बहस संभावना से वर्तमान काल में आ गई है

गूगल का कहना है कि कृत्रिम बुद्धिमत्ता को लेकर साइबर सुरक्षा की बहस एक नए चरण में पहुंच गई है। The Guardian की रिपोर्टिंग के अनुसार, कंपनी के थ्रेट इंटेलिजेंस समूह ने निष्कर्ष निकाला कि AI-संचालित हैकिंग सिर्फ तीन महीनों में एक प्रारंभिक चिंता से औद्योगिक-स्तर के खतरे में बदल गई है।

यह चेतावनी इसलिए महत्वपूर्ण है क्योंकि यह उस बहस को नए रूप में पेश करती है जो अक्सर इस पर केंद्रित रही है कि उन्नत मॉडल भविष्य में क्या सक्षम कर सकते हैं। गूगल के विश्लेषकों का तर्क है कि भविष्य काल अब पुराना हो चुका है। उनके अनुसार, खतरा पैदा करने वाले वास्तविक अभियानों में गति, पैमाना और परिष्कार बढ़ाने के लिए अभी वाणिज्यिक AI उपकरणों का उपयोग कर रहे हैं।

यह अंतर रक्षकों के लिए मायने रखता है। अगर AI केवल एक आने वाली क्षमता होता, तो संगठन इसे एक योजना संबंधी समस्या की तरह ले सकते थे। यदि यह पहले से ही सक्रिय अभियानों में शामिल है, तो यह एक तत्काल परिचालन समस्या बन जाता है, जो भेद्यता प्रबंधन, पहचान, घटना प्रतिक्रिया और रक्षा-आधारित पैचिंग की गति को प्रभावित करती है।

वाणिज्यिक मॉडल खतरे की तस्वीर का हिस्सा हैं

The Guardian ने बताया कि गूगल के आकलन में पाया गया कि चीन, उत्तर कोरिया और रूस से जुड़े आपराधिक समूह और राज्य-समर्थित इकाइयां Gemini, Claude और OpenAI के टूल्स सहित वाणिज्यिक मॉडलों का उपयोग करके हमलों को परिष्कृत और स्केल कर रही हैं। रिपोर्ट यह नहीं कहती कि वे कंपनियां जानबूझकर दुर्भावनापूर्ण उपयोग को बढ़ावा दे रही हैं। अधिक महत्वपूर्ण बात यह है कि व्यापक रूप से उपलब्ध, उच्च-क्षमता वाले सिस्टम अब आक्रामक टूलकिट का हिस्सा बन चुके हैं।

गूगल के थ्रेट एनालिस्ट जॉन हुल्टक्विस्ट ने कहा कि यह गलत धारणा है कि AI भेद्यता की दौड़ अभी शुरू होने वाली है, जबकि वास्तव में यह पहले ही शुरू हो चुकी है। उन्होंने कहा कि खतरा पैदा करने वाले AI का उपयोग टिकाऊपन बढ़ाने, अभियानों का परीक्षण करने, बेहतर मैलवेयर बनाने और अन्य छोटे लेकिन महत्वपूर्ण लाभ हासिल करने के लिए कर रहे हैं।

ऐसे छोटे-छोटे लाभ भी बड़ी सुर्खियां बटोरने वाली उपलब्धियों जितने ही महत्वपूर्ण हो सकते हैं। साइबर हमले अक्सर इसलिए सफल होते हैं क्योंकि वे सस्ते, तेज और दोहराने में आसान हो जाते हैं, न कि इसलिए कि हर हमला पूरी तरह से नया होता है। यदि AI जासूसी, मैलवेयर सुधार, फ़िशिंग भिन्नताओं या एक्सप्लॉइट परीक्षण के दौरान बाधाओं को कम करता है, तो भले ही पूरी तरह स्वायत्त साइबर हमले न हों, उसका संयुक्त प्रभाव काफी बड़ा हो सकता है।

