क्लॉड मिथोस ने पैंडोरा का बॉक्स खोल दिया है। प्रोजेक्ट ग्लास विंग इसे बंद करने के लिए तेजी से काम कर रहा है।

लेख अपडेट:

• 6 मई 2026 तक, गूगल डीपमाइंड, माइक्रोसॉफ्ट, एक्सएआई, एंथ्रोपिक और ओपनएआई सहित प्रत्येक प्रमुख अमेरिकी एआई प्रयोगशाला अब स्वेच्छा से संघीय सरकार के साथ अप्रकाशित मॉडल साझा करती है।सीएआईएसआई, कृत्रिम बुद्धिमत्ता मानकों और नवाचार केंद्र) उन मॉडलों के सार्वजनिक होने से पहले उनकी सुरक्षा और क्षमता की समीक्षा के लिए।
• ये स्वैच्छिक समझौते न्यूयॉर्क टाइम्स की उस रिपोर्ट के एक दिन बाद आए जिसमें बताया गया था कि ट्रम्प प्रशासन कार्यकारी आदेश के माध्यम से एक अलग अनिवार्य पूर्व-तैनाती समीक्षा प्रक्रिया पर विचार कर रहा था। एंथ्रोपिक के मिथोस मॉडल को उत्प्रेरक के रूप में उद्धृत किया गया है।स्वैच्छिक और कोई भी अनिवार्य ढांचा समानांतर रूप से चलेगा, हालांकि उनकी परस्पर क्रिया अभी तक अपरिभाषित है।
• सीएआईएसआई के साथ जुड़कर, कंपनियां राष्ट्रीय सुरक्षा स्तर पर "सुरक्षित एआई" कैसा दिखता है, इसे परिभाषित करने में मदद कर रही हैं, जिसका व्यावसायिक रूप से भी प्रभाव पड़ता है।
• नीचे पंक्ति: आपके साइबर सुरक्षा कार्यक्रम की सुरक्षा व्यवस्था को भविष्य के खतरों (जैसे मिथोस आदि) का इंतजार नहीं करना चाहिए। हमलावर आज जिन एआई उपकरणों का उपयोग कर रहे हैं, वे पहले से ही इतने सक्षम हैं कि आपका ध्यान आकर्षित कर सकें।

vCISOs के लिए एक व्यावहारिक संक्षिप्त विवरण

वह चेतावनी जिसे हमने नजरअंदाज किया या जिसे हम समझ नहीं पाए

कई वर्षों से, कृत्रिम बुद्धिमत्ता अनुसंधान के क्षेत्र में सबसे विश्वसनीय आवाज़ें एक ही चेतावनी देती आ रही हैं। कृत्रिम बुद्धिमत्ता को उसी संस्थागत गंभीरता से लें, जिस गंभीरता से दुनिया ने परमाणु प्रौद्योगिकी को लिया था। वारेन बफेट ने 2024 में बर्कशायर हैथवे शेयरधारकों की बैठक में इसे स्पष्ट रूप से कहा:

"परमाणु हथियार विकसित करके हमने एक जिन्न को बोतल से बाहर निकाल दिया। कृत्रिम बुद्धिमत्ता भी कुछ इसी तरह की स्थिति में है – यह आधी बोतल से बाहर निकल चुकी है।।" स्रोत: सीएनएन बिजनेस, मई 2024

अगर आप मेरी तरह हैं, तो हमें चेतावनी देने वाले लोगों की गंभीरता को देखते हुए (स्टीफन हॉकिंग, जेफ्री हिंटन, बिल गेट्सहमने इन चेतावनियों को समझने की कोशिश की। दुर्भाग्य से, हममें से अधिकांश के लिए, ये चेतावनियाँ अमूर्त और कल्पना से परे प्रतीत हुईं। संभावित व्यवधान दूर, अस्पष्ट और वास्तविकता से अधिक विज्ञान कथाओं के करीब लग रहे थे। जिन्न अभी भी बोतल में बंद था और पैंडोरा का बक्सा अभी भी मजबूती से बंद था।

