सॉफ़्टवेयर बग फ़ायरवॉल, सर्वर और नेटवर्क उपकरणों द्वारा उपयोग किए जाने वाले ऑपरेटिंग सिस्टम को क्रैश करने में सक्षम था। 27 वर्षों से अधिक समय तक इसका पता नहीं चला।
पिछले महीने इसे पकड़ा गया था मिथोस, नवीनतम एआई मॉडल एंथ्रोपिक से जो है व्हाइट हाउस को डरा दियादुनिया भर के बैंकिंग अधिकारी और साइबर सुरक्षा पेशेवर।
बग आर्मागेडन में आपका स्वागत है। माइथोस और अन्य जैसे एआई मॉडल पुराने सॉफ़्टवेयर में ऐसी दर से बग ढूंढ रहे हैं जो पहले कभी नहीं देखी गई।
हालाँकि अधिकांश कोडिंग समस्याएँ मामूली हो सकती हैं, लेकिन उनकी विशाल मात्रा ने इस जोखिम को बढ़ा दिया है कि छोटे सॉफ़्टवेयर डेवलपर बग की रिपोर्ट से अभिभूत हो जाएंगे जैसे कि मिथोस में पाया गया था। एआई के लिए धन्यवाद, हैकर्स पहले से कहीं अधिक तेज़ी से उन बगों का लाभ उठाने में सक्षम होंगे।
ओपनबीएसडी ऑपरेटिंग सिस्टम में 1998 का बग पिछले महीने पाए गए हजारों मिथोस में से एक था। एंथ्रोपिक ने पिछले सप्ताह कहा था कि वह बग ढूंढने और उन्हें ठीक करने के लिए लगभग 50 प्रौद्योगिकी कंपनियों और संगठनों के साथ काम कर रहा है और वर्तमान में मिथोस को आम जनता के लिए जारी करने की उसकी कोई योजना नहीं है।
जोखिमों के लिए एआई का मूल्यांकन करने वाली एंथ्रोपिक की फ्रंटियर रेड टीम के प्रमुख लोगान ग्राहम ने कहा, “हमें यह जानने की जरूरत है कि हम इसे सुरक्षित रूप से जारी कर सकते हैं, और यह बिल्कुल स्पष्ट नहीं है कि हम इसे पूरे आत्मविश्वास के साथ कैसे कर सकते हैं।”
कंपनी की योजनाओं से परिचित एक व्यक्ति के अनुसार, एंथ्रोपिक के प्रतिद्वंद्वी, ओपनएआई, एक समान अभियान विकसित कर रहा है, जो डेवलपर्स को अपने उत्पाद का सुरक्षा-केंद्रित संस्करण पेश कर रहा है ताकि वे अपराधियों द्वारा इन बगों की खोज करने से पहले सिस्टम को पैच कर सकें। कंपनी ने कहा कि Google डेवलपर्स के लिए एक अर्ली एक्सेस पहल पर भी काम कर रहा है।
मिथोस ने प्रमुख कंपनियों के अंदर प्रौद्योगिकी कर्मचारियों के बीच एक हलचल पैदा कर दी है, क्योंकि कई लोगों ने यह समझने की कोशिश की है कि नया मॉडल साइबर सुरक्षा को कैसे बढ़ा सकता है और उनके उत्पादों के लिए कई नए खतरों को उजागर कर सकता है।
सैन फ्रांसिस्को स्थित एआई अकाउंटिंग ऑटोमेशन प्लेटफॉर्म न्यूमेरिक ने हाल ही में साइबर सुरक्षा स्लैक चैनल में अपने जोखिमों की चर्चा शुरू की है। “ठीक है, यह दिलचस्प होगा,” एक कार्यकारी ने लिखा।
न्यूमेरिक के सह-संस्थापक एंथनी अल्वर्नाज़ ने कहा, कंपनियों के लिए कुछ सबसे बड़े जोखिम संभवतः सहयोगात्मक रूप से बनाए गए तथाकथित “ओपन-सोर्स” टूल पर निर्भरता से आएंगे, अक्सर स्वयंसेवकों द्वारा जिनके पास बग रिपोर्ट को जल्दी से ट्राइ करने के लिए संसाधन नहीं होते हैं। उन्होंने कहा, यह बुनियादी ढांचा आधुनिक इंटरनेट का अधिकांश आधार है।
उन्होंने कहा, “कंपनी जो कोड लिखती है वह लगभग केक की ऊपरी परत की तरह होता है, और नीचे ये सभी परतें होती हैं” ओपन-सोर्स सॉफ़्टवेयर की।
