♦️دادستان‌های فدرال آمریکا یک مهندس نرم‌افزار گوگل را به استفاده از اطلاعات محرمانه این شرکت برای کسب بیش از ۱.۲">۱.۲ میلیون دلار سود از طریق پلتفرم پیش‌بینی «پلی‌مارکت» متهم کردند.
بر اساس اسناد قضایی، «میکله اسپانیولو» ۳۶ ساله، شهروند ایتالیا و ساکن سوئیس، با دسترسی به داده‌های محرمانه گوگل درباره فهرست پرجست‌وجوترین افراد سال ۲۰۲۵، در بازارهای پیش‌بینی پلی‌مارکت شرط‌بندی کرده و از اطلاعاتی استفاده کرده که هنوز در اختیار عموم قرار نگرفته بود.
به گزارش ان‌بی‌سی، دادستانی منطقه جنوبی نیویورک اعلام کرد اسپانیولو با استفاده از اطلاعات داخلی گوگل درباره فهرست سالانه « مرور سال در جستجو» (Year in Search) در چندین بازار پیش‌بینی فعالیت کرده و از این طریق بیش از ۱.۲">۱.۲ میلیون دلار سود به دست آورده است.
یکی از مهم‌ترین شرط‌بندی‌های مورد اشاره در این پرونده به خواننده «دی‌فورد» (D4vd) مربوط می‌شود. در حالی که بسیاری از کاربران پلی‌مارکت احتمال کمی برای قرار گرفتن نام او در میان پرجست‌وجوترین افراد سال قائل بودند، اسپانیولو به داده‌های داخلی گوگل دسترسی داشت و بر اساس آن شرط‌بندی کرده بود.
وزارت دادگستری آمریکا او را به کلاهبرداری در معاملات کالا، کلاهبرداری اینترنتی و پول‌شویی متهم کرده است. همزمان کمیسیون معاملات آتی کالای آمریکا نیز شکایتی مدنی علیه وی مطرح کرده است.
گوگل اعلام کرده استفاده از اطلاعات محرمانه شرکت برای شرط‌بندی یا کسب منفعت شخصی نقض جدی سیاست‌های این شرکت محسوب می‌شود. پلی‌مارکت نیز گفته است پس از شناسایی فعالیت مشکوک این معامله‌گر، موضوع را به مقام‌های آمریکایی گزارش کرده و با تحقیقات همکاری کرده است.
این پرونده از نخستین مواردی است که مقام‌های آمریکایی استفاده از اطلاعات نهانی در بازارهای پیش‌بینی را تحت پیگرد قضایی قرار داده‌اند.
‌ Indypersian

🔵 عنوان مقاله
Creating a Playwright framework with AI

🟢 خلاصه مقاله:
در این مقاله، کالوم آکه‌هورست-ریان به تجربه‌اش در ساخت یک فریم‌ورک خودکارسازی تست‌های پایان به پایان با ابزار Playwright می‌پردازد. او درباره چگونگی استفاده از هوش مصنوعی، مخصوصاً مدل Claude Code، برای طراحی این فریم‌ورک توضیح می‌دهد و اینکه چگونه توانسته است پوشش گسترده‌ای از فرآیندهای حیاتی و اولویت‌دار را تضمین کند. یکی از نکات کلیدی در موفقیت این پروژه، حفظ نقش انسان در فرآیندهای تصمیم‌گیری و نظارت بر تست‌ها بود؛ چرا که این رویکرد باعث افزایش دقت، اطمینان و انعطاف‌پذیری سیستم شده است.

در واقع، ادغام هوش مصنوعی در فرآیند توسعه و به‌کارگیری آن در کنار تیم‌های انسانی، باعث شده است تا تست‌ها سریع‌تر و دقیق‌تر اجرا شوند و خطاهای احتمالی در مراحل اولیه شناسایی و رفع گردند. این ترکیب انسانی و فناوری، نه تنها باعث صرفه‌جویی در زمان و هزینه‌ها شده، بلکه استحکام و قابلیت اطمینان برنامه‌های نرم‌افزاری را نیز افزایش داده است.

در جمع‌بندی، این تجربه نشان می‌دهد که بهره‌گیری از هوش مصنوعی و حفظ حضور انسان در فرآیندهای کلیدی، راهکاری مؤثر برای توسعه و نگهداری سیستم‌های نرم‌افزاری مدرن است که می‌تواند به بهبود کیفیت و کارایی پروژه‌ها کمک شایانی کند.

#هوش_مصنوعی #فریم‌ورک_تست #پایت‌ورک #توسعه_نرم‌افزار

🟣لینک مقاله:
https://cur.at/7fHwl98?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
What Good Governance Actually Looks Like

🟢 خلاصه مقاله:
مدتی است که سایمن پرایر در زمینه نگارش مقالات تاثیرگذار فعالیت می‌کند و این مقاله جدید نیز از این روند مستثنی نیست. در این نوشته، او بر اصول پایه و عملی مدیریت هوشمندانه و کارآمد فناوری هوش مصنوعی تمرکز کرده است. اهمیت داشتن رهبری قوی و مستدل در حوزه‌ای که تکنولوژی‌های پیشرفته در حال شکل‌دادن به آینده هستند، بر کسی پوشیده نیست. پرایر معتقد است که موفقیت در مدیریت فناوری‌های نوین نیازمند چارچوب‌های مشخص و اصولی است که بتواند هم به توسعه فناوری کمک کند و هم از مسائل اخلاقی و اجتماعی جلوگیری نماید.

