🔒 1. Chrome 146 با DBSC: پایان عصر سرقت کوکی

Google امروز یکی از مهم‌ترین به‌روزرسانی‌های امنیتی در تاریخ مرورگرها رو منتشر کرد: Chrome 146 با Device Bound Session Credentials (DBSC) که کوکی‌های session رو به سخت‌افزار دستگاه شما قفل می‌کنه. این یعنی حتی اگه مالویر کوکی‌های شما رو بدزده، نمی‌تونه روی دستگاه دیگه‌ای ازشون استفاده کنه. این پایان یه عصر برای هکرهای info-stealer است که سال‌ها از سرقت کوکی برای دور زدن حتی 2FA استفاده می‌کردن.

چطور کار می‌کنه؟ DBSC از ماژول‌های امنیتی سخت‌افزاری استفاده می‌کنه - TPM (Trusted Platform Module) روی Windows و Secure Enclave روی macOS - برای ایجاد یه جفت کلید عمومی/خصوصی منحصربفرد که نمی‌تونه از دستگاه export بشه. وقتی شما به یه سرویس مثل Gmail یا Google Workspace لاگین می‌کنید، کلید خصوصی روی دستگاه شما می‌مونه و هر درخواست رو رمزنگاری می‌کنه. سرور Google با کلید عمومی تأیید می‌کنه که درخواست واقعاً از همون دستگاه میاد.

چرا این انقلابیه؟ مالویرهای info-stealer مثل Lumma، Vidar، و RedLine سال‌هاست که کوکی‌های session رو از مرورگرها می‌دزدن و روی بازارهای dark web می‌فروشن. این کوکی‌ها به هکرها اجازه می‌ده بدون نیاز به پسورد یا 2FA به حساب‌های شما دسترسی پیدا کنن - چون مرورگر فکر می‌کنه شما هنوز لاگین هستید. طبق گزارش Google، حملات session hijacking در سال 2025 بیش از 400% افزایش پیدا کرده. DBSC این مدل تهدید رو کاملاً می‌شکنه.

چه کسانی الان محافظت می‌شن؟ در حال حاضر، DBSC فقط برای کاربران Windows در Chrome 146 فعاله و فقط با سرویس‌های Google (Gmail، Google Workspace، Google Cloud) کار می‌کنه. پشتیبانی macOS در یه نسخه آینده Chrome میاد، و Google داره با سایر شرکت‌های تکنولوژی کار می‌کنه تا DBSC رو به یه استاندارد صنعتی تبدیل کنه. Microsoft، Amazon، و Apple قبلاً علاقه‌مندی خودشون رو برای پیاده‌سازی این تکنولوژی اعلام کردن.

محدودیت‌ها چین؟ DBSC فقط روی دستگاه‌هایی با TPM 2.0 یا Secure Enclave کار می‌کنه - که یعنی کامپیوترهای قدیمی‌تر (قبل از 2016) پشتیبانی نمی‌شن. همچنین، اگه دستگاه‌تون رو تعویض کنید، باید دوباره لاگین کنید چون کلیدهای رمزنگاری به سخت‌افزار قبلی بسته شدن. برای کاربران سازمانی که بین چندین دستگاه جابجا می‌شن، این می‌تونه یه مزاحمت باشه - ولی یه مزاحمت ضروری برای امنیت.

💸 2. Bitcoin Depot: سرقت $3.66 میلیون در حمله سایبری

Bitcoin Depot، بزرگ‌ترین اپراتور ATM بیت‌کوین در آمریکا، امروز در یه فایلینگ SEC فاش کرد که 50.9 بیت‌کوین (تقریباً $3.66 میلیون) در یه حمله سایبری 23 مارس دزدیده شده. چیزی که این هک رو به خصوص نگران‌کننده می‌کنه اینه که شرکت تا 6 آوریل - دو هفته بعد - متوجه نشد که این یه "رویداد مهم" محسوب می‌شه. این تأخیر سوالات جدی درباره فرآیندهای نظارتی و پاسخ به حوادث شرکت مطرح می‌کنه.