जब उन्होंने मिथोस द्वारा पुराने ओपनबीएसडी बग को खोजने के बारे में सुना, तो सुरक्षा शोधकर्ता नील्स प्रोवोस को आश्चर्य हुआ कि क्या वह वही व्यक्ति थे जिन्होंने 27 साल पहले अपनी पीएचडी प्राप्त करते समय ओपनबीएसडी के लिए कुछ कोड लिखकर गलती की थी। मिशिगन विश्वविद्यालय से. त्वरित जांच से उसके संदेह की पुष्टि हो गई।
भुगतान कंपनी स्ट्राइप के पूर्व सुरक्षा प्रमुख प्रोवोस ने कहा, “ईमानदारी से कहूं तो, मुझे लगा कि यह हास्यास्पद है। क्योंकि यह कोड बहुत पुराना है।” “तब कौन जानता है कि आखिरी बार किसी इंसान ने इसे कब देखा था।”
मनुष्यों को इस तरह के बग को खोजने और उसका दोहन करने के लिए आमतौर पर अनगिनत घंटों के शोध की आवश्यकता होगी। प्रोवोस ने कहा, अधिकांश हैकरों ने प्रोवोस के पुराने कोड को देखा भी नहीं होगा, यह मानते हुए कि इसे बग के लिए चुना गया था।
उन्होंने कहा, “पहले केवल मुट्ठी भर लोग ही थे जो ऐसा कर सकते थे।” “अब, इन उपकरणों के साथ, आपको वास्तव में परिष्कृत कारनामे विकसित करने के लिए जिस कौशल की आवश्यकता होती है वह बहुत कम हो गया है।”
एंथ्रोपिक ने कहा कि मिथोस ने कई दर्जन अन्य मुद्दों के साथ-साथ बग पाया, जबकि दो दिन की अवधि में लगभग 20,000 डॉलर की कंप्यूटिंग शक्ति जल गई।
एंथ्रोपिक ने कहा कि पिछले कुछ हफ्तों में, मिथोस कोड लिखने में भी बेहतर साबित हुआ है जो उन कमजोरियों का फायदा उठा सकता है।
आज, अधिकांश साइबर हमलों में पहले से अनदेखा कमजोरियाँ शामिल नहीं होती हैं, जिन्हें शून्य दिवस के रूप में जाना जाता है। हैकर्स अक्सर पहले खोजे गए बग का उपयोग करके, या लॉगिन क्रेडेंशियल चुराकर या सोशल इंजीनियरिंग तकनीकों का उपयोग करके कंपनियों में सेंध लगाते हैं। इसके अलावा, अधिकांश निगमों के पास साइबर हमलों को कम करने के लिए अन्य रणनीतियाँ हैं, भले ही कोई व्यक्तिगत कंप्यूटर हैक हो गया हो।
इस साल की शुरुआत में, एंथ्रोपिक का सॉफ्टवेयर फ़ायरफ़ॉक्स ब्राउज़र में 100 से अधिक बग खोजे गए, और यह ऐसे कोड लिखने में भी सक्षम था जो ब्राउज़र के परीक्षण संस्करण में इनमें से किसी एक बग का फायदा उठा सकता था। वास्तविक दुनिया में, फ़ायरफ़ॉक्स में अन्य सुरक्षा उपाय थे जो हमले को रोक देते, जिससे वास्तविक दुनिया के हैकरों को अधिक काम करना पड़ता।
नवीनतम एआई मॉडल की साइबर सुरक्षा क्षमताओं ने पिछले कुछ महीनों में संशयवादियों का दिल जीत लिया है। उन्हें चिंता होने लगी है कि बड़े पैमाने पर और बढ़ती संख्या में बग को ठीक करने से एक अभूतपूर्व लॉजिस्टिक चुनौती पैदा हो जाएगी AI Y2K के बराबर हैदुनिया भर में उन कार्यक्रमों को पैच करने का एक विश्वव्यापी प्रयास जो 1999 के बाद एक साल तक समझ में नहीं आया। Y2K चेतावनियाँ भयानक थीं, लेकिन तकनीकी सुधारों ने काफी हद तक काम किया।
कई साइबर सुरक्षा पेशेवरों का मानना है कि एआई बग आर्मागेडन इसी तरह से काम कर सकता है, लेकिन सभी प्रकार के सॉफ़्टवेयर में हजारों कमजोरियों को सफलतापूर्वक ठीक करने के लिए एक बड़ा प्रयास करना होगा, वे कहते हैं।
