एआई लैब एंथ्रोपिक ने इस सप्ताह घोषणा की कि उसने एक शक्तिशाली नया मॉडल विकसित किया है, कंपनी का मानना है कि यह “साइबर सुरक्षा को नया आकार दे सकता है।” इसमें कहा गया है कि इसका नवीनतम मॉडल, मिथोस प्रीव्यू, “उच्च-गंभीरता वाली कमजोरियों को ढूंढने में सक्षम था, जिनमें हर प्रमुख ऑपरेटिंग सिस्टम और वेब ब्राउज़र में कुछ शामिल हैं।”
पैट्रिक सिसन/एपी
कैप्शन छुपाएं
कैप्शन टॉगल करें
पैट्रिक सिसन/एपी
व्यापक रूप से उपयोग किए जाने वाले साइबर बुनियादी ढांचे को बनाए रखने वाले डेवलपर्स के अनुसार, पिछले कुछ महीनों में एआई मॉडल मतिभ्रम पैदा करने से लेकर सॉफ्टवेयर में सुरक्षा खामियों को खोजने में प्रभावी हो गए हैं। सॉफ़्टवेयर के वे टुकड़े, अन्य चीज़ों के अलावा, ऑपरेटिंग सिस्टम को शक्ति प्रदान करते हैं और इंटरनेट से जुड़ी चीज़ों के लिए डेटा स्थानांतरित करते हैं।
हालाँकि ये नई क्षमताएँ डेवलपर्स को सॉफ़्टवेयर को अधिक सुरक्षित बनाने में मदद कर सकती हैं, लेकिन इन्हें हैकर्स और राष्ट्र राज्यों द्वारा जानकारी और धन चुराने या महत्वपूर्ण सेवाओं को बाधित करने के लिए भी हथियार बनाया जा सकता है।
एआई की साइबर क्षमता का नवीनतम विकास मंगलवार को हुआ, जब एआई लैब एंथ्रोपिक ने घोषणा की कि उसने एक शक्तिशाली नया मॉडल विकसित किया है, कंपनी का मानना है कि यह “साइबर सुरक्षा को नया आकार दे सकता है।” इसमें कहा गया है कि इसका नवीनतम मॉडल, मिथोस प्रीव्यू, “उच्च-गंभीरता वाली कमजोरियों को ढूंढने में सक्षम था, जिनमें हर प्रमुख ऑपरेटिंग सिस्टम और वेब ब्राउज़र में कुछ शामिल हैं।” इतना ही नहीं, यह मॉडल अपने द्वारा पाई गई कमजोरियों का फायदा उठाने के तरीकों के साथ आने में बेहतर था, जिसका अर्थ है कि दुर्भावनापूर्ण अभिनेता अधिक प्रभावी ढंग से अपने लक्ष्यों को प्राप्त कर सकते हैं।
अभी के लिए, कंपनी “दुनिया के सबसे महत्वपूर्ण सॉफ़्टवेयर को सुरक्षित करने के प्रयास में” मॉडल तक पहुंच को लगभग 50 चुनिंदा कंपनियों और संगठनों तक सीमित कर रही है। वे इस सहयोग को प्रोजेक्ट ग्लासविंग कह रहे हैं, इसका नाम पारदर्शी पंखों वाली तितली प्रजाति के नाम पर रखा गया है।
घोषणा के अनुसार, एंथ्रोपिक का कहना है कि दुरुपयोग का जोखिम इतना अधिक है कि इस विशेष मॉडल को आम जनता के लिए जारी करने की उसकी कोई योजना नहीं है, लेकिन वह अन्य संबंधित मॉडल जारी करेगा। कंपनी ने लिखा, “हमारा अंतिम लक्ष्य अपने उपयोगकर्ताओं को बड़े पैमाने पर माइथोस-क्लास मॉडल को सुरक्षित रूप से तैनात करने में सक्षम बनाना है।”