7 अप्रैल, 2026 को, एंथ्रोपिक ने क्लाउड मिथोस नामक एक एआई मॉडल का संक्षिप्त पूर्वावलोकन जारी किया। इसके अंदर जो कुछ मिला, उससे वे इतने चिंतित हो गए कि उन्होंने इसे आम जनता के लिए बंद कर दिया और महत्वपूर्ण सॉफ्टवेयर अवसंरचना प्रदाताओं के एक चुनिंदा समूह तक ही इसकी पहुंच सीमित कर दी। उनका उद्देश्य था कि विरोधी ऐसा करने से पहले ही इस मॉडल के संभावित खतरों को समझ लिया जाए।

एंथ्रोपिक को क्या मिला और उन्होंने इसे क्यों बंद कर दिया?

एन्थ्रोपिक ने खुलासा किया कि क्लाउड मिथोस ने महत्वपूर्ण सॉफ्टवेयर कमजोरियों का पता लगाया, जिन्हें जीरो-डे के रूप में जाना जाता है। प्रत्येक प्रमुख ऑपरेटिंग सिस्टम और ब्राउज़र उन्होंने इसे इंगित किया। इसलिए एंथ्रोपिक ने बॉक्स बंद कर दिया और इसे सार्वजनिक रूप से जारी करने से इनकार कर दिया। इसके बजाय, उन्होंने एक गठबंधन बनाया जिसे कहा जाता है प्रोजेक्ट ग्लास विंगइस परियोजना में माइक्रोसॉफ्ट, गूगल, एप्पल, अमेज़ॅन, सिस्को और क्राउडस्ट्राइक सहित दुनिया के लगभग 40 से 50 सबसे बड़े सॉफ्टवेयर इंफ्रास्ट्रक्चर प्रदाताओं को शामिल किया गया। इसका लक्ष्य मिथोस का उपयोग करके विरोधियों द्वारा उनका दुरुपयोग करने से पहले कमजोरियों का पता लगाना और उन्हें ठीक करना था।

परिणाम महत्वपूर्ण थे। मिथोस ने ओपनबीएसडी ऑपरेटिंग सिस्टम में 27 साल पुरानी खामी का पता लगाया। सुरक्षा को प्राथमिक मूल्य मानते हुए डिजाइन और रखरखाव किया गया है।दशकों से विशेषज्ञों द्वारा किए गए ऑडिट में जो खामी पकड़ी नहीं जा सकी थी, उसे मिथोस ने पूरी तरह से उजागर कर दिया। इसे खोजने में कंप्यूटिंग लागत लगभग 50 डॉलर आई। मिथोस ने 83 प्रतिशत से अधिक परीक्षण मामलों में अपने पहले ही प्रयास में एक कारगर खामी का पता लगा लिया। तुलना के लिए, एंथ्रोपिक के पिछले सार्वजनिक मॉडल ने इसी परीक्षण सूट में केवल 2 सफल खामियां उत्पन्न की थीं। मिथोस ने 181 खोजें कीं।

आंतरिक परीक्षण के दौरान, एंथ्रोपिक ने मिथोस को अपने सैंडबॉक्स से बाहर निकलने का रास्ता खोजने के लिए प्रोत्साहित किया। ऐसा किया थाशोधकर्ता को कार्यालय से अनुपस्थिति के दौरान मॉडल से एक अप्रत्याशित ईमेल प्राप्त होने पर इसके बारे में पता चला। इसके बाद मॉडल ने बिना किसी आग्रह के अपने कारनामे का विवरण कई सार्वजनिक वेबसाइटों पर पोस्ट कर दिया। यह एंथ्रोपिक की अपनी सुरक्षा प्रक्रिया का एक दस्तावेजित परीक्षण परिणाम है, न कि कोई सैद्धांतिक परिदृश्य।

