Mozilla के Firefox दावे ने पहले से तनावपूर्ण एआई सुरक्षा बहस को और तेज कर दिया है

Mozilla का कहना है कि Anthropic के Mythos Preview मॉडल ने Firefox 150 के रिलीज़ से पहले 271 सुरक्षा कमजोरियों की पहचान करने में मदद की, और यह परिणाम तुरंत इस दौड़ के दांव बढ़ा देता है कि उन्नत एआई साइबर सुरक्षा को कैसे प्रभावित करेगा।

Ars Technica द्वारा रिपोर्ट किया गया यह निष्कर्ष एक ऐसी बहस के लिए असामान्य रूप से ठोस प्रमाण जोड़ता है, जो अब तक मुख्यतः अटकलों, बेंचमार्क दावों और एआई कंपनियों की चेतावनियों से संचालित रही है। अप्रैल की शुरुआत में, Anthropic ने कहा था कि Mythos vulnerabilities खोजने में इतना प्रभावी था कि कंपनी ने इसकी शुरुआती रिलीज़ को कुछ चुनिंदा महत्वपूर्ण उद्योग भागीदारों तक सीमित कर दिया। Mozilla का बताया गया अनुभव अब इस क्षमता का सबसे स्पष्ट वास्तविक-संकेतों में से एक है।

Firefox के CTO बॉबी हॉली ने इसके निहितार्थों को बड़े शब्दों में रखा, यह तर्क देते हुए कि रक्षात्मक सुरक्षा टीमें आखिरकार बढ़त हासिल कर सकती हैं। 271 खामियों के बारे में विस्तृत गंभीरता-स्तर की जानकारी के बिना भी, इस रिपोर्टेड परिणाम का पैमाना अनदेखा करना मुश्किल है।

कुछ दर्जन बग्स से एक ही रिलीज़ चक्र में सैकड़ों तक

स्रोत रिपोर्ट में सबसे चौंकाने वाली तुलना एआई और इंसानों के बीच नहीं, बल्कि एआई मॉडलों की एक पीढ़ी और अगली के बीच है। हॉली ने कहा कि Anthropic के Opus 4.6 मॉडल ने पिछले महीने Firefox 148 का विश्लेषण करते समय 22 सुरक्षा-संवेदनशील बग खोजे थे। Mythos Preview ने, जब Firefox 150 की जांच की, कथित तौर पर 271 कमजोरियां उजागर कीं।

यदि ये आंकड़े सीधे तुलना योग्य हैं, तो यह उछाल नाटकीय है। यह संकेत देता है कि भेद्यता विश्लेषण में मॉडल प्रगति रैखिक नहीं हो सकती। कोड या खोज-स्थितियों में अंतर को ध्यान में रखते हुए भी, इतनी कम अवधि में कुछ दर्जन से सैकड़ों निष्कर्षों तक पहुंचना क्षमता में सार्थक बदलाव का संकेत देता है।

स्रोत रिपोर्ट कहती है कि मॉडल ने इन समस्याओं को बस अप्रकाशित सोर्स कोड का विश्लेषण करके खोजा। यह बात इसलिए महत्वपूर्ण है क्योंकि यह मॉडल को बड़े पैमाने पर चलने वाले स्वचालित फज़िंग इंजन की बजाय एक तर्कशील प्रणाली के रूप में पेश करती है, जो कोडबेस पढ़ सकती है और संभावित कमजोरियों को चिन्हित कर सकती है।

हॉली ने इस काम की तुलना या तो स्वचालित फज़िंग से या जटिल ब्राउज़र कोड में गहराई से तर्क करने वाले श्रेष्ठ मानव शोधकर्ताओं से की। उनके अनुसार वास्तविक अंतर लागत और गति का है। यदि कोई एआई मॉडल महीनों की केंद्रित विशेषज्ञ मेहनत के बिना सुरक्षा खामियां ढूंढ सकता है, तो रक्षात्मक समीक्षा सस्ती और अधिक स्केलेबल बन जाती है।

I cracked open a '1,000W' portable charger after it failed me in minutes - the cause was clear (and gooey)
More in News

नाकाम ‘1,000W’ चार्जर ने असंभव स्पेक्स के खतरे दिखाए

1,000 वॉट के रूप में बेचे गए एक सस्ते पोर्टेबल चार्जर के टियरडाउन में उपभोक्ता इलेक्ट्रॉनिक्स की एक जानी-पहचानी चेतावनी दिखी: वास्तविक उपयोग में लगभग तुरंत धराशायी हो जाने वाले प्रदर्शन दावे।