در این مقاله، نویسنده بر موارد کلیدی و عملیاتی تمرکز دارد که می‌تواند راهنمایی موثر برای مدیران و سیاست‌گذاران در حوزه هوش مصنوعی باشد. اصولی مانند شفافیت، پاسخگویی، عدالت و ایجاد اعتماد در تمامی مراحل توسعه و پیاده‌سازی فناوری، از جمله موضوعات اصلی مورد بحث هستند. پرایر تأکید می‌کند که داشتن چارچوب‌های منطقی و قابل اجرا، باعث می‌شود کسب‌وکارها و سازمان‌ها بتوانند به صورت مؤثر و مسئولانه فناوری را مدیریت کنند و از بروز خطرات احتمالی جلوگیری نمایند. در نهایت، او پیشنهاد می‌دهد که با رعایت این اصول، می‌توان به سمت حکمرانی خوب و سالم در عرصه فناوری‌های نوین حرکت کرد و آینده‌ای پایدار و عادلانه ساخت.

مدیریت صحیح و اصولی فناوری هوش مصنوعی، نیازمند درک عمیق و اجرای دقیق این اصول است تا بتوانیم از پتانسیل‌های این فناوری بهره‌مند شویم و در عین حال از مخاطرات آن جلوگیری کنیم. این مقاله راهنمایی ارزشمند برای هر فردی است که در این حوزه فعالیت می‌کند، و نشان می‌دهد که با رعایت اصول واضح و عملی، می‌توان به حکمرانی موفق و مؤثر دست یافت.

#حکمرانی_هوشمندانه #مدیریت_فناوری #شفافیت #مسئولیتپذیری

🟣لینک مقاله:
https://cur.at/FcuiqwQ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Caterpillar (GitHub Repo)

🟢 خلاصه مقاله:
کاترپیلار یک اسکنر امنیتی پیشرفته است که به طور مخصوص برای ارزیابی مهارت‌های هوش مصنوعی طراحی شده است. این ابزار قبل از اینکه کاربر اقدام به دانلود مهارت‌های مورد نظر خود کند، آن‌ها را مورد بررسی قرار می‌دهد تا هرگونه الگوی ناسالم یا ضدالگو در آن‌ها شناسایی شود. این فرآیند باعث می‌شود تا کاربران بتوانند از امنیت و سلامت مهارت‌های AI بهره‌مند شوند و از خطرات احتمالی جلوگیری کنند.

کاترپیلار با تحلیل دقیق و جامع، الگوهای منفی و vulnerabilities موجود در مهارت‌های AI را شناسایی می‌کند و به کاربران هشدار می‌دهد. این اقدام به توسعه‌دهندگان و کاربران کمک می‌کند تا ضمن حفظ امنیت سیستم‌های خود، مهارت‌هایی سالم و امن را انتخاب کنند. در نتیجه، این ابزار نقش مهمی در ارتقاء امنیت اکوسیستم هوش مصنوعی ایفا می‌کند و از بروز مشکلات امنیتی جدی جلوگیری می‌کند.

#امنیتAI #اسکنرهوشمند #امنیتسایبری #هوش مصنوعی

🟣لینک مقاله:
https://github.com/alice-dot-io/caterpillar?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Playwright Fixtures: Making Your Tests Clean, Smart & Scalable

🟢 خلاصه مقاله:
در دنیای تست‌های نرم‌افزاری، هر چه پروژه بزرگ‌تر و پیچیده‌تر می‌شود، مدیریت و نگهداری کدهای مربوط به مراحل اولیه آزمایش‌ها اهمیت بیشتری پیدا می‌کند. یکی از بهترین راهکارها برای بهبود کارایی و خوانایی در نوشتن تست‌های Playwright، استفاده از «فیکسچرها» است. فیکسچرها، نقش مهمی در جلوگیری از تکرار کدها دارند و به تیم توسعه کمک می‌کنند تا آزمایش‌ها را به صورت منسجم و قابل توسعه نگه دارند.

در مقاله‌ای که توسط آبارنا میشرا نوشته شده، او به تفصیل توضیح می‌دهد که چگونه می‌توان با استفاده از فیکسچرها و الگوی Page Object Model (مدل صفحه)، روند تنظیم و راه‌اندازی تست‌ها را ساده‌تر و به‌صرفه‌تر کرد. این روش‌ها، مخصوصاً در مواردی که نیاز است چندین آزمایش، عملیات ورود به سیستم یا دیگر مراحل مشترک را انجام دهند، بسیار مؤثر هستند. با بهره‌گیری از این استراتژی‌ها، می‌توانید از تکرار کدهای بی‌دلیل جلوگیری کنید و اسکریپت‌های خود را «هوشمندانه‌تر» و «قابل توسعه»تر سازید.

در نهایت، استفاده‌ از فیکسچرها در کنار POM، نه تنها روند نوشتن تست‌ها را سریع‌تر می‌کند، بلکه نگهداری و به‌روزرسانی آن‌ها را نیز ساده‌تر می‌سازد. این رویکرد، تضمین‌کننده اجرای پایدار و منظم آزمایش‌ها در پروژه‌های بزرگ است و توسعه‌دهندگان می‌توانند با اطمینان بیشتری به کیفیت نرم‌افزار خود اعتماد کنند.

