بحث AI کلا برای مردم جذابه و اینکه خیلی این حرف جدیدا هست که قراره بیاد توی همه‌چی دخالت کنه و اینا.
توی CTFها اخیرا سوالات مربوط به AI دیده میشد کمابیش. از اینا که یک مدل رو jailbreak کنیم یا که یه سری کارا با transformer توی pytorch و اینجور چیزا بود. (چون خیلی نمی‌دونم چیه و چیزی هم حل نکردم خیلی detail هم نمیدم)


حالا این اواخر این دست سوالای AI زیاد شده توی CTFها. (و خب این خیلی جالبه که توی مسابقات امنیتی هم اینقدر نفوذ کرده) ولی امروز یک چیز خیلی جالب باهاش برخوردم که برام خیلی عجیب بود. بنظر امروز یک CTFای داره برگزار میشه به اسم
Singapore AI CTF
که بنظر وابسته هم هست به government خود سنگاپور و لیترالی از اون سمت داره برگزار میشه. سوالاتشم در حوزه‌های:
1) Data Analysis
2) Model Extraction
3) Model Fingerprinting
4) Prompt Injection
5) Adversarial AI Image
6) Adversarial Audio Generation
7) Model Inversion
هست.

جایزه‌هاشم خیلی گندس حتی. به طوری که به تیم اول حدود ۷۵۰۰ دلار امریکا میده (۱۰هزارتا دلار خود سنگاپور)

خلاصه که بنظر دیگه لیترالی AI داره همه‌جا نفوذ میکنه.

یه چیز دیگم که هست اینه که خیلی جدی داره پیشرفت می‌کنه دیگه AI و مخصوصا این generative aiها و LLMها. من مثلا از پارسال همین موقع‌ها که شروع کردم خیلی جدی CTF پلی میدادم، برای حل سوالا (مخصوصا pwn که کار با سی و اسمبلی هست بیشتر) می‌رفتم سراغ chat gpt، اصلا نمی‌تونست کمک کنه. یعنی حالا اگه کد c می‌دید تا یه حدی می‌تونست بگه که آسیب‌پذیری فلان جاست ولی دیگه exploit نمی‌تونست بکنه. یا اگر می‌کرد هم کدش کامل غلط بود و باید edit میزدی کامل روش. حالا دیگه اسمبلی که بهش میدادی می‌مرد کلا دیگه.

به همین جهت دیگه من سمتش نمی‌رفتم اصلا برای حل سوال چون می‌دونستم کمکی نمی‌کنه. ولی این مدل 4o که اومد من هفته‌ی پیش یکم بار ور رفتم و یه سری سوال دادم بهش و خیلی راحت حل کرد. یعنی ایده‌ی تک تک سوالا رو درست می‌گفت. exploitش هم ۸۰ درصد درست بود. یعنی نهایتا باید یه سری آدرس رو خودت در میوردی و جایگزین می‌کردی.

یه چیز جالب‌تر اینکه دیگه اسمبلی هم خیلی خوب میفهمه و تحلیل می‌کنه. من مثلا هفته‌ی پیش یه CTF بود که ۳ تا سوال 100امتیازی داشت (سوالا آسون بودن و زیاد حل شده بودن) دادم به chat gpt و همه‌شون رو حل کرد. به طوری که حتی نیاز نبود چیزی از کدش رو تغییر بدم حتی. البته بهش ۳تا سوال pwn دادم که ۲تاش سخت بود و یکیش همون ۱۰۰ امتیازی بود ولی خب فقط هم همون ۱۰۰ امتیازی رو حل کرد و دوتای دیگه رو نتونست. ولی خب اینکه دیگه نسبت به پارسال اینقدر پیشرفت داشته خیلی جالبه و احتمالا دور از انتظار نیست که باقی سوالات رو هم حل کنه.

حالا این بحث longterm خودش چیز جالبیه دیگه. چون عملا ctfها یک سری سوالات مشت نمونه‌ی خروار real worldن. یعنی همچین آسیب‌پذیری‌هایی واقعا در کدهای open source وجود داره و exploit شدن این پروژه‌ها. پس حالا وقتی که یه مدل ai اینقدر راحت می‌تونه حل کنه و exploit کنه، احتمالا دیگه تنش زیادی هم خواهد بود که دنیا بره به سمتی که کلا سعی کنن توی ریسرچ‌های سمت امنیت، با استفاده از ai شروع کنن به exploit کردن.

