گزارش تحلیلی امشب شامل ۶ زلزله تکنولوژیک است: ۱. هک ابزار امنیتی Mythos شرکت Anthropic با متد Prompt Injection. ۲. افشای سیستم ردیابی لوکیشن کارمندان Meta برای اجبار به بازگشت به دفتر. ۳. اجباری شدن تأیید سن برای دسترسی به بخشهای آنلاین PlayStation در اروپا. ۴. کاهش قیمت ناگهانی اشتراک PC Game Pass در سنگاپور. ۵. حمله باجافزاری Everest به تامینکننده هوافضای ناتو. ۶. کشف آسیبپذیری بحرانی DNN در ماژول DNNCorp.DNN.DataProvider.
🌙 خوش آمدید به تکین نایت 22 آوریل 2026
شب بخیر لژیون تکین! امشب با شش خبر داغ و حساس از دنیای تکنولوژی همراه شما هستیم. از هک خطرناک ابزار امنیتی AI تا جاسوسی Meta از کارمندان، از قطع آنلاین PlayStation تا کاهش قیمت Game Pass - همه چیز را پوشش میدهیم.
⚡ سرفصلهای امشب:
🤖 هک Anthropic Mythos: ابزار AI امنیتی در دست هکرها
👁️ Meta: ردیابی کامل کارمندان برای آموزش AI
🎮 PlayStation UK: تأیید سن اجباری یا قطع آنلاین
💰 Xbox Game Pass: کاهش قیمت اما بدون Call of Duty
🏦 باجافزار Everest: هک دو بانک بزرگ آمریکا
🔓 آسیبپذیری DNN: 750,000 وبسایت در خطر
☕ نوشیدنی شبانه خود را آماده کنید و برای یک سفر عمیق در دنیای تکنولوژی آماده شوید!
🤖 هک خطرناک Anthropic Mythos: ابزار امنیتی AI در دست هکرها
در یکی از خطرناکترین حوادث امنیتی سال 2026، یک گروه غیرمجاز از طریق Discord به مدل قدرتمند Anthropic Mythos دسترسی پیدا کردند. Mythos یک ابزار امنیت سایبری مبتنی بر هوش مصنوعی است که میتونه 271 آسیبپذیری در Firefox 150 پیدا کنه - اما مشکل اینجاست که این ابزار در دست هکرها میتونه به یک سلاح خطرناک تبدیل بشه. این ابزار فقط برای شرکتهای بزرگ مثل Apple در قالب پروژه Glasswing منتشر شده بود، اما یک گروه Discord از طریق یک vendor شخص ثالث بهش دسترسی پیدا کردن.
⚠️ چرا Mythos اینقدر خطرناکه؟
Mythos یک AI Agent امنیتی است که میتونه به صورت خودکار آسیبپذیریهای امنیتی رو پیدا کنه، exploit بنویسه و حتی حملات سایبری رو شبیهسازی کنه. در دست شرکتهای امنیتی، این ابزار برای تست نفوذ و تقویت امنیت استفاده میشه. اما در دست هکرها، میتونه برای پیدا کردن و سوءاستفاده از آسیبپذیریهای zero-day استفاده بشه. به زبان ساده: یه ربات هکر خودکار که میتونه هزاران برابر سریعتر از یک هکر انسانی کار کنه.
بر اساس گزارش Bloomberg، این گروه از طریق یک کارمند یک contractor شخص ثالث که برای Anthropic کار میکرد، به Mythos دسترسی پیدا کردن. آنها با استفاده از دانش خود درباره فرمت URL های Anthropic، حدس زدند که مدل کجا قرار داره و توانستند بهش دسترسی پیدا کنن. این گروه که در یک کانال Discord فعالیت میکنن، به دنبال دسترسی به مدلهای AI منتشر نشده هستن و ادعا میکنن که فقط برای "بازی با مدلهای جدید" این کار رو انجام دادن، نه برای خرابکاری.
Anthropic در بیانیهای اعلام کرد که در حال تحقیق درباره این گزارش است و تا الان هیچ مدرکی مبنی بر تأثیر این دسترسی غیرمجاز بر سیستمهای خودشون پیدا نکردن. اما کارشناسان امنیتی هشدار میدن که اگر این ابزار در دست هکرهای حرفهای بیفته، میتونه به یک تهدید جدی برای امنیت سایبری جهانی تبدیل بشه. CISA (آژانس امنیت سایبری آمریکا) اعلام کرده که هیچ دسترسی به Mythos نداره و نمیتونه امنیت این ابزار رو ارزیابی کنه.