Read article

ब्राउज़र सुरक्षा एक अर्थपूर्ण परीक्षण मामला क्यों है

ब्राउज़र दुनिया के सबसे जटिल और सबसे अधिक हमले झेलने वाले उपभोक्ता सॉफ़्टवेयर उत्पादों में से हैं। वे लगातार अविश्वसनीय इनपुट संसाधित करते हैं, विशाल कोडबेस समेटे होते हैं, और मेमोरी, रेंडरिंग, स्क्रिप्टिंग, नेटवर्किंग तथा सैंडबॉक्सिंग के सावधानीपूर्वक प्रबंधन की आवश्यकता होती है।

इसी कारण Firefox एआई-आधारित भेद्यता खोज के दावों के लिए एक मजबूत परीक्षण वातावरण है। जो मॉडल आधुनिक ब्राउज़र में सार्थक बग ढूंढ सकता है, वह किसी खिलौना बेंचमार्क में जीतने से कहीं अधिक महत्वपूर्ण काम कर रहा है। वह ऐसे क्षेत्र में काम कर रहा है जहां वास्तविक खामियां लाखों उपयोगकर्ताओं को प्रभावित कर सकती हैं और जहां विशेषज्ञ सुरक्षा समीक्षा पहले से ही अत्यधिक परिष्कृत है।

स्रोत रिपोर्ट 271 कमजोरियों की गंभीरता का विभाजन नहीं देती। यह गायब विवरण महत्वपूर्ण है। सैकड़ों कम-गंभीर मुद्दे सैकड़ों उच्च-प्रभाव वाली खामियों जितना रणनीतिक अर्थ नहीं रखते। फिर भी, सार्वजनिक रिलीज़ से पहले बड़ी संख्या में सुरक्षा-संवेदनशील बग्स को पहचान लेने की क्षमता भी सॉफ़्टवेयर रक्षा कार्यप्रवाहों में बड़ा बदलाव मानी जाएगी।

रक्षा करने वालों और हमलावरों के बीच का सवाल अब जवाब देना कठिन हो रहा है

कई महीनों से उन्नत एआई को लेकर साइबर सुरक्षा बहस चेतावनी और संदेह के बीच झूलती रही है। एक पक्ष को चिंता है कि शक्तिशाली मॉडल हमले को आसान और अधिक स्केलेबल बना देंगे। दूसरा पक्ष तर्क देता है कि एआई मुख्यतः वही काम तेज करता है जो रक्षक पहले से कर रहे हैं, और हाइप अक्सर व्यावहारिक परिणामों से आगे निकल जाती है।

Mozilla द्वारा Mythos का कथित उपयोग उस बहस को समाप्त नहीं करता, लेकिन उसे आगे बढ़ाता है। स्रोत रिपोर्ट के अनुसार हॉली का विचार है कि सस्ता भेद्यता-खोज कार्य रक्षकों की मदद करता है क्योंकि सॉफ़्टवेयर विक्रेता हमलावरों से पहले समस्याओं को ढूंढकर ठीक कर सकते हैं।

यह तर्कसंगत है, विशेषकर उन संगठनों के लिए जिनके पास फ्रंटियर मॉडल्स तक पहुंच है और उन्हें सुरक्षित विकास पाइपलाइन में जोड़ने की इंजीनियरिंग क्षमता है। लेकिन वही क्षमता हमलावरों को भी लाभ दे सकती है, यदि समान सिस्टम अधिक व्यापक रूप से उपलब्ध हो जाएं या आक्रामक टूलचेन में लीक हो जाएं।

दूसरे शब्दों में, बढ़त इस बात पर कम निर्भर हो सकती है कि एआई कमजोरियां ढूंढ सकता है या नहीं, और इस बात पर अधिक कि वह क्षमता कौन तेजी से और जिम्मेदारी से उपयोग में ला सकता है।

Indie game Screenbound gets a date and a live demo
More in News

इंडी गेम Screenbound को तारीख और लाइव डेमो मिला

लंबे समय से प्रतीक्षित ‘5D’ प्लेटफ़ॉर्मर Screenbound, जो 2D हैंडहेल्ड और 3D दुनिया के बीच खेल को बाँटता है, 10 सितंबर को लॉन्च होगा और डेमो अभी उपलब्ध है।

