلتفرم node.js نیاز به یه اصلاح اساسی توی سیستم مدیریت پکیج هاش داره. NPM به معنای واقعی کلمه خشت اولش کج بنا شده. کلی مشکل امنیتی، پرفورمنسی، کلی پکیج بلااستفاده، زنجیره پکیج های غیرضروری و حجم بالای پکیج های هر پروژه، اپدیت های بدون نظارت، عدم محدودیت های دسترسی برای پکیج ها … از جمله مواردی ان که باید اصلاح بشن.

⚙️ @DevFeed01 | Dev’s world.

تو حساب کن هکر با یه پکیج debug تونسته کدی رو اجرا بکنه که ادرس ولت مقصد در‌ تراکنش های کاربر رو تغییر بده. واقعا احمقانه اس این حجم از دسترسی برای یه پکیج.

و مشکل از جایی شروع میشه که مثلا پکیجی مثل ری اکت، از یه پکیج x ای استفاده میکنه که اون پکیج x از این پکیج debug داخلش استفاده شده. حالا تمام سیستم هایی که پکیج ری اکت روشون نصبه الوده شدن.

⚙️ @DevFeed01 | Dev’s world.

راه حل؟ باید دسترسی ها محدود بشه و توسعه دهنده موقع انتشار پکیج همون ابتدا دسترسی های پکیجش رو مشخص کنه و بعدا این دسترسی ها قابل تغییر نباشه. و خب کسی که میخواد پکیج رو نصب کنه به دسترسی هایی که داره توجه میکنه و با مسئولیت خودش نصبشون میکنه. مثل سیستم Security Manager در جاوا. اخه چرا یه پکیج ساده که تا دیروز زوج و فرد بودن عدد رو مشخص میکرد یهو در اپدیت جدیدش دسترسی به شبکه بگیره، انلاین بشه و شروع کنه کامند اجرا کنه 🏌️

⚙️ @DevFeed01 | Dev’s world.

وقتی میخوای از تسهیلات دولتی برای هوش مصنوعی استفاده کنی و مجبوری سایتت رو بزاری داخل یه ماکت ربات تا قبول کنن هوش مصنوعیه:

⚙️ @DevFeed01 | hamidreza01

نمیدونم در جریان هستید یا نه، چند وقت پیش دولت تصمیم گرفت از پروژه های هوش مصنوعی به شکل تسهیلات و سرمایه گذاری حمایت کنه. و متاسفانه به جای اینکه این سرمایه برای توسعه زیرساخت هوش مصنوعی، توسعه مدل های جدید و.. هزینه بشه، برای یه ماکت که پشتش یه سایتیه که داره از api چت‌جی‌پی‌تی استفاده میکنه هزینه میشه. و کاریش هم نمیشه کرد. چون به متخصصین واقعی فضایی داده نمیشه.

⚙️ @DevFeed01 | hamidreza01