0-डे सामान्य के रूप में: CISOs को अपनी रक्षा रणनीति में अभी किन बातों पर पुनर्विचार करने की आवश्यकता है

अप्रैल 2026 की तीन घटनाएं

अप्रैल 2026 की शुरुआत में, तीन ऐसी घटनाएं घटीं जिन्हें एक साथ देखा जाना चाहिए। व्यक्तिगत रूप से, प्रत्येक एक बड़ी सुर्खी है; साथ मिलकर, वे एक मौलिक रूप से भिन्न खतरे के मॉडल की ओर संक्रमण को चिह्नित करती हैं। 7 अप्रैल को, एंथ्रोपिक (Anthropic) ने क्लाउड मिथोस प्रीव्यू (Claude Mythos Preview) पेश किया, जो एक फ्रंटियर मॉडल है जिसने कुछ ही हफ्तों में हर प्रमुख ऑपरेटिंग सिस्टम और ब्राउज़र में हजारों महत्वपूर्ण जीरो-डे कमजोरियों (zero-day vulnerabilities) की स्वायत्त रूप से खोज की। इसके तुरंत बाद प्रोजेक्ट ग्लासविन्ग (Project Glasswing) का शुभारंभ हुआ, जो AWS, माइक्रोसॉफ्ट और NVIDIA सहित एक बंद कंसोर्टियम है, जिसे व्यापक बाजार में लीक होने से पहले इन रक्षात्मक क्षमताओं को हथियार बनाने के लिए डिज़ाइन किया गया है। अंत में, 8 अप्रैल को, अमेरिकी ट्रेजरी और फेड ने वैश्विक वित्तीय स्थिरता के लिए मिथोस द्वारा उत्पन्न जोखिम पर चर्चा करने के लिए प्रणालीगत रूप से महत्वपूर्ण बैंकों के प्रमुखों को बुलाया। जब नियामक बैंकर्स को इकट्ठा करते हैं और पेंटागन एक एकल भाषा मॉडल के कारण AI CEOs को बुलाता है, तो उद्योग को यह पहचानना चाहिए कि सुरक्षा का आधार बदल गया है।

विशेषज्ञता की बाधा का पतन

इससे पहले, पारंपरिक खतरा मॉडल इस धारणा पर बनाया गया था कि एक परिपक्व उत्पाद में गंभीर भेद्यता खोजने के लिए एक अत्यधिक योग्य विशेषज्ञ को मैन्युअल शोध में हफ्तों या महीनों बिताने की आवश्यकता होती है। विशेषज्ञता की यह कमी रक्षकों के लिए एक अनकहे सहयोगी के रूप में कार्य करती थी, जिससे एक्सप्लॉइट्स की मात्रा पर एक प्राकृतिक नियंत्रण बना रहता था। मिथोस ने इस धारणा को चकनाचूर कर दिया है। टोकन लागत में लगभग $20,000 में OpenBSD में 27 साल पुराने बग की पहचान करके, मॉडल ने साबित कर दिया कि भेद्यता अनुसंधान अब मानवीय सरलता तक सीमित नहीं है, बल्कि कच्चे कंप्यूट (raw compute) द्वारा संचालित है।

इस बदलाव के पैमाने को मापने के लिए, विचार करें कि एंथ्रोपिक के पिछले संस्करण, ओपस 4.6 ने 1% से कम प्रयासों में फ़ायरफ़ॉक्स के जावास्क्रिप्ट इंजन का सफलतापूर्वक फायदा उठाया था। मिथोस प्रीव्यू 72% में सफल रहा। यह केवल बग का पता नहीं लगाता है; यह उन्हें स्वायत्त रूप से श्रृंखलाबद्ध (chain) करता है। एक प्रलेखित मामले में, मॉडल ने रेंडरर सैंडबॉक्स से बचने और OS-स्तर की सुरक्षा को बायपास करने के लिए चार अलग-अलग ब्राउज़र कमजोरियों को जोड़ा। व्यवहार में इसका अर्थ यह है कि भेद्यता की शुरूआत और उसके औद्योगिक पैमाने पर शोषण के बीच का समय शून्य की ओर सिकुड़ रहा है।