🎯 چرا این خبر مهمه؟
- اولین بار یک ابزار AI امنیتی قدرتمند در دست هکرها قرار گرفته
- Mythos میتونه آسیبپذیریهای zero-day رو به صورت خودکار پیدا کنه
- این حادثه نشون میده که AI میتونه به یک سلاح سایبری تبدیل بشه
- شرکتهای امنیتی باید پروتکلهای دسترسی به ابزارهای AI رو بازنگری کنن
- CISA هیچ دسترسی به این ابزار نداره که یک مشکل امنیت ملی محسوب میشه
👁️ Meta شروع به ردیابی کامل کارمندان کرد: هر کلیک، هر حرکت، هر تایپ
در یکی از بزرگترین نقضهای حریم خصوصی کارمندان در تاریخ تکجاینتها، Meta نرمافزار جاسوسی MCI (Model Capability Initiative) رو روی کامپیوترهای کارمندان آمریکایی نصب کرد. این نرمافزار هر کلیک ماوس، هر حرکت، هر تایپ و حتی اسکرینشاتهای تصادفی رو ثبت میکنه. هدف Meta از این کار آموزش AI Agent ها برای انجام کارهای اداری است، اما این اقدام نگرانیهای جدی درباره حریم خصوصی کارمندان ایجاد کرده.
🔍 MCI چطور کار میکنه؟
نرمافزار MCI روی تمام برنامههای کاری و وبسایتها اجرا میشه و دادههای زیر رو جمعآوری میکنه: تمام حرکات ماوس و کلیکها، تمام کلیدهای تایپ شده (keystroke logging)، اسکرینشاتهای تصادفی از محتوای صفحه، نحوه استفاده از dropdown menu ها و keyboard shortcuts. این دادهها برای آموزش مدلهای AI استفاده میشه تا بتونن کارهای اداری رو به صورت خودکار انجام بدن.
Andrew Bosworth، CTO Meta، در یک memo داخلی اعلام کرد که این برنامه بخشی از ابتکار "Agent Transformation Accelerator" (ATA) است. هدف Meta ساختن دنیایی است که "AI Agent ها اصل کار رو انجام بدن و نقش ما فقط هدایت، بررسی و کمک به بهبود اونها باشه". به زبان ساده: Meta میخواد کارمندان رو با رباتها جایگزین کنه و برای این کار داره از خود کارمندان برای آموزش این رباتها استفاده میکنه.
کارمندان Meta در شبکههای اجتماعی و فرومهای داخلی اعتراض کردن و این اقدام رو "نقض حریم خصوصی" و "جاسوسی از کارمندان" خوندن. برخی کارشناسان حقوقی معتقدن که این نوع ردیابی ممکنه قوانین کار در برخی ایالتهای آمریکا رو نقض کنه. اما Meta اعلام کرده که این برنامه فقط روی کامپیوترهای کاری اجرا میشه و دادههای شخصی جمعآوری نمیشه.
⚖️ مسائل حقوقی و اخلاقی
- Keystroke logging در برخی ایالتها بدون رضایت صریح غیرقانونی است
- کارمندان نگران سوءاستفاده از دادههای جمعآوری شده هستن
- این اقدام میتونه به جایگزینی کارمندان با AI منجر بشه
- سایر شرکتهای تک ممکنه این روش رو کپی کنن
- اتحادیههای کارگری خواستار توقف این برنامه شدن
🎮 PlayStation UK: تأیید سن اجباری یا قطع آنلاین
Sony Interactive Entertainment اعلام کرد که از ژوئن 2026، تأیید سن اجباری برای تمام کاربران بالغ PSN در UK و Ireland اعمال میشه. بدون تکمیل این فرآیند، دسترسی به ویژگیهای کلیدی آنلاین مثل Voice Chat، Messaging، Party و Live Streaming قطع خواهد شد. این اقدام برای رعایت قانون Online Safety Act انگلیس انجام میشه، اما با مشکلات فنی و اعتراضات کاربران مواجه شده.