چطور اتفاق افتاد؟ طبق فایلینگ SEC، مهاجمان به سیستم‌های IT شرکتی Bitcoin Depot دسترسی پیدا کردن و اعتبارنامه‌های مربوط به حساب‌های تسویه دارایی دیجیتال رو به دست آوردن. این یه حمله هدفمند به زیرساخت شرکتی بود، نه یه استثمار از ATMهای عمومی. مهم اینه که Bitcoin Depot تأکید کرده "هیچ تأثیری روی پلتفرم‌های مشتری یا داده‌های مشتری نداشته" - یعنی کاربران ATM مستقیماً تحت تأثیر قرار نگرفتن.

چرا دو هفته طول کشید تا بفهمن؟ این یکی از جنبه‌های نگران‌کننده ماجراست. حمله 23 مارس اتفاق افتاد، ولی مدیریت تا 6 آوریل تصمیم نگرفت که این یه "رویداد مهم" که نیاز به افشای عمومی داره محسوب بشه. در این دو هفته، شرکت احتمالاً داشت میزان خسارت رو ارزیابی می‌کرد، با کارشناسان امنیت سایبری خارجی مشورت می‌کرد، و هزینه‌های قانونی و reputational بالقوه رو محاسبه می‌کرد. این تأخیر می‌تونه سوالاتی از سوی SEC و سهامداران مطرح کنه.

پول کجا رفت؟ Bitcoin Depot جزئیات فنی حمله رو فاش نکرده، ولی بر اساس الگوهای معمول، مهاجمان احتمالاً فوراً بیت‌کوین‌های دزدیده‌شده رو از طریق میکسرهایی مثل Tornado Cash یا Wasabi Wallet منتقل کردن تا ردها رو مبهم کنن. این وجوه بعداً می‌تونن به fiat تبدیل بشن از طریق صرافی‌های بدون KYC یا برای خرید دارایی‌های دیگه استفاده بشن. ردیابی و بازیابی این وجوه تقریباً غیرممکنه بعد از اینکه از طریق چندین لایه میکسینگ عبور کنن.

تأثیر روی شرکت چیه؟ Bitcoin Depot گفته که داره با "کارشناسان امنیت سایبری خارجی" برای تقویت امنیت IT کار می‌کنه و به دنبال بازیابی از طریق بیمه است. شرکت همچنین با مقامات قانونی همکاری می‌کنه. با این حال، خسارت $3.66 میلیونی فقط شامل ارزش بیت‌کوین دزدیده‌شده نمی‌شه - هزینه‌های قانونی، هزینه‌های پاسخ به حادثه، افزایش هزینه‌های بیمه، و خسارت reputational بالقوه می‌تونه هزینه واقعی رو چند برابر کنه.

🇨🇳 3. Alibaba دیتاسنتر 10,000 چیپی: چین به Nvidia پاسخ می‌ده

Alibaba و China Telecom امروز یکی از مهم‌ترین نقاط عطف در استقلال تکنولوژیک چین رو اعلام کردن: راه‌اندازی یه دیتاسنتر AI با 10,000 چیپ Zhenwu در Shaoguan، استان Guangdong. این اولین استقرار بزرگ چیپ‌های AI بومی چین در این مقیاسه و یه پاسخ مستقیم به تحریم‌های آمریکا که صادرات چیپ‌های پیشرفته Nvidia و AMD به چین رو محدود کرده. پیام واضحه: چین دیگه منتظر غرب نمی‌مونه.

چیپ Zhenwu چیه؟ این محصول واحد نیمه‌هادی T-Head علی‌بابا است که مخصوص آموزش و استنتاج مدل‌های AI طراحی شده. در حالی که Alibaba جزئیات فنی دقیق رو فاش نکرده، شرکت ادعا می‌کنه این چیپ‌ها می‌تونن مدل‌های AI با صدها میلیارد پارامتر رو پشتیبانی کنن - که اونا رو در همون کلاس بزرگ‌ترین مدل‌های امروزی قرار می‌ده. این دیتاسنتر قراره مدل Qwen3.6-Plus جدید Alibaba رو قدرت بده.