फिर भी सुरक्षा विशेषज्ञों का कहना है कि संभावित जोखिम साइबर सुरक्षा पेशेवरों के लिए हैं, न कि आम लोगों के लिए। साइबर सुरक्षा फर्म प्रूफपॉइंट में थ्रेट रिसर्च के उपाध्यक्ष डैनियल ब्लैकफोर्ड ने कहा, “मुझे नहीं लगता कि औसत कंप्यूटर उपयोगकर्ता को इसके बारे में मौलिक रूप से चिंतित होने की जरूरत है।” “उन्हें अपना पासवर्ड न देने के बारे में अधिक चिंतित होने की ज़रूरत है क्योंकि यह हर दिन, हर दिन की तरह होता है।”
ओपन सोर्स लिनक्स कर्नेल को होस्ट करने वाले लिनक्स फाउंडेशन के सीईओ जिम जेमलिन ने कहा, मायथोस प्रीव्यू में डेवलपर्स को पिछले मॉडल की तुलना में कमजोरियों को ठीक करने में मदद करने के लिए बेहतर क्षमताएं भी हो सकती हैं। कर्नेल एक इंटरफ़ेस है जो हार्डवेयर को सॉफ़्टवेयर से बात करने देता है, और लिनक्स कर्नेल एंड्रॉइड सहित कुछ सबसे व्यापक रूप से उपयोग किए जाने वाले ऑपरेटिंग सिस्टम के साथ-साथ दुनिया के सभी 500 सबसे शक्तिशाली सुपर कंप्यूटरों को शक्ति प्रदान करता है। फाउंडेशन प्रोजेक्ट ग्लासविंग का एक हिस्सा है, और ज़ेमलिन ने कहा कि लिनक्स कर्नेल पर काम करने वाले लोगों के एक मुख्य समूह, जिन्हें अनुरक्षक के रूप में जाना जाता है, ने इसका उपयोग करने का सबसे प्रभावी तरीका जानने के लिए नए मॉडल के साथ प्रयोग करना शुरू कर दिया है।
ज़ेमलिन ने कहा, “ये अनुरक्षक एआई से पहले ही बहुत अधिक काम कर चुके हैं।” “यह उनके जीवन को बहुत बेहतर बनाता है।”
माइथोस प्रीव्यू की सीमित रिलीज से पहले ही, साइबर सुरक्षा समुदाय पहले से ही इस बात से जूझ रहा है कि व्यावसायिक रूप से उपलब्ध सबसे उन्नत एआई मॉडल कितने सक्षम हो गए हैं। डेवलपर्स उन सुरक्षा कमजोरियों को दूर करने के लिए दौड़ रहे हैं जिन्हें हैकर्स एआई के साथ चिह्नित करते हैं। सुरक्षा विशेषज्ञ इस बात को लेकर चिंतित हैं कि अगर ऐसी क्षमताएं बिना रेलिंग के बढ़ती हैं तो आगे क्या हो सकता है।
हैकर्स बग ढूंढने में मदद के लिए एआई का उपयोग कर रहे हैं। यह अब तक काम नहीं कर रहा था
डैनियल स्टेनबर्ग ने कहा कि एआई मॉडल की क्षमताओं में सुधार 2026 की शुरुआत में ध्यान देने योग्य हो गया। वह 30 साल पुराने ओपन-सोर्स डेटा ट्रांसफर टूल cURL के पीछे प्रमुख सॉफ्टवेयर डेवलपर हैं, जिसका उपयोग कारों और चिकित्सा उपकरणों सहित इंटरनेट से कनेक्ट होने वाली चीजों के लिए व्यापक रूप से किया जाता है। यह बदलाव 2025 के अंत में नए अत्याधुनिक मॉडलों की रिलीज़ के बाद हुआ।
सॉफ़्टवेयर समुदाय के कई लोगों की तरह, स्टेनबर्ग को अपने सॉफ़्टवेयर को कार्यात्मक और सुरक्षित रखने के लिए सुरक्षा शोधकर्ताओं से मदद मिलती है। तथाकथित “व्हाइट हैट” हैकर्स निजी तौर पर डेवलपर्स को सुरक्षा संबंधी खामियां बताते हैं और बदले में, उन्हें कभी-कभी इनाम राशि मिलती है, जिसे “बग बाउंटी” के रूप में जाना जाता है या सुरक्षा खामी पाकर डींगें हांकते हैं। स्वयं के नाम पर रखा गया. जबकि सभी बग सॉफ़्टवेयर की कार्यक्षमता को प्रभावित करते हैं, केवल कुछ बग ही सुरक्षा कमजोरियाँ प्रस्तुत करते हैं।