सुरक्षा संबंधी चुनौती सिर्फ इस एक मॉडल तक सीमित नहीं है। सार्वजनिक रिपोर्टों से पता चलता है कि क्लाउड मिथोस क्षमता में मामूली सुधार नहीं बल्कि एक क्रांतिकारी बदलाव का प्रतीक है। परीक्षण में, इसने उन कमजोरियों की पहचान की जो मानव टीमों की तुलना में 10 से 100 गुना अधिक थीं, और अन्य प्रमुख प्रयोगशालाओं के प्रतिस्पर्धी मॉडल अभी भी उन्नत साइबर सुरक्षा कार्यों में इससे पीछे हैं। कृत्रिम बुद्धिमत्ता तेजी से विकसित हो रही है, और यह अपरिहार्य है कि अन्य विक्रेताओं के मॉडल भी इसके बराबर आ जाएंगे।

यह भी ध्यान में रखें कि एंथ्रोपिक को पिछले दो महीनों में दो बार आंतरिक फाइलों के आकस्मिक रिसाव का सामना करना पड़ा, जिनमें मिथोस से संबंधित विवरण भी शामिल थे, जो उनके अपने सिस्टम में मानवीय त्रुटि के कारण हुआ। वही संगठन जो दुनिया की सबसे सक्षम सुरक्षा खामी-खोज एआई विकसित कर रहा है, उसने अपने कंटेंट मैनेजमेंट सिस्टम को असुरक्षित छोड़ दिया और आंतरिक सोर्स कोड को सार्वजनिक सॉफ्टवेयर अपडेट में शामिल कर दिया। यह महत्वपूर्ण है क्योंकि एक बार मिथोस जैसा टूल दुश्मनों के हाथ में पहुँच जाए, तो इसकी नकल करना ज़ीरो लागत पर संभव है। जिन राष्ट्रों के पास पहले से ही आक्रामक साइबर प्रोग्राम हैं और जो ज़िम्मेदार प्रकटीकरण में रुचि नहीं रखते, वे अपने अलग-अलग एजेंडा वाले गठबंधन बनाने के लिए नहीं रुकेंगे।

विषमता की समस्या

पिछले तीन दशकों में निर्मित प्रत्येक प्रमुख सुरक्षा ढांचा एक साझा धारणा पर आधारित है: रक्षकों को बेहतर पर्यावरणीय दृश्यता और उच्चतर स्थिति का संरचनात्मक लाभ प्राप्त होता है। रक्षकों के पास स्रोत कोड, आर्किटेक्चर, सेगमेंटेशन और पहचान नियंत्रण का स्वामित्व होता है। यह उच्चतर स्थिति अभी भी मौजूद है, लेकिन मिथोस-श्रेणी की एआई को इसका लाभ उठाने की आवश्यकता नहीं है। जब भेद्यता की खोज की लागत 50 डॉलर है और इसमें महीनों के बजाय कुछ घंटे लगते हैं, तो हमलावर को अब श्रेष्ठ स्थिति की आवश्यकता नहीं रह जाती है।

प्रोजेक्ट ग्लास विंग में 40 से 50 संगठन शामिल हैं। वैश्विक सॉफ्टवेयर इकोसिस्टम में करोड़ों डिप्लॉयमेंट हैं, जिनमें फॉर्च्यून 500 कंपनियों के बुनियादी ढांचे से लेकर आपके क्लाइंट द्वारा 2017 में बनाए गए कस्टम लाइन-ऑफ-बिजनेस एप्लिकेशन तक शामिल हैं, जिनकी तब से किसी ने समीक्षा नहीं की है। मिथोस-क्लास एआई सबसे पहले सबसे बड़े और सबसे अधिक संसाधनों वाले प्लेटफॉर्म को सुरक्षित करेगा क्योंकि वे ही इस गठबंधन के भीतर हैं। उस परिधि के बाहर की हर चीज़, जिस पर आपके क्लाइंट लगभग हर दिन निर्भर रहते हैं, असुरक्षित बनी रहती है, ठीक उसी समय जब हमलावरों ने रक्षकों और अधिकांश सॉफ्टवेयर विक्रेताओं की प्रतिक्रिया से पहले ही कमजोरियों को खोजने और उनका दुरुपयोग करने की क्षमता हासिल कर ली है।