چرا این مهمه؟ تحریم‌های آمریکا که در اکتبر 2022 شروع شدن و در 2023 و 2024 تشدید شدن، صادرات چیپ‌های پیشرفته AI به چین رو محدود کردن. این تحریم‌ها طراحی شدن تا جلوی پیشرفت چین در AI و محاسبات با کارایی بالا رو بگیرن. ولی به جای متوقف کردن چین، این تحریم‌ها یه انگیزه عظیم برای توسعه داخلی ایجاد کردن. راه‌اندازی این دیتاسنتر 10,000 چیپی نشون می‌ده چین داره به سرعت شکاف رو پر می‌کنه.

عملکرد چطوره؟ Alibaba ادعا می‌کنه Zhenwu می‌تونه مدل‌های زبان بزرگ رو با کارایی قابل مقایسه با راه‌حل‌های غربی آموزش بده. در حالی که احتمالاً هنوز با H100 Nvidia برابری نمی‌کنه، شکاف داره سریع بسته می‌شه. مهم‌تر اینکه، چین الان یه زنجیره تأمین کاملاً داخلی برای چیپ‌های AI داره - از طراحی تا تولید تا استقرار - که اونا رو از تحریم‌های آینده ایمن می‌کنه.

تأثیر روی Nvidia چیه؟ این خبر خوبی برای Nvidia نیست. چین قبلاً بزرگ‌ترین بازار Nvidia بود، و تحریم‌ها میلیاردها دلار درآمد بالقوه رو از بین بردن. حالا با اینکه چین داره جایگزین‌های داخلی رو مقیاس‌پذیر می‌کنه، حتی اگه تحریم‌ها لغو بشن، Nvidia ممکنه هیچ‌وقت اون بازار رو پس نگیره. سهام Alibaba بعد از این اعلامیه 7.79% جهش کرد، در حالی که Nvidia تحت فشار موند.

⚠️ 4. Claude Mythos: AI که خیلی خطرناکه برای انتشار عمومی

Anthropic امروز یکی از جنجالی‌ترین تصمیمات در تاریخ AI رو گرفت: معرفی Claude Mythos Preview - یه مدل AI که آنقدر در کشف آسیب‌پذیری‌های امنیت سایبری قدرتمنده که شرکت تصمیم گرفته دسترسی بهش رو فقط به 52 سازمان منتخب در سراسر دنیا محدود کنه. این اولین باره که یه آزمایشگاه بزرگ AI صراحتاً می‌گه: "این مدل خیلی خطرناکه برای شما." و این یه سوال بزرگ مطرح می‌کنه: اگه AI می‌تونه هزاران zero-day پیدا کنه، چه کسی باید بهش دسترسی داشته باشه؟

چی Mythos رو اینقدر خاص می‌کنه؟ طبق اعلامیه Anthropic، این مدل تا الان هزاران آسیب‌پذیری zero-day با شدت بالا رو در تمام سیستم‌عامل‌ها و مرورگرهای اصلی شناسایی کرده. Zero-day یعنی یه نقص امنیتی که برای سازندگان نرم‌افزار ناشناخته‌ست و هیچ وصله‌ای براش در دسترس نیست. این مدل یه باگ 27 ساله در OpenBSD، یه نقص 16 ساله در FFmpeg، و یه آسیب‌پذیری خرابی حافظه در یه مانیتور ماشین مجازی memory-safe کشف کرده.

چرا محدود شده؟ Anthropic از طریق Project Glasswing دسترسی زودهنگام رو فقط برای وظایف امنیتی دفاعی به سازمان‌های منتخب تکنولوژی و زیرساخت می‌ده. این 52 سازمان شامل NVIDIA، Amazon، Apple، Google، Microsoft، و آژانس‌های امنیت سایبری دولتی می‌شن. نگرانی اینه که اگه Mythos عمومی در دسترس بود، عوامل مخرب می‌تونستن ازش برای کشف و استثمار آسیب‌پذیری‌ها سریع‌تر از اینکه مدافعان بتونن وصله‌شون کنن استفاده کنن.