लेकिन पिछले साल यह प्रक्रिया टूटने लगी। स्टेनबर्ग की टीम फर्जी रिपोर्टों से घिर गई थी, उन्हें विश्वास था कि ये एआई द्वारा तैयार की गई थीं। स्टेनबर्ग ने कहा, “हमें पूरे साल में 185 रिपोर्टें मिलीं और उनमें से 5% से भी कम वास्तव में सुरक्षा संबंधी समस्याएं थीं।”
भले ही रिपोर्ट की मात्रा 2024 से 2025 तक दोगुनी हो गई, स्टेनबर्ग ने कम सुरक्षा कमजोरियों का पता लगाया और उन्हें ठीक किया। स्लोप रिपोर्ट इतनी खराब हो गई कि स्टेनबर्ग ने अपने कर्ल टूल के लिए बग बाउंटी पुरस्कार देना बंद कर दिया।
स्टेनबर्ग ने कहा, जो हैकर उन्हें रिपोर्ट दाखिल करते हैं वे आम तौर पर गुमनाम होते हैं, और वे इस बात पर चर्चा नहीं करते हैं कि रिपोर्ट एआई के साथ बनाई गई थी या नहीं। लेकिन स्टेनबर्ग ने कहा कि एआई की एक अलग लेखन शैली है। “वे बहुत विस्तृत और वर्णनात्मक होते हैं … आपको 400 लाइन की रिपोर्ट मिलती है [when] यह कुछ ऐसा है जिसे प्रस्तुत करने में एक इंसान को 50 पंक्तियाँ लगेंगी।”
हैकरवन, एक मंच जिसका उपयोग स्टेनबर्ग सुरक्षा रिपोर्टिंग को प्रबंधित करने के लिए करता है, ने 2025 की गर्मियों में हैकर्स का सर्वेक्षण किया और पाया कि लगभग 60% उत्तरदाता या तो एआई का उपयोग कर रहे थे, इसे सीख रहे थे, या एआई या मशीन लर्निंग सिस्टम का ऑडिट करना सीख रहे थे।
“एलएलएम ने अब बग ढूंढने में मानवीय क्षमता को दरकिनार कर दिया है”
इस साल चीजें नाटकीय रूप से बदल गई हैं। रिपोर्टों की मात्रा 2025 से भी अधिक रही है, लेकिन अब तक स्टेनबर्ग ने कहा, उनमें से अधिकांश ने वैध मुद्दों को उजागर किया है। “लगभग सभी बुरे [reports] अब चले गए हैं।”
उनका अनुमान है कि लगभग 10 में से 1 रिपोर्ट सुरक्षा कमजोरियां हैं, बाकी ज्यादातर वास्तविक बग हैं। 2026 में केवल तीन महीनों में, कर्ल टीम स्टेनबर्ग के नेतृत्व ने पिछले दो वर्षों की तुलना में अधिक कमजोरियाँ पाई हैं और उन्हें ठीक किया है।
बाहरी सुरक्षा शोधकर्ताओं की रिपोर्टों के अलावा, स्टेनबर्ग स्वयं कमजोरियों को खोजने के लिए एआई का भी उपयोग करते हैं। एक क्लिक के साथ, एआई ने अपने कोड में 100 से अधिक बगों को चिह्नित किया है जो मनुष्यों और पारंपरिक कोड विश्लेषकों द्वारा “लगभग जादुई तरीकों से” समीक्षा के दौर से गुजरे हैं।
