علاوه بر هک Resolv، این نوع آسیب‌پذیری DeFi چهار بار دیگر نیز رخ داده است

X Chat این جمعه برای دانلود در اپ استور در دسترس خواهد بود. رسانه‌ها پیش از این فهرست ویژگی‌ها، از جمله پیام‌های خود-تخریب‌شونده، جلوگیری از اسکرین‌شات، چت‌های گروهی ۴۸۱ نفره، ادغام Grok و ثبت‌نام بدون شماره تلفن را پوشش داده‌اند و آن را به عنوان «وی‌چت غربی» معرفی کرده‌اند. با این حال، سه سوال وجود دارد که به ندرت در هیچ گزارشی به آنها پرداخته شده است.

جمله‌ای در صفحه راهنمای رسمی X وجود دارد که هنوز آنجا آویزان است: «اگر افراد داخلی مخرب یا خود X باعث شوند مکالمات رمزگذاری شده از طریق فرآیندهای قانونی افشا شوند، هم فرستنده و هم گیرنده کاملاً بی‌اطلاع خواهند بود.»

خیر. تفاوت در محل ذخیره کلیدها نهفته است.

در رمزگذاری سرتاسری سیگنال، کلیدها هرگز دستگاه شما را ترک نمی‌کنند. X، دادگاه یا هیچ شخص ثالثی کلیدهای شما را در اختیار ندارد. سرورهای سیگنال هیچ ابزاری برای رمزگشایی پیام‌های شما ندارند؛ حتی اگر به آنها احضاریه هم ارسال شده باشد، همانطور که سوابق احضاریه‌های قبلی نشان می‌دهد، آنها فقط می‌توانند مهرهای زمانی ثبت نام و زمان آخرین اتصال را ارائه دهند.

ایکس چت از پروتکل Juicebox استفاده می‌کند. این راه‌حل، کلید را به سه بخش تقسیم می‌کند که هر کدام روی سه سرور که توسط X اداره می‌شوند، ذخیره می‌شوند. هنگام بازیابی کلید با یک کد پین، سیستم این سه بخش را از سرورهای X بازیابی کرده و آنها را دوباره ترکیب می‌کند. مهم نیست که کد پین چقدر پیچیده باشد، X متولی واقعی کلید است، نه کاربر.

این پیشینه فنی «جمله صفحه راهنما» است: از آنجا که کلید روی سرورهای X است، X این قابلیت را دارد که بدون اطلاع کاربر به فرآیندهای قانونی پاسخ دهد. سیگنال این قابلیت را ندارد، نه به دلیل سیاست، بلکه به این دلیل که کلید را ندارد.

تصویر زیر سازوکارهای امنیتی سیگنال، واتس‌اپ، تلگرام و ایکس چت را در شش بُعد مقایسه می‌کند. ایکس چت تنها مورد از این چهار موردی است که پلتفرم کلید را در اختیار دارد و تنها موردی است که فاقد Forward Secrecy است.

اهمیت Forward Secrecy در این است که حتی اگر یک کلید در یک نقطه زمانی خاص به خطر بیفتد، پیام‌های قدیمی قابل رمزگشایی نیستند زیرا هر پیام یک کلید منحصر به فرد دارد. پروتکل Double Ratchet سیگنال به طور خودکار کلید را پس از هر پیام به‌روزرسانی می‌کند، مکانیزمی که در X Chat وجود ندارد.

متیو گرین، استاد رمزنگاری دانشگاه جانز هاپکینز، پس از تجزیه و تحلیل معماری X Chat در ژوئن ۲۰۲۵ اظهار داشت: «اگر XChat را به عنوان یک طرح رمزگذاری سرتاسری در نظر بگیریم، این آسیب‌پذیری به نظر می‌رسد یک نوع بازی تمام عیار باشد.» او بعداً اضافه کرد: «من به این [پیامک/مسیج/...] بیشتر از آنچه به پیام‌های مستقیم رمزگذاری نشده فعلی اعتماد دارم، اعتماد نخواهم کرد.»