قابلیت‌ها چقدر پیشرفته‌ان؟ Mythos فراتر از اسکن ساده آسیب‌پذیریه. می‌تونه تست نفوذ خودکار انجام بده، پایگاه‌های کد پیچیده رو برای نقص‌های امنیتی ظریف تحلیل کنه، و حتی تکنیک‌های استثمار رو پیشنهاد بده. در یه نمایش، اون به صورت خودکار یه سیستم‌عامل امن رو فقط در چهار ساعت هک کرد - کاری که معمولاً محققان امنیتی انسانی روزها یا هفته‌ها طول می‌کشه. این سطح از قابلیت می‌تونه تعادل بین مهاجمان و مدافعان رو به طور بنیادی تغییر بده.

واکنش‌ها چی بوده؟ جامعه امنیت سایبری شدیداً تقسیم شده. برخی از Anthropic برای مسئولیت‌پذیری تمجید می‌کنن، در حالی که دیگران استدلال می‌کنن که محدود کردن دسترسی فقط یه راه‌حل موقته. Bruce Schneier، کارشناس امنیت سایبری، گفت: "این یه نقطه عطفه. ما داریم وارد یه عصر می‌شیم که AI می‌تونه آسیب‌پذیری‌ها رو سریع‌تر از اونچه انسان‌ها می‌تونن وصله‌شون کنن پیدا کنه. این یه مشکل بنیادیه که محدود کردن دسترسی نمی‌تونه حلش کنه."

💰 5. Amazon $200B روی AI: Andy Jassy دفاع می‌کنه

CEO Amazon، Andy Jassy، امروز در یه کنفرانس سرمایه‌گذاران به طور قاطع از برنامه شرکت برای سرمایه‌گذاری $200 میلیارد روی زیرساخت AI طی چند سال آینده دفاع کرد. وقتی یه تحلیلگر پرسید آیا این سرمایه‌گذاری عظیم "خیلی تهاجمی" نیست، Jassy با قاطعیت پاسخ داد: "ما قرار نیست محافظه‌کار باشیم. اگه محافظه‌کار باشیم، پشیمون می‌شیم." این یکی از بزرگ‌ترین شرط‌بندی‌های تکنولوژی در تاریخه - و Jassy واضح کرد که Amazon تمام چیپ‌هاش رو روی AI گذاشته.

$200 میلیارد کجا خرج می‌شه؟ این سرمایه‌گذاری عظیم شامل ساخت دیتاسنترهای جدید، خرید صدها هزار GPU (احتمالاً H200 و GB200 Nvidia)، توسعه چیپ‌های AI سفارشی Trainium و Inferentia، و گسترش AWS به عنوان پلتفرم اصلی برای آموزش و استقرار مدل‌های AI می‌شه. Amazon همچنین داره روی تولید برق برای این دیتاسنترها سرمایه‌گذاری می‌کنه - شامل نیروگاه‌های هسته‌ای کوچک مدولار (SMR) که می‌تونن انرژی پایدار و قابل اعتماد تأمین کنن.

چرا این ریسک رو می‌کنن؟ Jassy استدلال کرد که تقاضا برای محاسبات AI "به طور تصاعدی در حال رشده" و AWS در موقعیت منحصربفردی برای تسخیر این بازار قرار داره. او اشاره کرد که بسیاری از بزرگ‌ترین مدل‌های AI دنیا - از جمله Anthropic Claude، Stability AI، و Cohere - روی زیرساخت AWS آموزش داده می‌شن. اگه Amazon الان سرمایه‌گذاری نکنه، رقبا مثل Microsoft Azure و Google Cloud ممکنه بازار رو تسخیر کنن.

رقابت چقدر شدیده؟ Microsoft قبلاً اعلام کرده که $80 میلیارد در سال مالی 2026 روی دیتاسنترهای AI سرمایه‌گذاری می‌کنه. Google همچنین داره به شدت سرمایه‌گذاری می‌کنه، هرچند اعداد دقیق رو فاش نکرده. Meta گفته که $65 میلیارد روی زیرساخت AI در 2026 خرج می‌کنه. این یه مسابقه تسلیحاتی واقعیه، و شرکت‌هایی که عقب بمونن ممکنه هیچ‌وقت نتونن جبران کنن.