स्टेनबर्ग का अनुभव अनोखा नहीं है। देखरेख लिनक्स कर्नेल के पास है देखा बग रिपोर्ट की गुणवत्ता में समान परिवर्तन। निकोलस कार्लिनी, एक मानवशास्त्रीय अनुसंधान वैज्ञानिक, खोजने में सक्षम थे लिनक्स कर्नेल में कमजोरियाँ पुराने एंथ्रोपिक मॉडल और अपेक्षाकृत सरल प्रॉम्प्ट का उपयोग करना। कार्लिनी ने 20 साल पुराने एक अन्य ओपन सोर्स प्रोजेक्ट में पहली महत्वपूर्ण भेद्यता का पता लगाने के लिए एआई का भी उपयोग किया।
एआई सॉफ्टवेयर सुरक्षा कंपनी कॉरिडोर के मुख्य सुरक्षा अधिकारी एलेक्स स्टैमोस ने कहा, “एलएलएम ने अब बग ढूंढने की मानवीय क्षमता को दरकिनार कर दिया है।” के जारी होने के बाद सुरक्षा अनुसंधान रिपोर्ट की गुणवत्ता में वृद्धि हुई एंथ्रोपिक का मॉडल ओपस 4.5 नवंबर में, स्टैमोस ने कहा, जो पहले याहू और फेसबुक में सुरक्षा प्रमुख थे। स्टैमोस ने कहा, चूंकि बहुत सारे व्यावसायिक सॉफ्टवेयर में ओपन-सोर्स घटक होते हैं, इसलिए ओपन-सोर्स परियोजनाओं का इंटरनेट पर व्यापक प्रभाव पड़ता है।
क्या AI अपने द्वारा खोजे गए बग और सुरक्षा कमजोरियों को ठीक कर सकता है?
स्टेनबर्ग इस बात की सराहना करते हैं कि वर्तमान में सभी के लिए उपलब्ध एआई मॉडल बग ढूंढने में अधिक सहायक हो गए हैं, लेकिन वह इस बात से भी सावधान हैं कि ओपन-सोर्स सॉफ़्टवेयर बनाए रखने वाले डेवलपर्स के लिए भविष्य में अधिक शक्तिशाली मॉडल क्या ला सकते हैं। “यह उन सभी रख-रखाव करने वालों का अधिभार है जो पहले से ही अक्सर अतिभारित और कम कर्मचारियों वाले होते हैं और कई मायनों में कम वेतन वाले और कम वित्तपोषित होते हैं।”
स्टेनबर्ग प्रोजेक्ट ग्लासविंग का हिस्सा नहीं हैं और कहते हैं कि बहुत सारी महत्वपूर्ण परियोजनाएँ, “चीज़ें जो वास्तव में इंटरनेट की आधारशिला हैं,” को छोड़ दिया गया है।
एन्थ्रोपिक ने टिप्पणी के लिए एनपीआर के अनुरोध का जवाब नहीं दिया।
लेकिन अपने अब तक के अनुभव के आधार पर, स्टेनबर्ग का कहना है कि एआई बग और सुरक्षा खामियों को ठीक करने में उतना अच्छा नहीं है जितना कि उन्हें ढूंढने में।
इसका एक कारण यह है कि न तो बग और न ही उनके समाधान को ठीक किया जाता है। सॉफ़्टवेयर विकास के कई अन्य पहलुओं की तरह, निर्णय लेने में वास्तव में कोड लिखने की तुलना में अधिक समय लगता है। “एक बार जब हम समस्या की पहचान कर लेते हैं और सहमत हो जाते हैं कि यह एक समस्या है, तो वास्तव में इसे ठीक करना बहुत कठिन नहीं है और बहुत समय लेने वाला नहीं है। यह उस चरण तक की पूरी प्रक्रिया है जिसमें समय और ऊर्जा लगती है,” स्टेनबर्ग ने कहा।
दूसरे अलग ढंग से सोचते हैं. HackerOne नामक कंपनी अब अधिक स्वायत्तता से कमजोरियों को खोजने और सुधारने के लिए एक एजेंटिक एआई उत्पाद विकसित कर रही है।
साइबर सुरक्षा में अपराध और रक्षा के बीच रस्साकशी में एआई कैसे कारक है?
