क्या आपके संगठन को पता है कि किसी नए खोजे गए भेद्यता (vulnerability) का फायदा उठाने में कितना समय लगता है? वर्तमान डेटा बताता है कि यह समय अब लगभग तीन घंटे है। यह समयरेखा खतरे के अभिनेताओं के बीच मानवीय प्रतिभा में अचानक वृद्धि का परिणाम नहीं है। यह स्वचालन (automation) का परिणाम है। विशेष रूप से, यह कृत्रिम बुद्धिमत्ता मॉडल की एक नई पीढ़ी का परिणाम है जो बग खोजने की धीमी, मैन्युअल प्रक्रिया को उच्च गति वाली कमोडिटी सेवा में बदल देती है।
मैंने हाल ही में चीनी फर्म Zhipu AI द्वारा जारी एक ओपन-वेट मॉडल, GLM 5.2 के प्रदर्शन बेंचमार्क की समीक्षा करते हुए एक शाम बिताई। यह सिर्फ एक और बड़ा भाषा मॉडल (LLM) नहीं है। विशिष्ट परीक्षणों में, इसने सॉफ्टवेयर कमजोरियों की पहचान करने में GPT-5.5 और Anthropic के Claude 4.8 Opus जैसे अग्रणी मॉडलों से बेहतर प्रदर्शन किया। सबसे चौंकाने वाला आंकड़ा इसकी लागत है। GLM 5.2 लगभग $0.17 में एक भेद्यता ढूंढ सकता है। जब किसी एक्सप्लॉइट की कीमत मुट्ठी भर पेपरक्लिप की लागत तक गिर जाती है, तो पारंपरिक सुरक्षा गणित विफल हो जाता है।
सुरक्षा टीमें अक्सर इस धारणा के तहत काम करती हैं कि वे मानवीय हमलावरों के खिलाफ एक निष्पक्ष दौड़ में हैं। यह एक गलती है। अब हम अत्यधिक अनुकूलित इन्फरेंस इंजन के खिलाफ दौड़ में हैं जो सोते नहीं हैं, वेतन की आवश्यकता नहीं रखते हैं, और निजी हार्डवेयर पर चलाने के लिए डाउनलोड किए जा सकते हैं। यह बदलाव हाल ही में 360 Security Technology द्वारा जारी "तुलोंगफेंग" (Tulongfeng) या "ड्रैगन सेबर" (Dragon Saber) में विशेष रूप से स्पष्ट है। इस उपकरण ने कथित तौर पर पहले ही 3,400 से अधिक कमजोरियों की पहचान कर ली है। ये अकादमिक अभ्यास नहीं हैं। ये कॉर्पोरेट और महत्वपूर्ण बुनियादी ढांचे में कार्रवाई योग्य प्रवेश बिंदु (entry points) हैं।
अतीत में, उच्च-स्तरीय एक्सप्लॉइट्स राज्य-प्रायोजित अभिनेताओं या परिष्कृत आपराधिक सिंडिकेट के क्षेत्र थे क्योंकि उन्हें महंगे मानवीय श्रम की आवश्यकता होती थी। डार्कट्रेस (Darktrace) की मार्गरेट कनिंघम बताती हैं कि मॉडल की विश्वसनीयता को लागत और तैनाती में आसानी के साथ तौला जाना चाहिए। हमलावर और रक्षक दोनों आर्थिक निर्णय लेते हैं। यदि कोई मॉडल पर्याप्त रूप से अच्छा है और इसे चलाने में लगभग कोई लागत नहीं आती है, तो यह एक व्यापक खतरा बन जाता है, भले ही वह बाजार में सबसे अच्छा मॉडल न हो।
जोखिम के दृष्टिकोण से, यह खतरे के वातावरण को लक्षित हमलों से निरंतर, स्वचालित तूफान में बदल देता है। हमलावरों को अब अपने लक्ष्यों को सावधानीपूर्वक चुनने की आवश्यकता नहीं है। वे GLM 5.2 जैसे मॉडल को हर सार्वजनिक-सामना वाले IP पते पर केंद्रित कर सकते हैं और परिणामों की प्रतीक्षा कर सकते हैं। हमलावर के लिए लागत नगण्य है। रक्षक के लिए लागत, घटना प्रतिक्रिया और डेटा उल्लंघन शमन के संदर्भ में, विनाशकारी बनी हुई है। यह वह वास्तुशिल्प विरोधाभास है जिसका हम आज सामना कर रहे हैं। सत्रह-सेंट के भेद्यता स्कैन का उपयोग करने वाले स्क्रिप्ट द्वारा एक बहु-मिलियन डॉलर की रक्षा प्रणाली को बायपास किया जा सकता है।