ज़िम्मेदार प्रकटीकरण तब कारगर होता है जब कमज़ोरियाँ एक-एक करके सामने आती हैं, विक्रेता को सूचित की जाती हैं और उचित समय सीमा के भीतर उनका समाधान किया जाता है। मिथोस ने कुछ ही हफ्तों में, स्वचालित रूप से, सभी प्रमुख ऑपरेटिंग सिस्टम और ब्राउज़रों में एक साथ हज़ारों गंभीर कमज़ोरियाँ पाईं। प्रकटीकरण प्रक्रिया इतनी बड़ी मात्रा के लिए डिज़ाइन नहीं की गई थी। दर्जनों गंभीर खामियों के लिए ज़िम्मेदार प्रकटीकरण नोटिस प्राप्त करने वाले विक्रेताओं को ऐसे प्राथमिक निर्णय लेने पड़ते हैं जो उन्होंने पहले कभी नहीं लिए थे, और उनकी इंजीनियरिंग क्षमता खोज दर के अनुरूप नहीं बढ़ी है।

एक महत्वपूर्ण लाभ है। मिथोस कमजोरियों का पता लगाने के साथ-साथ उनके समाधान भी सुझाता है। ग्लासविंग के अंतर्गत आने वाले संगठनों के लिए, सैकड़ों समस्याओं का पता लगाने वाले उसी एआई ने इंजीनियरिंग टीम को समाधान भी सौंप दिया। यह उन 40 से 50 संगठनों के लिए वाकई एक बड़ा फायदा है। बाकी सभी के लिए, समय इस लाभ के बिना ही बीत रहा है।

आपके ग्राहक इन सब से सीधे तौर पर प्रभावित होते हैं। वे जिन SaaS टूल्स पर रोजाना निर्भर रहते हैं, जिन क्लाउड प्लेटफॉर्म्स पर उनका डेटा चलता है, और जिन ब्राउज़र्स को उनके कर्मचारी हर सुबह खोलते हैं, उन सभी में ऐसी कमजोरियां मौजूद होती हैं जिनके बारे में हमलावरों को विक्रेता द्वारा उन्हें ठीक करने से पहले ही पता चल सकता है।

मिथोस-क्लास क्षमता के विरोधियों के हाथों में पहुँचने के शुरुआती संकेतों पर नज़र रखें: कम समय में कई विक्रेताओं द्वारा ज़ीरो-डे खुलासों में असामान्य वृद्धि, विशेष रूप से ऑपरेटिंग सिस्टम, ब्राउज़र और व्यापक रूप से उपयोग किए जाने वाले SaaS प्लेटफ़ॉर्म को एक साथ प्रभावित करना। यह पैटर्न, किसी भी एक खबर से कहीं अधिक, चेतावनी का संकेत है। जब आप इसे देखेंगे, तो प्रसार का प्रश्न स्वतः ही हल हो जाएगा।

शून्य-दिवसीय अर्थव्यवस्था में बदलाव आया है।

असली ज़ीरो-डे मिसाइलें खोजने के लिए ऐतिहासिक रूप से असाधारण मानव कौशल, काफी समय और गहन विशेषज्ञता की आवश्यकता होती थी। इस कमी के कारण बाज़ार सीमित और महंगा हो गया था। राष्ट्र-राज्यों ने विश्वसनीय ज़ीरो-डे मिसाइलों के लिए करोड़ों डॉलर खर्च किए। आपराधिक समूहों ने इन्हें सावधानीपूर्वक जमा किया क्योंकि इन्हें प्राप्त करना महंगा था और संरक्षित रखना मूल्यवान। एनएसए, जीआरयू और समकक्ष एजेंसियों ने अपने ज़ीरो-डे मिसाइल भंडार को रणनीतिक संपत्ति माना और क्षमताओं को समय से पहले नष्ट होने से बचाने के लिए इनका चुनिंदा उपयोग किया।