⚠️ چه ویژگیهایی قطع میشن؟
اگر تا ژوئن 2026 سن خودتون رو تأیید نکنید، دسترسی به این ویژگیها قطع میشه: Voice Chat در بازیهای آنلاین، Messaging و چت با دوستان، Party Chat (گروههای صوتی)، Live Streaming به Twitch/YouTube، برخی ویژگیهای اجتماعی third-party. توجه کنید که بازیهای آنلاین همچنان کار میکنن، فقط ارتباطات اجتماعی قطع میشه.
مشکل اصلی اینه که بسیاری از کاربران با خطاهای سرور و مشکلات فنی در فرآیند تأیید سن مواجه شدن. برخی کاربران گزارش دادن که حتی بعد از ارسال مدارک، سیستم اونها رو تأیید نکرده. Sony اعلام کرده که در حال رفع این مشکلات است، اما نگرانیهایی درباره حریم خصوصی و امنیت دادههای شخصی وجود داره. کاربران باید اطلاعات شناسایی مثل گذرنامه یا گواهینامه رانندگی رو آپلود کنن که این خودش یک ریسک امنیتی محسوب میشه.
🔐 نگرانیهای حریم خصوصی
- آپلود مدارک شناسایی رسمی (گذرنامه، گواهینامه) به سرورهای Sony
- نگهداری دادههای حساس شخصی در دیتابیسهای آنلاین
- ریسک نشت اطلاعات در صورت هک شدن سرورها
- عدم شفافیت درباره مدت زمان نگهداری این اطلاعات
- احتمال گسترش این سیاست به سایر کشورها
💰 Xbox Game Pass ارزون شد - اما Call of Duty رو از دست دادیم
Microsoft در یک حرکت غیرمنتظره، قیمت Xbox Game Pass Ultimate رو از $29.99 به $22.99 در ماه کاهش داد. PC Game Pass هم از $16.49 به $13.99 رسید. این کاهش قیمت فوری و برای تمام کاربران جدید و قدیمی اعمال شد. اما یک خبر بد هم هست: بازیهای جدید Call of Duty دیگه Day One در Game Pass عرضه نمیشن. به جاش، یک سال بعد از عرضه به سرویس اضافه میشن.
💵 جدول قیمتهای جدید
Asha Sharma، رئیس جدید بخش گیمینگ Microsoft که جایگزین Phil Spencer شده، در یک memo داخلی اعلام کرد که Game Pass "خیلی گرون شده" و باید "مقرون به صرفهتر" بشه. این کاهش قیمت 6 ماه بعد از افزایش 50 درصدی قیمت در اکتبر 2025 اتفاق افتاده. اما حذف Call of Duty از Day One یک ضربه بزرگ برای کاربران محسوب میشه.
📉 چرا Call of Duty حذف شد؟
فروش Black Ops 7 که در 2025 با Day One در Game Pass عرضه شد، بیش از 60% افت داشت. این بازی در آمریکا پنجمین بازی پرفروش سال 2025 بود - پایینترین رتبه یک بازی Call of Duty در 20 سال گذشته. درآمد Xbox از محتوا و سرویسها پایینتر از پیشبینیهای داخلی بود. Amy Hood، CFO Microsoft، اعلام کرد که یک "impairment charge" در بخش گیمینگ اعمال شده. به زبان ساده: Game Pass داشت فروش بازیهای premium رو نابود میکرد.
🏦 باجافزار Everest: دو بانک بزرگ آمریکا هک شدند
گروه باجافزار Everest دو بانک بزرگ آمریکا - Frost Bank و Citizens Bank - رو هک کرد و اطلاعات مالی حساس رو منتشر کرد. این گروه که از 2020 فعالیت داره و به روسیه مرتبطه، نمونههایی از دادههای سرقت شده رو در leak site خودش منتشر کرد و یک اولتیماتوم 6 روزه برای پرداخت باج داد. اگر بانکها باج رو پرداخت نکنن، تمام اطلاعات به صورت عمومی منتشر میشه.