राष्ट्रीय साइबर निदेशक सीन केयर्नक्रॉस सहित व्हाइट हाउस के शीर्ष अधिकारी हैं खतरे से निपटने के लिए दौड़ रहे हैं मिथोस और अन्य मॉडल सरकार में कमजोरियों की पहचान करने और निजी क्षेत्र की प्रतिक्रिया का समन्वय करने के लिए काम कर रहे हैं।
निवेशकों को चिंता है कि ये बदलाव हो सकते हैं सॉफ्टवेयर उद्योग को बढ़ावा देंऔर साइबर सुरक्षा कंपनियों के शेयरों में पिछले सप्ताह गिरावट आई।
हैकरवन के अनुसार, अधिकांश कंपनियां गंभीर बग को ठीक करने में बेहतर हो रही हैं, लेकिन एआई रिपोर्ट किए गए बग की भारी मात्रा को बढ़ा रहा है और हर चीज को पैच करने में अधिक समय लग रहा है, जो कंपनियों को बग रिपोर्ट को ट्राइएज करने में मदद करता है। कंपनी के अनुसार, बग सबमिशन पिछले वर्ष की तुलना में 76% अधिक है और इसी अवधि के दौरान बग को ठीक करने का औसत समय 160 दिन से बढ़कर 230 दिन हो गया है।
कंपनियों को यह भी चिंता है कि पहले नजरअंदाज किए गए प्रौद्योगिकी उत्पाद अब लक्ष्य बन सकते हैं, और तकनीकी दिग्गजों के विपरीत, इन अधिक अस्पष्ट उत्पादों का निर्माण करने वाली कंपनियों या सॉफ्टवेयर डेवलपर्स के पास पैचिंग हमले का प्रबंधन करने के लिए संसाधन नहीं हो सकते हैं।
क्लाउड कंप्यूटिंग कंपनी Fly.io में प्रिंसिपल और सुरक्षा शोधकर्ता थॉमस पटसेक ने कहा, “बुनियादी ढांचे के यादृच्छिक टुकड़ों पर हमला करना बहुत आसान हो जाएगा, जिस पर पहले कोई हमला नहीं कर रहा था।”
सर्गेज एप को इस घटना का स्वाद फरवरी में मिला। साइबर सुरक्षा कंपनी Sysdig में मुख्य सूचना सुरक्षा अधिकारी, उन्होंने एक दशक में बग ढूंढने की कोशिश भी नहीं की थी। लेकिन एंथ्रोपिक के सॉफ़्टवेयर के साथ खेलते हुए, वह तुरंत कई सुरक्षा समस्याओं का पता लगाने में सक्षम हो गया।
एक साइबर सुरक्षा सम्मेलन में दो सप्ताह बाद, उन्होंने एक वाइब-कोडित वेबसाइट का अनावरण किया, जो यह दिखाने के लिए सार्वजनिक रूप से उपलब्ध डेटा का उपयोग करती थी कि एआई उपकरण कितनी तेजी से नए बग को सॉफ़्टवेयर में बदल रहे थे जिनका उपयोग हमलों में किया जा सकता था। इसे परमाणु वैज्ञानिकों के बुलेटिन परमाणु-विनाश की चेतावनी डूम्सडे क्लॉक पर आधारित करते हुए, उन्होंने इसे कहा शून्य दिवस घड़ी.
उन्होंने कहा, सॉफ्टवेयर के हर हिस्से में खामियां हैं और जब कोई बग खोजा जाता है तो हैकर्स और खामियों को दूर करने वाले लोगों के बीच दौड़ शुरू हो जाती है। यह हमलावरों और रक्षकों के बीच एक लंबी चलने वाली दौड़ है।
उन्होंने कहा, आठ साल पहले, बग के सार्वजनिक प्रकटीकरण और हमले के बीच का औसत समय 847 दिन था। पिछले साल यह घटकर 23 दिन रह गया। इस साल सबसे ज्यादा दोहन एक ही दिन में हुआ.
वेबसाइट तकनीकी उद्योग से सॉफ्टवेयर बनाने के तरीके को मौलिक रूप से रीबूट करने का आह्वान करती है।
एप ने कहा, “एआई हैकरों को सुपरपावर दे रहा है, रक्षकों को नहीं।”
रॉबर्ट मैकमिलन को यहां लिखें robert.mcmillan@wsj.com और चिप कटर पर चिप.कटर@wsj.com
(टैग्सटूट्रांसलेट)सॉफ्टवेयर बग(टी)ऑपरेटिंग सिस्टम(टी)साइबर सुरक्षा(टी)एआई मॉडल(टी)कमजोरियां
Discover more from Star News 24 Live
Subscribe to get the latest posts sent to your email.