#تست_نرم‌افزار #Playwright #فیکسچرها #توسعه_هوشمند

🟣لینک مقاله:
https://cur.at/65beIdV?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Wiz Security Flashcard: Securing AI Agents (Sponsor)

🟢 خلاصه مقاله:
در دنیای فناوری‌های نوین، هوش مصنوعی یکی از مهم‌ترین و پرطرفدارترین حوزه‌ها است که در بسیاری از بخش‌ها به کار گرفته می‌شود. یکی از مفاهیم کلیدی در این حوزه، "نمایه‌های امنیتی هوش مصنوعی" یا همان "Secure AI Agents" هستند. این نمایه‌ها نقش مهمی در تضمین امنیت و صحت عملکرد ربات‌ها و سیستم‌های مبتنی بر هوش مصنوعی ایفا می‌کنند. برای توسعه‌دهندگان و متخصصان امنیت، درک دقیق نحوه عملکرد این عوامل و چالش‌هایی که در مسیر حفاظت از آنها وجود دارد، امری ضروری است.

در این راهنما مختصر، خلاصه‌ای از مفهوم آژانس‌های هوش مصنوعی و روش‌های مقابله با خطرات و تهدیدات امنیتی آورده شده است. با مطالعه این محتوا، می‌توانید در کمترین زمان، نکات کلیدی پیرامون امنیت هوش مصنوعی و نحوه حفظ انسجام و جلوگیری از نفوذهای مخرب را فرا بگیرید. این منبع، ابزاری سریع و کارا است که به شما کمک می‌کند تا درک بهتری از چالش‌های امنیتی مرتبط با فناوری‌های هوش مصنوعی داشته باشید و راهکارهای موثری برای حفاظت از سیستم‌های خود اتخاذ کنید.

در نهایت، هدف از این کارت‌های فلاش، آگاهی‌بخشی سریع و کارآمد درباره امنیت در حوزه هوش مصنوعی است؛ ابزاری مناسب برای هر فردی که در این زمینه فعالیت دارد و می‌خواهد با دانش و تدابیر مناسب، از سیستم‌های خود در مقابل تهدیدات فضای مجازی محافظت کند.

#امنیت_هوش_مصنوعی #هوش_مصنوعی #حفاظت_سیستم #امنیتهای_دیجیتال

🟣لینک مقاله:
https://www.wiz.io/lp/securing-ai-agents-101?utm_source=tldr-infosec&utm_medium=paid-email&utm_campaign=FY26Q3_INB_FORM_Securing-AI-Agents-101&sfcid=701Py00000RTEWMIA5&utm_term=FY27Q1-tldr-infosec-quicklinks&utm_content=AI-Agents-101

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🧠 چرا موقع خوندن کد سردرگم می‌شیم؟
خیلی وقت‌ها وقتی کدی رو نمی‌فهمیم، فکر می‌کنیم مشکل از خودمونه

ولی معمولاً سردرگمی ما از ۳ دلیل مشخص میاد؛ و هر کدوم راه‌حل خودش رو داره

1) کمبود دانش
یعنی چیزی که جلوته رو اصولاً بلد نیستی
مثلاً:
سینتکس یک زبان برات ناآشناست
معنی یک عملگر یا تابع خاص رو نمی‌دونی
مفهوم بیزنسی یا اصطلاح پروژه رو نمی‌فهمی
این مشکل به حافظه بلندمدت مربوطه.
یعنی اون دانش هنوز توی ذهنت ذخیره نشده

✅ راه‌حل:
مطالعه‌ی مفهوم
دیدن مثال
مرور و تمرین

2) کمبود اطلاعات
اینجا مشکل این نیست که بلد نیستی
مشکل اینه که اطلاعات کامل همون‌جا جلوی چشمت نیست
مثلاً:
یک متد صدا زده شده ولی تعریفش توی فایل دیگه‌ست
مقدار یک متغیر جای دیگه تعیین می‌شه
بخشی از منطق توی کلاس یا ماژول دیگریه
این مشکل بیشتر به حافظه کوتاه‌مدت مربوطه
چون باید چند تکه اطلاعات رو موقت توی ذهنت نگه داری و به هم وصل کنی

✅ راه‌حل:
رفتن به تعریف توابع و متدها
پیدا کردن منبع متغیرها
جمع کردن تکه‌های مرتبط کد کنار هم

3) فشار پردازشی
اینجا هم دانشش رو داری، هم اطلاعاتش هست،
ولی کد از نظر ذهنی سنگینه
مثلاً:
چند حلقه و شرط تو در تو وجود داره
متغیرها مدام تغییر می‌کنن
باید اجرای کد رو مرحله‌به‌مرحله توی ذهنت شبیه‌سازی کنی
این مشکل به حافظه کاری مربوطه
یعنی همون بخشی از ذهن که توش تحلیل، دنبال کردن و حل مسئله انجام می‌دی