Everest یک گروه باجافزار روسیزبان است که به جای رمزگذاری فایلها، روی سرقت داده و اخاذی تمرکز داره. این گروه از نوامبر 2021 فعالیت داره و ارتباطاتی با خانواده باجافزار BlackByte داره. Everest همچنین به عنوان Initial Access Broker فعالیت میکنه و دسترسی به شبکههای کامپرومایز شده رو به سایر گروههای هکری میفروشه. این گروه از اکتبر 2023 شروع به استخدام insider های شرکتی کرده که در ازای پول یا سهم از سود، به شبکههای داخلی دسترسی میدن.
🎯 اهداف Everest
Everest طیف گستردهای از صنایع رو هدف قرار میده: دولت، بهداشت و درمان، تولید، خدمات IT، زیرساختهای حیاتی، موسسات مالی. قربانیان تأیید شده در آمریکای شمالی، اروپا و آسیا وجود دارن. روشهای نفوذ اولیه شامل: سوءاستفاده از آسیبپذیریهای برنامههای عمومی، کمپینهای فیشینگ، سرقت اعتبارنامه برای سرویسهای دسترسی از راه دور.
🔓 آسیبپذیری خطرناک DNN: 750,000 وبسایت در خطر
یک آسیبپذیری خطرناک XSS (Cross-Site Scripting) در پلتفرم DNN (DotNetNuke) کشف شد که 750,000 وبسایت رو در معرض خطر قرار میده. DNN یکی از محبوبترین سیستمهای مدیریت محتوای (CMS) در اکوسیستم Microsoft است. این آسیبپذیری از طریق آپلود فایلهای SVG مخرب قابل سوءاستفاده است و میتونه منجر به Remote Code Execution (RCE) و کامپرومایز کامل سرور بشه.
این آسیبپذیری به عنوان CVE-2025-64094 ثبت شده و یک نسخه ناقص از پچ CVE-2025-48378 محسوب میشه. مشکل اینه که sanitization محتوای فایلهای SVG آپلود شده تمام سناریوهای XSS رو پوشش نمیده. هکرها میتونن کد JavaScript مخرب رو داخل فایل SVG جاسازی کنن و وقتی این فایل توسط کاربران دیگه مشاهده میشه، کد اجرا میشه. این میتونه منجر به سرقت توکنهای احراز هویت، دسترسی به پنل ادمین و در نهایت کامپرومایز کامل سرور بشه.
🛡️ راهکارهای امنیتی
- فوراً به نسخه DNN 10.1.1 یا بالاتر آپدیت کنید
- آپلود فایلهای SVG رو محدود یا غیرفعال کنید
- Content Security Policy (CSP) سختگیرانه پیادهسازی کنید
- تمام فایلهای آپلود شده رو اسکن امنیتی کنید
- دسترسی به پنل ادمین رو با IP whitelisting محدود کنید
❓ Anthropic Mythos چیست و چرا خطرناک است؟
Mythos یک ابزار امنیت سایبری مبتنی بر هوش مصنوعی است که توسط Anthropic ساخته شده و میتواند به صورت خودکار آسیبپذیریهای امنیتی را پیدا کند، exploit بنویسد و حملات سایبری را شبیهسازی کند. این ابزار میتواند 271 آسیبپذیری در Firefox 150 را شناسایی کند. خطر اصلی این است که در دست هکرها، Mythos میتواند برای پیدا کردن و سوءاستفاده از آسیبپذیریهای zero-day استفاده شود - مثل یک ربات هکر خودکار که هزاران برابر سریعتر از یک هکر انسانی کار میکند.
❓ Meta چه اطلاعاتی از کارمندان جمعآوری میکند؟
نرمافزار MCI (Model Capability Initiative) که Meta روی کامپیوترهای کارمندان آمریکایی نصب کرده، اطلاعات زیر را جمعآوری میکند: تمام حرکات ماوس و کلیکها، تمام کلیدهای تایپ شده (keystroke logging)، اسکرینشاتهای تصادفی از محتوای صفحه، نحوه استفاده از dropdown menu ها و keyboard shortcuts، و تعاملات با رابط کاربری. هدف Meta آموزش AI Agent ها برای انجام خودکار کارهای اداری است، اما این اقدام نگرانیهای جدی درباره حریم خصوصی کارمندان ایجاد کرده است.