स्टैमोस ने कहा, “बग्स ढूंढने से बग्स को शोषण योग्य नहीं बनाया जा रहा है।” “जिसे हम किल चेन कहते हैं उसका पहला भाग खामियों की खोज करना है। अगला कदम है… [actually] हथियार का निर्माण. और फाउंडेशन मॉडल आपके लिए ऐसा नहीं करेंगे।”
फाउंडेशन मॉडल एंथ्रोपिक, ओपनएआई और गूगल डीपमाइंड जैसी सबसे उन्नत एआई प्रयोगशालाओं द्वारा बनाए गए मॉडल हैं। उन प्रयोगशालाओं ने अपने मॉडलों को दुर्भावनापूर्ण तरीके से उपयोग किए जा सकने वाले सॉफ़्टवेयर बनाने से रोकने के लिए जगह-जगह रेलिंग लगा दी है। ये मॉडल अत्यधिक स्वामित्व वाले हैं और उनकी आंतरिक कार्यप्रणाली सार्वजनिक नहीं है।
लेकिन एक बार सभी दांव बंद हो जाते हैं, तथाकथित ओपन-वेट मॉडल जो जनता के लिए सबसे उन्नत एआई प्रयोगशालाओं से अधिक सुलभ होते हैं। बुरे अभिनेता उनकी प्रतिलिपि बना सकते हैं और मैलवेयर के विरुद्ध सुरक्षा हटा सकते हैं।
स्टैमोस ने कहा, “तब हम वास्तव में परेशानी में हैं क्योंकि आप उन मॉडलों से न केवल बग ढूंढने के लिए कह सकेंगे, बल्कि शोषण कोड बनाने के लिए भी कह सकेंगे” जो सिस्टम को हैक कर सकता है। सबसे उन्नत ओपन-वेट मॉडल, सबसे उन्नत क्लोज-वेट मॉडल से एक वर्ष से भी कम पीछे हैं।
स्टैमोस ने कहा, “इससे यह भी पता चलता है कि पेंटागन का यह कहना कितना अविश्वसनीय रूप से मूर्खतापूर्ण है कि एंथ्रोपिक पूरे संयुक्त राज्य अमेरिका के लिए खतरा है।” पेंटागन ने एंथ्रोपिक को “आपूर्ति श्रृंखला जोखिम” करार दिया है क्योंकि कंपनी ने सरकार से स्वायत्त हथियारों और बड़े पैमाने पर निगरानी के लिए अपनी तकनीक का उपयोग नहीं करने के लिए कहा है। यह लेबल सरकारी एजेंसियों और ठेकेदारों को एंथ्रोपिक के साथ काम करने से रोक देगा। एन्थ्रोपिक वर्तमान में अदालत में लेबल पर विवाद कर रहा है।
अधिकांश ओपन-वेट मॉडल चीन स्थित कंपनियों द्वारा बनाए जाते हैं, जिसे अमेरिका एआई प्रभुत्व की दौड़ में अपना मुख्य प्रतिद्वंद्वी मानता है। स्टैमोस ने कहा, माइथोस प्रीव्यू को सार्वजनिक रूप से जारी न करके एंथ्रोपिक सॉफ्टवेयर डेवलपर्स के साथ-साथ अमेरिका को भी अपनी सुरक्षा मजबूत करने का समय दे रहा है।