✅ راه‌حل:
کاغذ و قلم
نوشتن مقدار متغیرها
دیباگر
شکستن مسئله به بخش‌های کوچک‌تر

📌 یک نکته مهم
مغز ما همیشه دقیق عمل نمی‌کنه
خیلی وقت‌ها از روی عادت، چیزها رو حدس می‌زنه
مثلاً ممکنه در کد اشتباه تایپی وجود داشته باشه
ولی مغزت چون انتظار یک الگوی آشنا رو داره، همون چیزی رو ببینه که «فکر می‌کنه باید باشه»
این میان‌بُرها گاهی کمک می‌کنن سریع‌تر کد بخونیم
ولی گاهی هم باعث می‌شن باگ یا جزئیات مهم رو نبینیم

✅ جمع‌بندی
هر وقت کدی رو نفهمیدی، سریع خودت رو قضاوت نکن

اول مشخص کن مشکل از کدوم دسته‌ست:

چیزی رو بلد نیستم → باید یاد بگیرم
اطلاعات کافی ندارم → باید بگردم و جمعش کنم
ذهنم از پردازش کد خسته شده → باید مسئله رو سبک‌تر کنم

فرق برنامه‌نویس حرفه‌ای با بقیه این نیست که هیچ‌وقت سردرگم نمی‌شه؛
اینـه که می‌فهمه دقیقاً چرا سردرگم شده

#تجربه

🔵 عنوان مقاله
GTA-maker Rockstar Games hacked again but downplays impact (2 minute read)

🟢 خلاصه مقاله:
شرکت توسعه‌دهنده بازی‌های معروف، راک استار گیمز، بار دیگر با هکرها مواجه شده است. هکرهایی که خود را «ShinyHunters» می‌نامند اعلام کردند که توانسته‌اند به داده‌های این شرکت از طریق یک سرویس ابری شخص ثالث دسترسی پیدا کنند. این گروه تهدید کرده است که در صورت عدم پرداخت باج، اطلاعات حساس را فاش خواهند کرد.

در این خبر، راک استار گیمز اعلام کرده است که این حمله تأثیری بر فرآیندهای داخلی و داده‌های کاربران نداشته و در حال حاضر موضوع کنترل‌شده است. با وجود تهدیدهای هکرها، تیم امنیتی این شرکت در حال بررسی وضعیت است و اطمینان دادند که اقدامات لازم برای حفاظت از داده‌های کاربران انجام شده است. این اتفاق نشان می‌دهد که حتی شرکت‌های بزرگ و معتبر در عرصه فناوری و گیمینگ نیز در معرض حملات سایبری قرار دارند، اما مهم‌ترین نکته، نحوه واکنش سریع و ایمن در برابر این تهدیدات است.

در مجموع، این حمله مجدد نشان می‌دهد که امنیت سایبری در دنیای امروز اهمیت بیشتری پیدا کرده است و باید همواره با تهدیدهای جدید و پیچیده‌تر مقابله کرد. شرکت‌ها باید تدابیر لازم برای حفاظت داده‌ها و اطلاعات حساس را در اولویت قرار دهند تا از هرگونه ضرر مالی و اعتباری جلوگیری شود.

#امنیت_سایبری #راکستار_گیمز #حملات_هاکری #بازیهای_ویدئویی

🟣لینک مقاله:
https://www.bbc.com/news/articles/cx2dg5g1le7o?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Why F.I.R.S.T. Testing Still Wins After 20 Years

🟢 خلاصه مقاله:
در دنیای آزمایش‌های علمی و ارزیابی‌های کیفیت، اصول F.I.R.S.T. همچنان پس از گذشت بیش از بیست سال، جایگاه ویژه‌ای دارند. فرناندا نادفی‌تا در مقاله‌ای مجدد به اصول مهم این روش‌ها می‌پردازد و آن‌ها را مورد بررسی قرار می‌دهد. او با ارائه نمونه‌ها و مثال‌های عملی نشان می‌دهد چرا این استانداردها همچنان مورد اعتماد و کارآمد هستند و چگونه می‌توانند در پروژه‌های مختلف به کار گرفته شوند.

در تحلیل دوباره این اصول، نادفی‌تا تأکید می‌کند که فایرست بر پایه پنج ویژگی کلیدی استوار است: سریع بودن، مستقل بودن، تکرارپذیری، خودتأییدی و زمان‌بندی مناسب. این ویژگی‌ها باعث شده‌اند تا آزمایش‌ها نه تنها قابل اعتماد باشند بلکه در زمان مناسب و با هزینه کمتر، نتایج دقیقی ارائه دهند. او نشان می‌دهد که این اصول در بسیاری از پروژه‌های واقعی، چه در صنعت و چه در تحقیق، پاسخگو و مؤثر عمل کرده‌اند و همچنان مورد تایید قرار دارند.

در انتها، نادفی‌تا با مثال‌هایی زنده و ملموس، اثبات می‌کند که اصول F.I.R.S.T. نه فقط یک رویکرد نظری بلکه یک راهکار عملی است که می‌تواند کارایی و اعتمادپذیری در ارزیابی‌ها را به حداکثر برساند. این مقاله مجالی است برای تجدیدنظر در مفروضات پیشین و تأکید بر اهمیت حفظ و ارتقاء استانداردهای کیفیت در آزمایش‌ها.