❓ اگر در UK هستم و سن خودم را تأیید نکنم چه اتفاقی میافتد؟
اگر تا ژوئن 2026 سن خود را تأیید نکنید، دسترسی به ویژگیهای زیر قطع میشود: Voice Chat در بازیهای آنلاین، Messaging و چت با دوستان، Party Chat (گروههای صوتی)، Live Streaming به Twitch/YouTube، و برخی ویژگیهای اجتماعی third-party. توجه کنید که بازیهای آنلاین همچنان کار میکنند، فقط ارتباطات اجتماعی قطع میشود. برای تأیید سن، باید مدارک شناسایی رسمی مثل گذرنامه یا گواهینامه رانندگی را آپلود کنید.
❓ چرا Microsoft قیمت Game Pass را کاهش داد اما Call of Duty را حذف کرد؟
Microsoft قیمت Game Pass Ultimate را از $29.99 به $22.99 کاهش داد زیرا Asha Sharma (رئیس جدید بخش گیمینگ) اعلام کرد که سرویس "خیلی گرون شده". اما دلیل حذف Call of Duty از Day One این است که فروش Black Ops 7 بیش از 60% افت داشت و به پایینترین رتبه یک بازی Call of Duty در 20 سال گذشته رسید. Game Pass داشت فروش بازیهای premium را نابود میکرد، بنابراین Microsoft تصمیم گرفت بازیهای جدید Call of Duty را یک سال بعد از عرضه به سرویس اضافه کند.
❓ آسیبپذیری DNN چقدر خطرناک است و چگونه میتوان از آن محافظت کرد؟
آسیبپذیری DNN (CVE-2025-64094) بسیار خطرناک است زیرا 750,000 وبسایت را در معرض خطر قرار میدهد و میتواند منجر به Remote Code Execution (RCE) و کامپرومایز کامل سرور شود. هکرها میتوانند کد JavaScript مخرب را داخل فایلهای SVG جاسازی کنند. برای محافظت: فوراً به نسخه DNN 10.1.1 یا بالاتر آپدیت کنید، آپلود فایلهای SVG را محدود یا غیرفعال کنید، Content Security Policy (CSP) سختگیرانه پیادهسازی کنید، و دسترسی به پنل ادمین را با IP whitelisting محدود کنید.
🌟 جمعبندی شب: تکنولوژی بین نوآوری و تهدید
شب 22 آوریل 2026 یک شب پر از تضاد بود. از یک طرف، ابزارهای قدرتمند AI مثل Mythos که میتونن امنیت رو تقویت کنن، اما در دست هکرها به سلاح تبدیل میشن. از طرف دیگه، شرکتهایی مثل Meta که برای پیشرفت AI، حریم خصوصی کارمندان رو نقض میکنن. PlayStation که برای رعایت قوانین، میلیونها گیمر رو تحت فشار قرار میده. Xbox که برای کاهش قیمت، محبوبترین فرانچایز گیمینگ رو از سرویس خودش حذف میکنه.
این خبرها نشون میدن که دنیای تکنولوژی در یک نقطه عطف قرار داره. AI داره قدرتمندتر میشه، اما خطرات امنیتی هم داره افزایش پیدا میکنه. شرکتها برای رقابت، مجبورن تصمیمات سختی بگیرن که همیشه به نفع کاربران نیست. و ما به عنوان کاربران، باید هوشیارتر از همیشه باشیم.
تا شب بعد، امن بمونید، بهروز باشید و همیشه سوال کنید! 🚀
📚 منابع و مراجع
- TechCrunch - خبر هک Anthropic Mythos
- Bloomberg - گزارش دسترسی غیرمجاز به Mythos
- Cybernews - اخبار امنیت سایبری و Meta tracking
- Reuters - گزارش ردیابی کارمندان Meta
- The Verge - اخبار PlayStation و Xbox
- PureXbox - تحلیل Game Pass
💬 نظرتون درباره اخبار امشب چیه؟ در بخش کامنتها با ما به اشتراک بذارید!
🌐 با ما در تماس باشید
برای دریافت آخرین اخبار تکنولوژی، گیمینگ و گجتها، ما رو در شبکههای اجتماعی دنبال کنید:
گالری تصاویر تکمیلی: تکین نایت ۲۲ آوریل: هک ابزار امنیتی Anthropic و جاسوسی Meta از کارمندان 🌙