औद्योगिक मानक के रूप में 0-डे

यदि कोई AI मॉडल इस गति से व्यवस्थित रूप से जीरो-डे को उजागर करता है, तो परिपक्व, परीक्षण किए गए उत्पादों पर भरोसा करने का तर्क अपना आधार खो देता है। मिथोस द्वारा खोजी गई 99% कमजोरियां घोषणा के समय अनपैच (unpatched) थीं। यह एक ऐसी वास्तविकता बनाता है जहां कोई भी स्टैक संभावित रूप से असुरक्षित है, और एक भेद्यता को विक्रेता द्वारा पैच विकसित करने की तुलना में तेजी से खोजा जा सकता है।

बदलाव का मूल पहुंच की विषमता (asymmetry of access) है। जबकि मिथोस वर्तमान में विशेषाधिकार प्राप्त भागीदारों तक सीमित है, इतिहास पुष्टि करता है कि इन क्षमताओं को दोहराया जाएगा। गूगल डीपमाइंड (Google DeepMind) का बिग स्लीप (Big Sleep) और ओपनएआई (OpenAI) के आगामी साइबर-केंद्रित मॉडल पहले से ही क्षितिज पर हैं। एक CISO को इस धारणा पर सुरक्षा डिजाइन करनी चाहिए कि 12 से 18 महीनों के भीतर, ये उपकरण परिष्कृत हमलावरों के हाथों में होंगे।

आर्किटेक्चरल लचीलापन: परिधि से परे जाना

'एक-परिधि-बनाओ-और-सब-कुछ-सुरक्षित-करो' वाला दृष्टिकोण अब यथार्थवादी नहीं है। तर्क तीन मूलभूत सिद्धांतों की ओर स्थानांतरित हो गया है: समझौता मान लें (assume compromise), ब्लास्ट रेडियस को कम करें, और प्रतिक्रिया में तेजी लाएं। इस वातावरण में, नेक्स्ट-जेनरेशन फायरवॉल (NGFW) जैसे नेटवर्क समाधान विकसित होने चाहिए। वे अब केवल फिल्टर नहीं हैं; वे एक माइक्रोसैगमेंटेड आर्किटेक्चर की भौतिक बाधाएं हैं।

जीरो ट्रस्ट (Zero Trust) एक सैद्धांतिक सर्वोत्तम अभ्यास से व्यावहारिक आवश्यकता में बदल रहा है। प्रत्येक अनुरोध को उसके मूल की परवाह किए बिना प्रमाणित और अधिकृत किया जाना चाहिए। आंतरिक ट्रैफ़िक पर भरोसा करना धीमी गति वाले युग का अवशेष है। यदि AI टूल वाला कोई हमलावर प्रवेश बिंदु ढूंढ लेता है—और इस नई अर्थव्यवस्था में, यह एक गणितीय निश्चितता है—तो केवल एक ही चीज़ मायने रखती है कि वे कितनी दूर तक लेटरल मूवमेंट (lateral movement) कर सकते हैं। स्पष्टता के लिए, DMZ अब एक सामान्य क्षेत्र नहीं है; इसे एक व्यक्तिगत एकांत सेल के रूप में माना जाना चाहिए।

पैच प्रबंधन की नई गति

पारंपरिक पैचिंग चक्र—अक्सर मैन्युअल प्राथमिकता के साथ एक मासिक लय—AI-संचालित खोज की गति का सामना नहीं कर सकता है। एक प्रक्रिया जहां एक महत्वपूर्ण CVE अगले रखरखाव विंडो की प्रतीक्षा करती है, एक ऐसी विलासिता है जिसे उद्यम सुरक्षा अब वहन नहीं कर सकती है।

जिस पर पुनर्विचार करने की आवश्यकता है, वह है अनुसूचित पैचिंग से निरंतर, आउट-ऑफ-बैंड अपडेट की ओर संक्रमण। उन लीगेसी घटकों के लिए जिन्हें पैच नहीं किया जा सकता, अलगाव (isolation) अनिवार्य है। खोज की नई गति पर, अनसेगमेंटेड लीगेसी सिस्टम एक खुला दरवाजा हैं जिसे सोर्स कोड तक पहुंच रखने वाला प्रत्येक AI एजेंट जानता है कि कैसे तोड़ना है। संगठनों को स्वचालित प्राथमिकता उपकरणों की ओर बढ़ना चाहिए जो अमूर्त CVSS स्कोर के बजाय विशिष्ट बुनियादी ढांचे के संदर्भ के आधार पर गंभीरता का आकलन करते हैं।