از گزارش TechCrunch در سپتامبر ۲۰۲۵ تا زمان انتشار رسمی آن در آوریل ۲۰۲۶، این معماری هیچ تغییری نداشته است.

ماسک در توییتی در تاریخ ۹ فوریه ۲۰۲۶ متعهد شد که قبل از عرضه X Chat در X Chat، آزمایش‌های امنیتی دقیقی روی آن انجام دهد و تمام کدها را متن‌باز کند.

از تاریخ راه‌اندازی ۱۷ آوریل، هیچ حسابرسی شخص ثالث مستقلی تکمیل نشده است، هیچ مخزن کد رسمی در GitHub وجود ندارد، برچسب حریم خصوصی App Store نشان می‌دهد که X Chat پنج یا چند دسته داده از جمله مکان، اطلاعات تماس و سابقه جستجو را جمع‌آوری می‌کند، که مستقیماً با ادعای بازاریابی "بدون تبلیغات، بدون ردیاب" در تضاد است.

نه نظارت مداوم، بلکه یک نقطه دسترسی مشخص.

برای هر پیام در X Chat، کاربران می‌توانند انگشت خود را نگه داشته و گزینه «از گروک بپرس» را انتخاب کنند. وقتی روی این دکمه کلیک می‌شود، پیام به صورت متن ساده به Grok ارسال می‌شود و در این مرحله از حالت رمزگذاری شده به حالت رمزگذاری نشده تغییر می‌کند.

این طراحی یک آسیب‌پذیری نیست، بلکه یک ویژگی است. با این حال، سیاست حفظ حریم خصوصی X Chat مشخص نمی‌کند که آیا این داده‌های متنی ساده برای آموزش مدل Grok استفاده خواهند شد یا اینکه Grok محتوای این مکالمه را ذخیره خواهد کرد. با کلیک فعال روی «از گروک بپرس»، کاربران داوطلبانه حفاظت رمزگذاری آن پیام را حذف می‌کنند.

همچنین یک مشکل ساختاری وجود دارد: این دکمه چقدر سریع از یک «ویژگی اختیاری» به یک «عادت پیش‌فرض» تغییر خواهد کرد؟ هرچه کیفیت پاسخ‌های گروک بالاتر باشد، کاربران بیشتر به آن اعتماد می‌کنند و این منجر به افزایش نسبت پیام‌هایی می‌شود که از حفاظت رمزگذاری خارج می‌شوند. قدرت رمزگذاری واقعی X Chat، در درازمدت، نه تنها به طراحی پروتکل Juicebox، بلکه به تعداد دفعات کلیک کاربران روی «از Grok بپرسید» نیز بستگی دارد.

نسخه اولیه X Chat فقط از iOS پشتیبانی می‌کند و در نسخه اندروید، بدون هیچ جدول زمانی، صرفاً عبارت «به‌زودی» درج شده است.

در بازار جهانی گوشی‌های هوشمند، اندروید حدود ۷۳٪ و iOS حدود ۲۷٪ را در اختیار دارند (IDC/Statista، ۲۰۲۵). طبق گزارش Demand Sage، از ۳.۱۴ میلیارد کاربر فعال ماهانه واتس‌اپ، ۷۳ درصد در اندروید هستند. در هند، واتس‌اپ ۸۵۴ میلیون کاربر را پوشش می‌دهد و بیش از ۹۵ درصد از کاربران آن از اندروید استفاده می‌کنند. در برزیل، ۱۴۸ میلیون کاربر وجود دارد که ۸۱ درصد آنها از اندروید استفاده می‌کنند و در اندونزی، ۱۱۲ میلیون کاربر وجود دارد که ۸۷ درصد آنها از اندروید استفاده می‌کنند.

تسلط واتس‌اپ در بازار ارتباطات جهانی بر پایه اندروید بنا شده است. سیگنال، با حدود ۸۵ میلیون کاربر فعال ماهانه، عمدتاً به کاربرانی در کشورهای دارای اندروید که به حریم خصوصی اهمیت می‌دهند، متکی است.