GLM 5.2 जैसे मॉडलों का एक महत्वपूर्ण लाभ उनकी ओपन-वेट प्रकृति है। अमेरिका स्थित क्लाउड API के पीछे रहने वाले मॉडलों के विपरीत, एक ओपन-वेट मॉडल को स्थानीय सर्वर पर स्थापित किया जा सकता है। संवेदनशील डेटा या महत्वपूर्ण बुनियादी ढांचे का प्रबंधन करने वाले संगठनों के लिए यह एक महत्वपूर्ण कारक है। विआकू (Viakoo) के जॉन गैलाघेर का कहना है कि परिचालन प्रौद्योगिकी (OT) के लिए, डेटा संप्रभुता एक प्राथमिक चिंता है। विश्लेषण के लिए क्लाउड-आधारित AI को मालिकाना नेटवर्क मैप या सोर्स कोड भेजना कई सुरक्षा-सचेत फर्मों के लिए नामुमकिन है।
डिजाइन के अनुसार, ये चीनी मॉडल रक्षकों को किसी तीसरे पक्ष को डेटा लीक किए बिना अपनी भेद्यता खोज करने की अनुमति देते हैं। यह समानता का एक दुर्लभ अवसर पैदा करता है। एक रक्षक उसी मॉडल का उपयोग कर सकता है जिसका उपयोग हमलावर जहाज के गोदी छोड़ने से पहले पतवार में छेद खोजने के लिए करता है। हालांकि, यह केवल तभी काम करता है जब संगठन में उतनी ही तेजी से पैच करने की चपलता हो जितनी तेजी से मॉडल बग ढूंढता है। अधिकांश में यह नहीं है। यह हमें सुरक्षा ऋण (security debt) की समस्या की ओर ले जाता है।
पूर्व अमेरिकी राष्ट्रीय साइबर निदेशक क्रिस इंगलिस सुरक्षा ऋण को तीन अलग-अलग श्रेणियों में देखते हैं। पहली श्रेणी में ज्ञात कमजोरियां शामिल हैं जिनके पैच मौजूद हैं लेकिन वे अभी भी अनसुलझी हैं। दूसरी श्रेणी में अज्ञात कमजोरियां शामिल हैं जो आधुनिक उपकरणों द्वारा आसानी से खोजी जा सकती हैं। तीसरी श्रेणी जीरो-डे एक्सप्लॉइट्स और जटिल हमला श्रृंखलाओं का क्षेत्र है।
हमें पहली दो श्रेणियों में बग खोजने के लिए अग्रणी मॉडलों की आवश्यकता नहीं है। कमोडिटी मॉडल पहले से ही अधिकांश उद्यम सुरक्षा को पछाड़ने में सक्षम हैं। यही कारण है कि उच्च प्रदर्शन वाले चीनी मॉडलों का उदय इतना चिंताजनक है। वे उन आसान लक्ष्यों (low-hanging fruit) को खोजने में उत्कृष्ट हैं जो सुरक्षा ऋण का अधिकांश हिस्सा बनाते हैं। जब कोई संगठन तीन साल पुराने CVE की अनदेखी करता है, तो वे प्रभावी रूप से एक ऐसे पड़ोस में सामने का दरवाजा खुला छोड़ रहे होते हैं जहाँ हर चोर के पास एक मास्टर चाबी होती है।
एन्क्रिप्शन एक अभेद्य डिजिटल वॉल्ट के रूप में कार्य करता है, लेकिन यदि हमलावर के पास चाबियां हैं तो यह बेकार है। इसी तरह, एक मजबूत परिधि बेकार है यदि कोई AI एक गलत तरीके से कॉन्फ़िगर की गई सेवा पाता है जो फ़ायरवॉल को बायपास करती है। वास्तविकता यह है कि अधिकांश उल्लंघन किसी परिष्कृत जीरो-डे के कारण नहीं होते हैं। वे इसलिए होते हैं क्योंकि एक मॉडल ने लीगेसी सॉफ़्टवेयर के एक टुकड़े में एक उबाऊ, अनुमानित त्रुटि पाई जिसे पैच के लिए कभी प्राथमिकता नहीं दी गई थी।