سهامداران چی فکر می‌کنن؟ واکنش‌ها مختلطه. برخی از سرمایه‌گذاران از دیدگاه بلندمدت Jassy تمجید می‌کنن، در حالی که دیگران نگران هستن که Amazon داره خیلی سریع خیلی زیاد خرج می‌کنه. سهام Amazon بعد از اظهارات Jassy 2.3% افت کرد، که نشون می‌ده بازار هنوز متقاعد نشده. ولی Jassy واضح کرد: "ما برای ربع بعدی بهینه‌سازی نمی‌کنیم. ما برای دهه بعدی بهینه‌سازی می‌کنیم."

⚖️ 6. xAI علیه Colorado: جنگ قانونی AI شروع شد

xAI ایلان ماسک امروز یه شکایت فدرال علیه ایالت Colorado تنظیم کرد و قوانین جدید AI ایالت رو به چالش کشید که قرار بود در ماه مه اجرایی بشن. این اولین شکایت بزرگ قانونی علیه رگولاسیون AI در آمریکاست و می‌تونه سرنوشت نحوه رگوله شدن AI در سراسر کشور رو تعیین کنه. ماسک استدلال می‌کنه که قوانین Colorado "مبهم، غیرقابل اجرا، و مغایر با قانون اساسی" هستن. Colorado می‌گه اونا فقط دارن مصرف‌کنندگان رو از تصمیمات خودکار مضر محافظت می‌کنن.

قوانین Colorado چی می‌گن؟ Colorado AI Act که در می 2025 تصویب شد، اولین قانون جامع AI در آمریکاست. این قانون شرکت‌هایی که از "سیستم‌های تصمیم‌گیری با تأثیر بالا" استفاده می‌کنن رو ملزم می‌کنه که ارزیابی‌های ریسک انجام بدن، تبعیض الگوریتمی رو کاهش بدن، و به مصرف‌کنندگان اجازه بدن از تصمیمات خودکار opt-out کنن. همچنین شرکت‌ها رو مسئول خسارات ناشی از سیستم‌های AI تبعیض‌آمیز می‌کنه.

چرا xAI شکایت کرده؟ ماسک استدلال می‌کنه که تعریف قانون از "سیستم تصمیم‌گیری با تأثیر بالا" آنقدر گسترده‌ست که تقریباً هر کاربرد AI رو پوشش می‌ده - از توصیه‌های محتوا تا تشخیص پزشکی. او می‌گه الزامات ارزیابی ریسک آنقدر سنگین هستن که استارتاپ‌های کوچک رو از بازار بیرون می‌کنن. و مهم‌تر اینکه، او استدلال می‌کنه که مسئول کردن شرکت‌ها برای خسارات ناشی از تصمیمات AI یه استاندارد مسئولیت جدید و خطرناک ایجاد می‌کنه.

تأثیر روی صنعت چیه؟ اگه Colorado برنده بشه، انتظار داشته باشید ایالت‌های دیگه هم قوانین مشابه تصویب کنن. این می‌تونه یه چشم‌انداز رگولاتوری پیچیده ایجاد کنه که شرکت‌های AI باید در اون حرکت کنن. اگه xAI برنده بشه، این می‌تونه تلاش‌های رگولاسیون AI در سطح ایالتی رو سال‌ها عقب بندازه. هر دو نتیجه پیامدهای عمیقی برای نحوه توسعه و استقرار AI در آمریکا خواهند داشت.

واکنش‌های صنعت چیه؟ صنعت تکنولوژی شدیداً تقسیم شده. برخی از شرکت‌ها از xAI حمایت می‌کنن و استدلال می‌کنن که رگولاسیون زودهنگام نوآوری رو خفه می‌کنه. دیگران، از جمله برخی از غول‌های تکنولوژی، می‌گن که رگولاسیون معقول ضروریه برای جلوگیری از ضرر. گروه‌های حقوق مدنی از قانون Colorado حمایت می‌کنن و استدلال می‌کنن که بدون رگولاسیون، سیستم‌های AI تبعیض موجود رو تشدید خواهند کرد.