ایکس چت این میدان نبرد را دور زد، با دو تفسیر ممکن. یکی از آنها بدهی فنی است؛ X Chat با Rust ساخته شده است و دستیابی به پشتیبانی بین پلتفرمی آسان نیست، بنابراین اولویت دادن به iOS ممکن است یک محدودیت مهندسی باشد. مورد دیگر یک انتخاب استراتژیک است؛ با توجه به اینکه iOS سهم بازار نزدیک به ۵۵ درصد را در ایالات متحده در اختیار دارد و پایگاه کاربری اصلی X در ایالات متحده است، اولویت دادن به iOS به معنای تمرکز بر پایگاه کاربری اصلی آنها به جای رقابت مستقیم با بازارهای نوظهور تحت سلطه اندروید و واتس‌اپ است.

این دو تفسیر با هم تناقضی ندارند و به یک نتیجه منجر می‌شوند: اولین حضور X Chat باعث شد که این برنامه با میل و رغبت ۷۳ درصد از کاربران جهانی گوشی‌های هوشمند را از دست بدهد.

این مطلب را برخی چنین توصیف کرده‌اند: ایکس چت، به همراه ایکس مانی و گروک، یک سه‌گانه را تشکیل می‌دهند که یک سیستم داده حلقه بسته موازی با زیرساخت موجود ایجاد می‌کند، که از نظر مفهومی شبیه به اکوسیستم وی‌چت است. این ارزیابی چیز جدیدی نیست، اما با عرضه X Chat، ارزش دارد که طرح کلی را دوباره بررسی کنیم.

ایکس چت، فراداده‌های ارتباطی، از جمله اطلاعاتی در مورد اینکه چه کسی با چه کسی، برای چه مدت و با چه تعداد دفعاتی صحبت می‌کند، تولید می‌کند. این داده‌ها به سیستم هویت X جریان می‌یابند. بخشی از محتوای پیام از طریق ویژگی Ask Grok عبور می‌کند و وارد زنجیره پردازش Grok می‌شود. تراکنش‌های مالی توسط X Money انجام می‌شود: آزمایش عمومی خارجی در ماه مارس تکمیل شد و در ماه آوریل برای عموم در دسترس قرار گرفت و امکان انتقال همتا به همتای فیات را از طریق ویزا دایرکت فراهم کرد. یکی از مدیران ارشد فایربلاکز برنامه‌های خود برای راه‌اندازی پرداخت‌های ارز دیجیتال تا پایان سال را تأیید کرد و در حال حاضر مجوزهای انتقال پول را در بیش از ۴۰ ایالت آمریکا دارد.

هر ویژگی WeChat در چارچوب نظارتی چین عمل می‌کند. سیستم ماسک در چارچوب‌های نظارتی غربی فعالیت می‌کند، اما او همچنین به عنوان رئیس اداره بهره‌وری دولت (DOGE) فعالیت می‌کند. این یک کپی از وی‌چت نیست؛ بلکه بازآفرینی همان منطق تحت شرایط سیاسی متفاوت است.

تفاوت این است که وی‌چت هرگز صراحتاً در رابط کاربری اصلی خود ادعا نکرده است که «رمزگذاری سرتاسری» دارد، در حالی که ایکس چت این کار را می‌کند. «رمزگذاری سرتاسری» از نظر کاربر به این معنی است که هیچ‌کس، حتی پلتفرم، نمی‌تواند پیام‌های شما را ببیند. طراحی معماری X Chat این انتظار کاربر را برآورده نمی‌کند، اما از این اصطلاح استفاده می‌کند.

ایکس چت سه خط داده «این شخص کیست، با چه کسی صحبت می‌کند و پولش از کجا می‌آید و به کجا می‌رود» را در دستان یک شرکت تجمیع می‌کند.

جمله‌های صفحه راهنما هرگز فقط دستورالعمل‌های فنی نبوده‌اند.