#آزمایش #کیفیت #FIRST #مطالعات

🟣لینک مقاله:
https://cur.at/UonuHhJ?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Pentest of a 100% vibe-encoded app: complete security analysis of an AI-generated app (4 minute read)

🟢 خلاصه مقاله:
در یک آزمایش نفوذ جامع، یک برنامه تحت وب ساخته شده کامل با کدگذاری وایت-پای ۱۰۰٪ مورد بررسی قرار گرفت. این برنامه که با فناوری کریپتو و هوش مصنوعی ساخته شده بود، در حالت نیمه‌مخبری (gray-box) و با استفاده از اطلاعات کاربری عادی مورد آزمایش قرار گرفت. نتیجه‌گیری‌های اولیه نشان دادند که آسیب‌پذیری‌های جدی و سریع نمایان شدند؛ از جمله یک آسیب‌پذیری مسیر ناپایدار (LFI) که از طریق پارامتر unfiltered full_path، به فایل حساس /etc/passwd دسترسی پیدا کرد و درهای نفوذ از راه دور (RCE) را باز کرد.

در ادامه، یکی دیگر از مشکلات مهم، مربوط به پایگاه داده داخلی برنامه بود، که با سوءاستفاده از آسیب‌پذیری نوع IDOR در مسیر /employee/{guid}، امکان استخراج اطلاعات حساس کارمندان مانند ایمیل‌ها، نقش‌ها و هش‌های پسورد آن‌ها فراهم شد. این آسیب‌پذیری به‌راحتی و با برداشت شناسه‌های GUID از یک API عمومی لیست برترین‌ها قابل بهره‌برداری بود.

در قسمت فرانت‌اند، نرم‌افزار با نسخه Vite 5.4.10 اجرا می‌شد که آسیب‌پذیری‌های شناخته‌شده‌ای در آن وجود داشتند. کدهای تولیدشده توسط هوش مصنوعی، به دلیل نادیده گرفتن تایید ورودی و ضعف‌های امنیتی دیگر، علاوه بر ارائه امکانات، در معرض خطر قرار داشتند. در مجموع، این آزمایش نشان داد که فناوری‌های نوین و کدهای هوشمند نیازمند مراقبت‌های امنیتی ویژه و به‌روزرسانی‌های مداوم هستند تا از بروز آسیب‌پذیری‌های آسیب‌پذیر جلوگیری شود.

#امنیت_برنامه_وب #آسیب‌پذیری #نفوذگرایى #کدهای_هوشمند

🟣لینک مقاله:
https://www.hackmosphere.fr/en/pentest-of-a-100-vibe-encoded-app-complete-security-analysis-of-an-ai-generated-app/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Trusted Access for the Next Era of Cyber Defense (3 minute read)

🟢 خلاصه مقاله:
در دنیای امنیت سایبری رو به رشد امروز، دسترسی مطمئن و معتبر به سیستم‌ها و ابزارهای مختلف اهمیت حیاتی دارد. در این راستا، شرکت OpenAI برنامه «دسترسی مطمئن برای عصر بعدی دفاع سایبری» خود را گسترش داده است تا هزاران نفر از مدافعان معتبر و فعال در حوزه امنیت سایبری بتوانند به طور مؤثر از این فناوری بهره‌مند شوند. هدف این برنامه تقویت توانایی‌ها و سرعت واکنش در مقابل حملات سایبری است، به گونه‌ای که تیم‌های امنیتی بتوانند بهتر و سریع‌تر به تهدیدها پاسخ دهند و از زیرساخت‌های خود محافظت کنند.

در ادامه، این شرکت از معرفی GPT‑5.4‑Cyber خبر داده است؛ مدلی پیشرفته و مجاز که به طور خاص برای وظایف دفاعی طراحی شده است. این مدل توانمندی‌های خاصی دارد، مانند مهارت در تحلیل و مهندسی معکوس فایل‌های باینری، که اغلب در شناسایی و نابودی بدافزارها و تهدیدات سایبری کاربرد دارد. با افزوده شدن این فناوری‌های نوین، تیم‌های امنیتی قادر خواهند بود دفاع‌های قوی‌تر و هوشمندانه‌تری را پیاده‌سازی کنند، و به مقابله با چالش‌های امنیتی پیچیده‌تر بپردازند.

این تحولات نشان می‌دهد که آینده امنیت سایبری با تکنولوژی‌های هوشمند و دسترسی‌های مطمئن، بسیار مطمئن‌تر و کارآمدتر خواهد شد. شرکت OpenAI همچنان در مسیر توسعه ابزارها و فناوری‌هایی است که نه تنها امنیت را ارتقاء می‌دهند، بلکه فرآیندهای مقابله با تهدیدات سایبری را سرعت می‌بخشند و ظرفیت دفاعی سازمان‌ها را افزایش می‌دهند.