सेमग्रेप (Semgrep) के डेटा से पता चलता है कि GLM 5.2 ने बग-खोज परीक्षणों में 39% F1 स्कोर प्राप्त किया। यह एक LLM के लिए एक सम्मानजनक मीट्रिक है। हालांकि, एक मॉडल सुरक्षा कार्यक्रम का केवल एक हिस्सा है। कनिंघम इस बात पर प्रकाश डालती हैं कि किसी मॉडल की उत्पत्ति अक्सर इस बात से कम महत्वपूर्ण होती है कि सुरक्षा टीम उसे अपने दैनिक कार्यों में कैसे एकीकृत करती है। यदि कोई उपकरण 100 बग ढूंढता है लेकिन सुरक्षा टीम के पास केवल पांच को ठीक करने की क्षमता है, तो उपकरण ने वास्तव में सुरक्षा स्थिति में सुधार नहीं किया है। इसने केवल शोर (noise) बढ़ाया है।
सक्रिय रूप से कहें तो, लक्ष्य खोज और उपचार के बीच के समय को कम करना होना चाहिए। हमें नेटवर्क परिधि को किले की खाई के रूप में मानने के विचार से दूर जाने की आवश्यकता है। AI-संचालित हमलों के युग में, हमें जीरो ट्रस्ट आर्किटेक्चर (zero trust architecture) अपनाना चाहिए। जीरो ट्रस्ट को हर आंतरिक दरवाजे पर एक VIP क्लब बाउंसर के रूप में सोचें। भले ही कोई हमलावर इमारत के अंदर जाने के लिए AI-खोजे गए बग का उपयोग करता है, उसे बाद के हर दरवाजे को बंद और एक अलग क्रेडेंशियल की आवश्यकता वाला मिलना चाहिए। यह किसी भी एकल एक्सप्लॉइट के प्रभाव क्षेत्र (blast radius) को सीमित करता है।
तकनीकी वास्तविकता और व्यावसायिक प्रभाव के बीच की खाई को पाटने के लिए, संगठनों को निम्नलिखित चरणों पर ध्यान केंद्रित करना चाहिए:
मैंने हाल ही में एक घटना का विश्लेषण किया जहां एक मध्यम आकार की फर्म रैनसमवेयर की चपेट में आ गई थी। प्रवेश बिंदु 2019 के सॉफ्टवेयर चलाने वाला एक भूला हुआ VPN सर्वर था। हमलावर ने बिना पैच वाली भेद्यता खोजने के लिए एक स्वचालित उपकरण का उपयोग किया। यह कोई परिष्कृत ऑपरेशन नहीं था। यह एक कमोडिटी हमला था। यदि उस फर्म ने अपने स्वयं के परिधि के खिलाफ एक बुनियादी LLM-आधारित स्कैनर चलाने में कुछ घंटे भी बिताए होते, तो उन्हें खतरे के संकेत दिख जाते। सुरक्षा अब पूर्ण होने के बारे में नहीं है। यह उन स्वचालित उपकरणों से तेज होने के बारे में है जो अभी आपके नेटवर्क को स्कैन कर रहे हैं।
Sources: NIST Cybersecurity Framework, MITRE ATT&CK, Semgrep LLM Security Report, Reuters Report on 360 Security Technology.
अस्वीकरण: यह लेख केवल सूचनात्मक और शैक्षिक उद्देश्यों के लिए है और पेशेवर साइबर सुरक्षा ऑडिट या घटना प्रतिक्रिया सेवा का स्थान नहीं लेता है।



हमारा एंड-टू-एंड एन्क्रिप्टेड ईमेल और क्लाउड स्टोरेज समाधान सुरक्षित डेटा एक्सचेंज का सबसे शक्तिशाली माध्यम प्रदान करता है, जो आपके डेटा की सुरक्षा और गोपनीयता सुनिश्चित करता है।
/ एक नि: शुल्क खाता बनाएं