من پارسال روی یه موضوعی ریسرچ می‌کردم که دقیقا دنبال همین بود که با استفاده از llmها و gnnها بیاد سعی کنه گراف‌های کدها رو بسازه و سعی کنه توی اون‌ها یک سری آنومالی پیدا کنه که exploit کنه. و خب این مقالات یهو خیلی سریع اومدن و خیلی دیس بزرگی هم دادن به بقیه کارها. مثلا تقریبا ۲۰ ساله داره روی این کار میشه که بیان کدها رو به صورت automate شده exploit کنن و سیر عظیمی از مقالات بوده که چجوری pattern پیدا کنیم. چجوری graph کنیم. چجوری حالا این graph رو سعی کنیم توش اسیب‌پذیری پیدا کنیم. چجوری این رو فیکس کنیم حالا. چجوری گراف فیکس شده رو بیاییم مجدد کد کنیم. و هر کدوم از اینا خودش جدا جدا حوزه‌های ریسرچ هست سمت امنیت و هر کدومش مقاله‌های گنده‌ای داره و بعدش مثلا یه مقاله اومد که با استفاده از gnn تمام این کارا رو می‌کرد. گراف می‌کرد، آنومالی پیدا می‌کرد، exploit می‌کرد و فیکس می‌کرد و مجدد کد می‌کرد.

حالا کلا ریسرچ تو سیستم که همینه. سخت و اذیت کننده و بعضا همین شکلی که یهو یه چی میاد کل مسئله‌ت رو یه جا حل می‌کنه.

ولی یادمه یه زمانی آقای خوشه‌چین توی چنلش می‌نوشت که چجوری اگر با استفاده از این مطالب تئوری trust و verification اینا جلو بریم و کد بزنیم، باعث میشه خطا نخوریم و یا کلا فیکس بشن این مشکلات. بنظرم الان دیگه بیشتر میره سمت اینکه ملت سعی کنن با ai کد بزنن که خطاهای انسانی نداشته باشن، یا که برن سراغ اینکه از verification این‌ها استفاده کنن.

توی یه ایمیج داکریم که root هم نیست. apt (یا حالا هر پکیج منیجری) بزنیم کار نمیکنه. پس نه می‌تونیم چیزی نصب کنیم نه هیچی کلا.
نیاز دارم که netstat بزنم و ندارمش و نصب هم نمی‌تونم بکنم. ss هم ندارم.
این کارم رو حل کرد:
https://staaldraad.github.io/2017/12/20/netstat-without-netstat/

به زودی می‌خوایم راجع‌به این مسئله صحبت کنم که:
از کجا بفهمیم ریسورسی که دستمونه واقعیه؟

مثلا ما میریم یه vps می‌گیریم ۲ کور و ۲ گیگ. چجوری واقعا تست کنیم که آیا ما داریم واقعا از ۲ کور استفاده می‌کنیم یا نه. یا حالا نه صرفا vps. مثلا یه کانتینر. یه پاد کوبر. هرچی. درواقع نمی‌خوایم top بزنیم که مانیتور کنیم. می‌خوایم ببینیم واقعا چقدر از فرکانس cpu رو داریم.

حالا که دل تنگی داره رفیق تنهایم میشه
کوچه ها نارفبق شدن
حالا  که هی میخوان شب و روز به همدیگه دروغ بگن
ساعت‌ها هم دقیق شدن

🌟DutchmanMusic

تراپیستم بهم گفت مشکل از ایران و ایرانی نیست، مشکل از خودته.
‏مبارک همه‌تون.

این شاید خودش امیدی باشه که ایران قراره درست شه.

بنظر شعر:
بسوزد زندان سوخت جگرم
دوست دخترم مادر شد و من هنوز پسرم

یک غزل واقعی هست که استاد شهریار سرودن.

افسانه‌ها حاکی از آن است که استاد شهریار مثکه روز ۱۳ فروردین میره بیرون (باغی جایی) و اونجا عشق دیرینه‌ش رو میبینه که اون هم اتفاقا اونجاست و میبینه که ازدواج کرده و بچه‌دار هم شده و به همین دلیل هست که اصلا بیت ۸ ام رو میگه که من آن سیزدهم کز همه عالم به درم.

منبع:
مجیبی.

باشه پس.

کاش زندگیم برمی‌گشت به همون جایی که دغدغه‌م پاس کردن تستای mlfqsهای PintOs بود.

اینو امروز سعی می‌کنم یه تست واسش بنویسم. حدودا این شکلیه که من توقع دارم در ۱ ثانیه بتونم بین ۱ تا ۲ میلیارد دستور‌ اجرا کنم.

بنده و دوستانم ( از کف تهران تا کف تورنتو) هر رستورانی بریم غذاش جالب باشه اینجا شاره می‌کنیم. دوست داشتید عضو شید.

https://t.iss.one/sooski_review

دوستان اپل واچ خریدم