#امنیت_سایبری #هوشمصنوعی #مدیریت_تهدیدات #فناوری_پیشرفته

🟣لینک مقاله:
https://openai.com/index/scaling-trusted-access-for-cyber-defense/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
The Waterfall Strikes Back

🟢 خلاصه مقاله:
در حین بررسی یک الگوی جالب، Patrick Prill توجه‌اش را به نکته‌ای مهم جلب کرد. او متوجه شد که توسعه بر اساس مشخصات نمونه‌محور (Spec-Driven Development) از توسعه‌دهندگان می‌خواهد که ابتدا مشخصات کاملی و بی‌نقص تهیه کنند. این رویه، در واقع همان روشی است که در دوران آبشاری (Waterfall) به آن اعتراف می‌کردیم و آن را اشتباه می‌دانستیم؛ زمانی که فرآیند توسعه به صورت مرحله‌ای و خطی بود و تیم‌ها در هر مرحله منتظر پایان کار قبل برای شروع مرحله بعد می‌ماندند. پیش از ظهور روش‌های چابک (Agile)، این رویکرد به عنوان استاندارد معمول در صنعت تلقی می‌شد، اما اکنون مشخص است که این روش در بسیاری موارد ناکارآمد است و منجر به محصول نهایی ناقص یا نیازهای تغییرپذیر بازار ناپایدار می‌شود.

در واقع، بازگشت به این الگو نشان‌دهنده این است که پس از گذر از دوره‌ای انتقادی، دوباره در مسیر اشتباه حرکت می‌کنیم. این نکته برای تیم‌های توسعه اهمیت دارد که بدانند نیاز نیست هر چیزی را در ابتدا به صورت کامل مشخص و برنامه‌ریزی کنند، بلکه باید فرآیند را انعطاف‌پذیر و مبتنی بر تغییرات و بازخوردهای بی‌وقفه نگه دارند. این رویکرد، همان چیزی است که Agile آن را ترویج می‌کند و نشان می‌دهد که در عمل، انتظار داشتن مشخصات کامل از اول، اغلب منجر به عدم انطباق با نیازهای واقعی و بازار می‌شود.

#توسعه_نرم‌افزار #آبشار #چابک #مدیریت_پروژه

🟣لینک مقاله:
https://cur.at/2iupJ7N?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
3 Design Principles for Creating Agent Skills

🟢 خلاصه مقاله:
در دنیای امروز، مهارت‌ها به عنوان یک روش استاندارد برای ارائه زمینه و دستورالعمل به ربات‌های هوشمند یا همان عوامل مصنوعی تبدیل شده‌اند. این مهارت‌ها نقش مهمی در تعیین وظایف و نحوه‌ی عملکرد عوامل دارند و به توسعه‌دهندگان کمک می‌کنند تا سیستم‌های هوشمند بهتر و کارآمدتری بسازند. اما سوال مهم این است که چه طور باید این مهارت‌ها را به درستی طراحی و پیاده‌سازی کرد؟

در این راستا، آنجی جونز چند اصل کلیدی و راهنمایی ارزشمند را برای طراحی مهارت‌های موثر برای عوامل هوشمند ارائه می‌دهد. او بر اهمیت ساختاردهی مناسب، وضوح در دستورالعمل‌ها و قابلیت تعمیم مهارت‌ها تاکید دارد، زیرا این موارد می‌توانند تأثیر قابل توجهی بر عملکرد نهایی سیستم‌های هوشمند داشته باشند. با رعایت این اصول، توسعه‌دهندگان می‌توانند مهارت‌هایی بسازند که نه تنها کارآمد و دقیق باشند، بلکه به راحتی قابل توسعه و اصلاح نیز باشند.

در پایان، تمرکز بر طراحی اصولی و کاربرپسند برای مهارت‌های عامل‌های هوشمند، نقش بسزایی در بهبود تجربه کاربری و افزایش بهره‌وری سیستم‌ها دارد. این نکات ساده اما مهم، مسیر را برای ساخت سامانه‌های هوشمند قوی‌تر و انعطاف‌پذیرتر هموار می‌کنند که پاسخگوی نیازهای متنوع و دقیق کاربران باشند.

#هوش_مصنوعی #طراحی_مهارت #توسعه_عوامل #هوشمندسازی

🟣لینک مقاله:
https://cur.at/Q2S7xBk?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon

عزیزانی که تازه دارید git یاد می‌گیرین ، این وب‌سایت به صورت interactive و گرافیکی بهتون مفاهیم branching رو یاد میده

https://learngitbranching.js.org/

🔵 عنوان مقاله
Jones Day Confirms Limited Breach After Phishing Attack by Silent Ransom Group (2 minute read)

🟢 خلاصه مقاله:
شرکت حقوقی جونز دی که یکی از بزرگ‌ترین و معتبرترین موسسات حقوقی در آمریکا به شمار می‌آید، اخیراً اطلاع داد که در نتیجه یک حمله سایبری محدود، داده‌های مربوط به ده مشتری این شرکت به خطر افتاده است. در این حمله، گروهی تحت عنوان "Silent Ransom Group" مسئولیت این نفوذ را بر عهده گرفت و تصاویری از گفتگوهای احتمالی میان این گروه و مسئولان جونز دی منتشر کرد. در پیام‌های این گروه، ادعا شده است که توانسته‌اند به سرپرست تیم مسئول پرونده‌های شرکت در دادگاه استیناف فدرال، دست یابند و اطلاعات این شخص را به سرقت ببرند.

این افشاگری نشان دهنده سطح پیچیدگی و خطرات حملات سایبری علیه نهادهای حقوقی است، که ممکن است منجر به نشت اطلاعات حساس و نقض حریم خصوصی موکلان و کارمندان شود. با وجود اینکه این نفوذ محدود اعلام شده است، اما نشان‌دهنده نیاز شدید به تدابیر امنیت سایبری قوی‌تر در مؤسسات بزرگ است تا از چنین خطراتی جلوگیری شود و از داده‌های مهم محافظت گردد.