सुरक्षित विकास और गति का विरोधाभास

वर्तमान परिदृश्य में एक विरोधाभास है: AI कमजोरियां ढूंढ सकता है, लेकिन यह उन्हें बनाता भी है। जैसे-जैसे डेवलपर्स 'वाइबकोडिंग' (vibecoding)—AI सहायकों के माध्यम से कोड की भारी मात्रा उत्पन्न करना—को अपनाते हैं, हमले की सतह (attack surface) तेजी से बढ़ती है। जबकि CI/CD पाइपलाइन में AI-संचालित SAST और DAST अब बुनियादी स्वच्छता हैं, वे अपने आप में अपर्याप्त हैं।

सॉफ्टवेयर कंपोजिशन एनालिसिस (SCA) निरंतर चलना चाहिए। डिपेंडेंसी (Dependencies) स्वचालित एक्सप्लॉइट चेन के लिए एक उच्च-मूल्य वाला प्रवेश बिंदु हैं। CISO और CTO के संयुक्त एजेंडे में एक कठोर AI टूल उपयोग नीति शामिल होनी चाहिए। यह समझना कि कौन किस मॉडल का उपयोग कर रहा है और किस डेटा के साथ, अब अटैक सरफेस मैनेजमेंट का एक मुख्य घटक है।

CISO प्लेबुक: 12 महीने का रोडमैप

इस परिदृश्य के अनुकूल होने के लिए, नेतृत्व को प्रतिक्रियाशील रक्षा से आर्किटेक्चरल मजबूती की ओर बढ़ना चाहिए। लक्ष्य सभी उल्लंघनों को रोकना नहीं है, बल्कि यह सुनिश्चित करना है कि एक समझौता आपदा न बन जाए।

1. सेगमेंटेशन ऑडिट: विशेष रूप से लेटरल मूवमेंट पर केंद्रित एक आंतरिक पेनटेस्ट (pentest) आयोजित करें। यदि कोई हमलावर एक समझौता किए गए वर्कस्टेशन से संवेदनशील डेटाबेस तक बिना किसी कठिन आर्किटेक्चरल बाधा के दो से अधिक चरणों में जा सकता है, तो नेटवर्क को फिर से डिजाइन किया जाना चाहिए।
2. त्वरित पैचिंग: 24 से 72 घंटों के भीतर महत्वपूर्ण अपडेट की तैनाती की अनुमति देने के लिए पैच प्रबंधन चक्र को संशोधित करें। लीगेसी सिस्टम को बंद करने या कुल अलगाव के लिए एक कठिन समय सीमा स्थापित करें।
3. AI-संचालित रक्षा: सुरक्षा संचालन केंद्र (SOC) में AI को एकीकृत करने के लिए एक रोडमैप तैयार करें। AI-SOC और NDR (नेटवर्क डिटेक्शन एंड रिस्पॉन्स) की ओर बढ़ना AI-संचालित हमलों की गति से मेल खाने का एकमात्र तरीका है।
4. सप्लाई चेन नियंत्रण: अनिवार्य सॉफ्टवेयर बिल ऑफ मैटेरियल्स (SBOM) और निरंतर डिपेंडेंसी निगरानी लागू करें। ऐसी दुनिया में जहां AI मॉडल विकास उपकरणों में एम्बेडेड हैं, टूलचेन स्वयं एक प्राथमिक वेक्टर है।
5. प्रोएक्टिव हंटिंग: सार्वजनिक खुलासे का इंतजार न करें। बाहरी अभिनेताओं द्वारा खोजे जाने से पहले बग खोजने और ठीक करने के लिए आंतरिक भेद्यता प्रबंधन में उपलब्ध फ्रंटियर मॉडल को एकीकृत करें।

निष्कर्ष

वह युग समाप्त हो गया है जहां भेद्यता अनुसंधान मानवीय विशेषज्ञता की कमी से बाधित था। सुरक्षा अब इस बात पर निर्भर करती है कि नेटवर्क को कितनी बुद्धिमानी से डिजाइन किया गया है, प्रतिक्रिया कितनी तेज है, और एक हमलावर अंदर जाने के बाद कितना कम नुकसान कर सकता है। मिथोस के युग में जीवित रहने के लिए एक ठंडे, व्यावहारिक अहसास की आवश्यकता है: परिधि खत्म हो गई है, और आर्किटेक्चर ही एकमात्र शेष रक्षा है।

स्रोत: Anthropic Research (Claude Mythos Technical Report), Bloomberg (Treasury/Fed Meeting Minutes), DeepMind (Project Big Sleep Documentation), Linux Foundation (Glasswing Consortium Briefing).

अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है। यह एक पेशेवर साइबर सुरक्षा ऑडिट, आर्किटेक्चरल समीक्षा या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।