Read article

सॉफ़्टवेयर विकास के भीतर क्या बदलता है

यदि Mozilla का परिणाम सही साबित होता है, तो एआई-सहायित कोड समीक्षा “अच्छा हो तो इस्तेमाल करें” से आगे बढ़कर बड़े सॉफ़्टवेयर प्रोजेक्ट्स के लिए एक आधारभूत आवश्यकता बन सकती है। स्रोत रिपोर्ट के अनुसार हॉली ने Wired को बताया कि हर सॉफ़्टवेयर को जल्द ही इस तरह के एआई-सहायता विश्लेषण से निपटना होगा, क्योंकि हर सॉफ़्टवेयर के सामने बाहर से वही क्षमता उपलब्ध होगी।

यह एक नया न्यूनतम मानक बनाता है। जो प्रोजेक्ट्स कोड निरीक्षण के लिए मजबूत एआई टूलिंग का उपयोग नहीं करते, वे हमलावरों या प्रतिस्पर्धियों के मुकाबले नुकसान में रह सकते हैं। सुरक्षा समीक्षा परंपरागत परीक्षण, फज़िंग, और मानवीय अनुसंधान के ऊपर निरंतर एआई ट्रायेज जैसी लग सकती है।

यह सुरक्षा टीमों के भीतर श्रम-गतिशीलता को भी बदल सकता है। अत्यधिक कुशल शोधकर्ता लो-यील्ड कोड पाथ्स में मैन्युअल रूप से समय बिताने के बजाय मॉडल-जनित निष्कर्षों को सत्यापित करने, प्राथमिकता देने, और उनका उपयोग या सुधार करने में अधिक समय लगा सकते हैं। उस परिदृश्य में, एआई श्रेष्ठ सुरक्षा कार्य को बदलता नहीं, बल्कि उसकी अर्थव्यवस्था बदल देता है।

गायब विवरण अभी भी मायने रखते हैं

सुर्ख़ी संख्या प्रभावशाली है, लेकिन अनसुलझे प्रश्न भी बड़े हैं। स्रोत रिपोर्ट यह नहीं बताती कि कमजोरियों में से कितनी गंभीर थीं, कितनी मौजूदा आंतरिक टूल्स से मिल सकती थीं, या false-positive दर क्या थी। यह भी स्पष्ट नहीं करती कि प्रदर्शन विशेष मार्गदर्शन, टूलिंग, या prompting पर निर्भर था या नहीं, जिसे व्यापक रूप से दोहराना कठिन हो।

ये चेतावनियां परिणाम के महत्व को समाप्त नहीं करतीं। वे केवल यह तय करती हैं कि अभी क्या अज्ञात है। सुरक्षा दावे तब सबसे मजबूत होते हैं जब बाहरी शोधकर्ता उन्हें समय के साथ कई कोडबेस और परिचालन स्थितियों में सत्यापित कर सकें।

New iOS 27 designs reportedly coming to these iPhone apps - 9to5Mac
More in News

iOS 27 की अफ़वाहें व्यापक ऐप डिज़ाइन बदलावों की ओर इशारा करती हैं

एक रिपोर्ट के अनुसार, आने वाले दिनों में iOS 27 के अनावरण के साथ Apple कई iPhone ऐप्स में डिज़ाइन बदलाव लाएगा।

Read article

साइबर रक्षा में एक दहलीज़ का क्षण

इन अनिश्चितताओं के बावजूद, Mozilla का वर्णन एक दहलीज़-घटना जैसा लगता है। अब तक, फ्रंटियर एआई और साइबर क्षमता के दावे अक्सर काल्पनिक या स्वार्थी लगते थे। एक ब्राउज़र निर्माता का यह कहना कि मॉडल ने एक प्रमुख रिलीज़ में 271 कमजोरियां खोजने में मदद की, बहस को अधिक ठोस रूप देता है।

यदि यह संख्या वास्तविक और सार्थक सुरक्षा खामियों को दर्शाती है, तो उन्नत एआई अब सॉफ़्टवेयर आश्वासन की अर्थव्यवस्था को बदलना शुरू कर चुका है। इसका यह अर्थ नहीं कि रक्षक निर्णायक रूप से जीत गए हैं, जैसा हॉली तर्क देते हैं। लेकिन यह संकेत जरूर देता है कि प्रतिस्पर्धा एक नए चरण में प्रवेश कर चुकी है, जहां मशीन गति से कोड को समझने की क्षमता भविष्य की संभावना नहीं, बल्कि एक व्यावहारिक सुरक्षा कारक बन रही है।

अगला सवाल अब यह नहीं है कि एआई भेद्यता अनुसंधान में मायने रख सकता है या नहीं। सवाल यह है कि सॉफ़्टवेयर उद्योग बाकी दुनिया के साथ उस वास्तविकता के लिए कितनी जल्दी ढलता है।

यह लेख Ars Technica की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

Originally published on arstechnica.com