در نهایت، این حادثه هشدار مهمی برای تمامی سازمان‌ها و شرکت‌ها است که باید به‌روزترین روش‌های امنیتی را در برابر حملات سایبری اتخاذ کنند، چرا که حتی پس از اقدامات حفاظتی، تهدیدهای سایبری همچنان ادامه دارد و نیازمند واکنش سریع و مؤثر است.

#امنیت_سایبری #حمله_سایبری #نفوذ_شبه_نظامی #داده_های_حساس

🟣لینک مقاله:
https://databreaches.net/2026/04/06/jones-day-confirms-limited-breach-after-phishing-attack-by-silent-ransom-group/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
How Bitwarden Encrypts and Decrypts Secrets (12 minute read)

🟢 خلاصه مقاله:
در دنیای امنیت دیجیتال، حفاظت از اطلاعات حساس کاربران بسیار حیاتی است. در این راستا، برنامه‌هایی مانند Bitwarden با بهره‌گیری از فناوری‌های پیشرفته، فرآیند رمزگذاری و رمزگشایی اطلاعات مخفی را به شکل ایمن و مؤثری مدیریت می‌کنند. در این مقاله، به بررسی نحوه رمزگذاری و رمزگشایی اسرار در Bitwarden خواهیم پرداخت و با جزئیات فنی آن آشنا می‌شویم.

در ابتدا، باید بدانیم که چگونه ساختار رمزگذاری در این سیستم طراحی شده است. بر اساس تحلیل‌هایی که توسط گرینبرگ انجام شده، قالب رمزگذاری به صورت ۲.{iv}|{ciphertext}|{mac} است. در این قالب، مقدار ciphertext از الگوریتم AES-256-CBC با پدینگ PKCS#7 بهره می‌برد و مقدار MAC نیز بر پایه HMAC-SHA256 است که بر روی iv و متن رمزگذاری شده محاسبه می‌شود. این ساختار تضمین می‌کند که داده‌ها هم در حین انتقال و هم در ذخیره‌سازی، از امنیت بالا برخوردار باشند.

در ادامه، باید اشاره کنیم که کلید اصلی یا master key، ۶۴ بایت است و به دو بخش ۳۲بایتی تقسیم می‌شود: یکی کلید AES برای رمزگذاری و دیگری کلید MAC برای امضاء و تأیید صحت داده‌ها. این کلید اصلی زیرمجموعه‌ای از کلیدهای رمزگذاری و امضاهای جداگانه است که امنیت داده‌ها را چندبرابر می‌کند. همچنین، کلید رمزگذاری اصلی از طریق فرآیندی به نام PBKDF2-HMAC-SHA256 تولید می‌شود، که بر روی عبارت عبور کاربران و با پسوند ایمیل انجام می‌پذیرد و ۶۰۰ هزار تکرار دارد. این فرآیند، مقاومت بالا در برابر حملات مبتنی بر حدس زدن کلمه عبور را فراهم می‌کند و سپس این کلید هش شده، به کلیدهای فرعی برای رمزگذاری و MAC تقسیم می‌شود.

در پایان باید گفت که تمامی این عملیات‌ها در کنار استانداردهای رمزنگاری پیشرفته، موجب شده است که اطلاعات کاربران در سرویس‌هایی مانند Bitwarden، تا حد زیادی در برابر دستکاری و نفوذ محافظت شده باقی بماند. این تکنولوژی‌ها با هم، امنیت و سلامت داده‌های حساس را تضمین می‌کنند و اعتماد کاربران را نسبت به این نوع سامانه‌ها افزایش می‌دهند.

#امنیت_اطلاعات #رمزگذاری #Bitwarden #فناوری_امنیت

🟣لینک مقاله:
https://blog.miguelgrinberg.com/post/how-bitwarden-encrypts-and-decrypts-secrets?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🛡️ مراقب اکانت‌هات تو شبکه های اجتماعی باش!

🔻 روزبه‌روز هک و سرقت اکانت‌ها بیشتر می‌شه. اگر نمی‌خوای حساب‌هات به خطر بیفتن، چندتا نکته رو رعایت کن. اینجا برات یه راهنمای کامل آوردم که باهاش امنیتتو ببری بالا!

1️⃣ ساخت حساب درست و اصولی

⬅️ ایمیل مستعار بساز! یه ایمیل موقت یا مستعار که برای همه جا از همون اصلیه استفاده نکنی. این کار امنیتتو خیلی بیشتر می‌کنه. چندتا سرویس خوب براش:

◽️ SimpleLogin
◽️ Addy

2️⃣ از پسورد های قوی و اصولی استفاده کن

⬅️ پسورد قوی و یونیک استفاده کن! هر جا یه رمز تکراری نذار. از یه مدیر رمز عبور کمک بگیر که هم رمز بسازه، هم برات ذخیره کنه. مثلا:

◽️ Proton Pass
◽️ Bitwarden

یکی یه پروژه اُپن سورس ساخته که cookieهای مرورگرتون رو با openclaw و hermes سینک میکنه!

دلیلی که واسم جالبه (خصوصا از نظر امنیتی) اینه که Tailscale استفاده کرده، اینجوری که بین دستگاهتون و tailnet یه کانکشن مستقیم encrypt شده درست میکنه که دیتاتون از نتورک شخصی خارج نشه!