ज़ीरो-डे जोखिम बड़े उभार का हिस्सा है

The Guardian ने गूगल की रिपोर्ट को एक व्यापक संदर्भ में रखा, जिसमें AI कंपनियों की ओर से आई असामान्य रूप से कड़ी चेतावनियां भी शामिल हैं। पिछले महीने Anthropic ने अपने सबसे नए मॉडलों में से एक, Mythos, को जारी करने से इनकार कर दिया था, यह कहते हुए कि दुरुपयोग की स्थिति में यह गंभीर जोखिम पैदा कर सकता है। Anthropic ने कहा था कि मॉडल ने प्रमुख ऑपरेटिंग सिस्टम और वेब ब्राउज़रों में ज़ीरो-डे कमजोरियां पहचानी थीं और उद्योग भर में समन्वित रक्षात्मक कार्रवाई की आवश्यकता होगी।

गूगल के निष्कर्ष बताते हैं कि रक्षकों के पास अनुकूलन के लिए असाधारण फ्रंटियर-मॉडल परिदृश्यों का इंतजार करने की सुविधा शायद नहीं है। रिपोर्ट में कहा गया कि हाल ही में एक आपराधिक समूह ज़ीरो-डे भेद्यता का बड़े पैमाने पर शोषण अभियान में उपयोग करने के करीब दिखाई दिया और इस प्रयास में सहायता के लिए किसी AI मॉडल पर निर्भर लगता था।

इसका मतलब यह नहीं कि AI ने कुशल ऑपरेटरों की जगह ले ली है। इसका अर्थ यह है कि वह उन्हें और शक्तिशाली बना सकता है। साइबर अभियानों में ऐसा प्रवर्धन रणनीतिक रूप से महत्वपूर्ण है क्योंकि यह हमले की अर्थव्यवस्था बदल देता है। अधिक अभियान समानांतर में चलाए जा सकते हैं, टूलिंग को तेज़ी से सुधारा जा सकता है, और कम कौशल वाले प्रतिभागी पहले की तुलना में अधिक सक्षम संचालन कर सकते हैं।

संगठनों को इस चेतावनी से क्या लेना चाहिए

गूगल की रिपोर्ट का मूल संदेश यह नहीं है कि AI एक बिल्कुल अलग साइबर सुरक्षा दुनिया बना देता है। संदेश यह है कि परिचित खतरे अब अधिक तेज़ी से विकसित हो सकते हैं। मैलवेयर विकास, एक्सप्लॉइट शोध, फ़िशिंग अनुकूलन और घुसपैठ को बनाए रखना, ये सब तब अधिक खतरनाक हो जाते हैं जब सहायता सस्ती और व्यापक रूप से उपलब्ध हो।

संगठनों के लिए इसका मतलब धीमे पैच चक्र और कमजोर दृश्यता के लिए कम सहनशीलता है। सुरक्षा टीमों को यह मानकर चलना पड़ सकता है कि हमलावर अधिक रूपों का परीक्षण कर सकते हैं, अधिक तेजी से प्रलोभन तैयार कर सकते हैं, और हाल के समय की तुलना में कम प्रयास में विफल प्रयासों से उबर सकते हैं। व्यावहारिक बोझ लचीलेपन पर आता है: पहचान का समय कम करना, हमले का सतह क्षेत्र घटाना, और ज्ञात कमजोर बिंदुओं को पहले से मजबूत करना, इससे पहले कि विरोधी उन्हें और औद्योगिक रूप से इस्तेमाल करें।

गूगल का यह आकलन AI उद्योग पर भी दबाव बढ़ाता है। मॉडल निर्माता, क्लाउड प्लेटफ़ॉर्म और सुरक्षा विक्रेता अब एक ही पारिस्थितिकी तंत्र का हिस्सा हैं, और क्षमता प्रगति तथा नीचे जाने वाले जोखिम के बीच रेखा धुंधली होती जा रही है। यह नवीनतम चेतावनी इस संतुलन को कैसे संभाला जाना चाहिए, इसका समाधान नहीं करती। लेकिन यह एक बात को नकारना और कठिन बना देती है: AI-सहायता प्राप्त हैकिंग अब केवल एक सैद्धांतिक चर्चा नहीं रही। दुनिया के सबसे बड़े सुरक्षा खिलाड़ियों में से एक के अनुसार, यह पहले से ही एक जीवित खतरा-परिवेश है।

यह लेख The Guardian की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

Originally published on theguardian.com