علاوه بر cookie میتونید توکن‌های CLI و API key هاتون رو هم باهاش sync کنید!

https://agentcookie.dev/

🔵 عنوان مقاله
A Route to Root in a 4G Industrial Router (8 minute read)

🟢 خلاصه مقاله:
در تحقیقات امنیتی، همکار من در شرکت Tanto Security، سام سی، موفق به بازطراحی و بررسی مجدد روتر صنعتی 4G LTE مدل USR-G806AU شد. این دستگاه در فرم‌ورهای ورژن ۱.۰.۴۱ و ۲.۰.۱۳ مورد بررسی قرار گرفت. در حین بررسی، یک حساب کاربری غیرمجاز و ناشناس با شناسه کاربری usr و نام‌کاربری مخفی کشف شد که در فایل کمک‌کاربری /bin/usr_root قرار داشت. این حساب، که بدون اطلاع و ثبت‌شده در مستندات دستگاه است، رمز عبور خودش را از طریق فرآیندی خاص می‌گرفت.

این فرآیند رمزگذاری، شامل افزودن مقدار ۰x۶۱ (معادل ۹ میا) به هر کاراکتر در یک بلوک ۱۴ بایتی، و سپس انتقال آن به برنامه سو (su) برای اجرای دستورات با حساب usr بود. در نتیجه، با این رویکرد، کاربر می‌توانست بدون نیاز به گذرواژه، دسترسی ریشه (root) را کسب کند. این آسیب‌پذیری، که با شناسه CVE-2024-42682 ثبت شده است، امکان اجرای دستورات مخرب و کنترل کامل دستگاه را به مهاجم می‌دهد.

علاوه بر این، سازندگان این باینری، لیست مجاز دستورات (command allowlist) را به گونه‌ای پیکربندی کرده بودند که با بهره‌گیری از عملیات‌هایی مانند $(...) و جایگذاری دستوری با بک‌تیک (`...`) بتوانند ارتقاء سطح دسترسی و اجرای دستورات دلخواه در سیستم محلی انجام دهند. این آسیب‌پذیری‌ها سبب می‌شوند کنترل کامل بر دستگاه‌های مبتنی بر این روترهای صنعتی به سادگی توسط مهاجمین امکان‌پذیر باشد، که این موضوع اهمیت زیادی در تأمین امنیت شبکه‌های صنعتی دارد.

دستگاه‌های صنعتی مانند این روتر، اگرچه در ظاهر امن به نظر می‌رسند، اما ضعف‌هایی مانند این می‌توانند منجر به نفوذهای مخرب و آسیب‌های جدی به زیرساخت‌ها و تجهیزات حساس شوند. لذا، شناسایی و اصلاح چنین آسیب‌پذیری‌هایی برای تضمین امنیت سیستم‌های صنعتی ضروری است.

#امنیت_سایبری #آسیب_پذیری #روترصنعتی #حفاظت_شبکه

🟣لینک مقاله:
https://tantosec.com/blog/2026/04/route-to-root-in-4g-industrial-router/?utm_source=tldrinfosec

➖➖➖➖➖➖➖➖
👑 @software_Labdon

🔵 عنوان مقاله
Your Cypress Tests Are Slower Than You Think

🟢 خلاصه مقاله:
تست‌های Cypress شما نسبت به آنچه تصور می‌کنید، کندتر شده‌اند. در مقاله‌ای از دیوید اینگریام، علت اصلی کاهش سرعت مجموعه‌های تست Cypress بررسی می‌شود. او توضیح می‌دهد که چرا با گذشت زمان، اجرای تست‌ها به آرامی و در مواردی بسیار طولانی‌تر می‌شود و این مشکل می‌تواند توسعه‌دهندگان را دچار سردرگمی کند. اما نکات مهمی را نیز ارائه می‌دهد که با رعایت آن‌ها می‌توانید بازخورد سریع‌تر و مؤثرتری داشته باشید و فرآیند توسعه را روان‌تر کنید. این توصیه‌ها و اصلاحات ساده، به تیم شما کمک می‌کند تا مجدد سرعت و کارایی تست‌ها را بازیابی کند و در نتیجه، مسیر توسعه نرم‌افزار سریع‌تر و بدون مشکل پیش برود.

تست‌های Cypress یکی از ابزارهای محبوب برای اتوماسیون تست‌های فرانت‌اند و اطمینان از صحت عملکرد برنامه‌های وب هستند. با این‌حال، برخی مشکلات معمول مانند افت سرعت تدریجی، می‌تواند روند توسعه و عیب‌یابی را مختل کند. در اینجا، با بررسی دلایل اصلی کاهش سرعت، راهکارهایی عملی برای بهبود عملکرد ارائه می‌شود تا تیم‌های توسعه بتوانند مجدد از این ابزار قدرتمند بهره‌مند شوند و زمان صرف شده برای اجرای تست‌ها را به حداقل برسانند.

#تست_برنامه_نویسی #Cypress #بهبود_عملکرد #توسعه_نرم‌افزار

🟣لینک مقاله:
https://cur.at/K0rmSsX?m=web

➖➖➖➖➖➖➖➖
👑 @software_Labdon