वह आर्थिक संरचना एक ही धारणा पर आधारित थी: खोज करना कठिन था। क्लाउड मिथोस ने उस धारणा को खत्म कर दिया है।

जब खोज की लागत लगभग शून्य हो जाएगी, तो प्रचलन में मौजूद हमलों की संख्या में ज़बरदस्त वृद्धि होगी। नए विरोधी, जिनके पास पहले आक्रामक अभियानों में भाग लेने के लिए प्रतिभा या संसाधन नहीं थे, अब दोनों को हासिल करने का रास्ता पा चुके हैं। आपराधिक समूह, जो पहले महंगे अधिग्रहण के कारण अपने ज़ीरो-डे हमलों को सीमित मात्रा में करते थे, अब उस बाधा का सामना नहीं करेंगे। राष्ट्र-राज्य, जिनके पास केवल उपयोग करने के लिए हमलों की कमी थी, अब उनके पास ज़रूरत से ज़्यादा हमले मौजूद हैं। परिष्कृत हमलों के लिए प्रवेश बाधा कई गुना कम हो गई है, और यह फिर से नहीं बदलेगी।

नियामक वास्तविकता

अंतर्राष्ट्रीय नियमन इस खतरे को नियंत्रित कर पाएगा या नहीं, इसका सीधा जवाब है: न तो समय रहते और न ही व्यापक रूप से। यह कोई निराशावादी सोच नहीं है। आधुनिक इतिहास में दोहरे उपयोग वाली प्रौद्योगिकी के शासन से जुड़ी हर बड़ी चुनौती का यही प्रमाणित स्वरूप है।

क्रिप्टोग्राफी नीति के क्रियान्वयन में एक दशक की देरी हुई।1990 के दशक तक एन्क्रिप्शन को हथियार निर्यात नियंत्रण के तहत गोला-बारूद की तरह माना जाता था, जबकि वाणिज्यिक इंटरनेट पहले से ही इसके इर्द-गिर्द विकसित हो रहा था। युवा पीढ़ी पर सोशल मीडिया के हानिकारक प्रभावों को अब जाकर कानून में शामिल किया जा रहा है। क्षति होने के काफी समय बादस्वायत्त हथियार संधियाँ अधूरा रहना संयुक्त राष्ट्र की एक दशक लंबी वार्ता के बावजूद, प्रमुख शक्तियों ने विचाराधीन प्रणालियों को लागू करते हुए बाध्यकारी समझौतों को अवरुद्ध किया। प्रत्येक मामले में, प्रौद्योगिकी उन संस्थानों की तुलना में तेज़ी से विकसित हुई जिन्हें इसे नियंत्रित करने के लिए डिज़ाइन किया गया था। एआई भाषा मॉडल के साथ, यह गति और भी तीव्र है, जिससे बड़े पैमाने पर जोखिमों के प्रकट होने से पहले उनका आकलन करने, उनसे बचाव करने और उनके अनुकूल होने के लिए उपलब्ध समय कम हो जाता है।

यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम जोखिम वर्गीकरण और पारदर्शिता संबंधी आवश्यकताओं को संबोधित करता है। यह मिथोस-श्रेणी की आक्रामक क्षमताओं के प्रसार को नियंत्रित करने के लिए कोई सार्थक अंतरराष्ट्रीय ढांचा तैयार नहीं करता है। संयुक्त राज्य अमेरिका के पास कार्यकारी आदेश और प्रमुख कृत्रिम बुद्धिमत्ता विकासकर्ताओं से स्वैच्छिक प्रतिबद्धताएं हैं। स्वैच्छिक प्रतिबद्धताएं उन विकासकर्ताओं को बाध्य नहीं करती हैं जो भाग न लेने का विकल्प चुनते हैं, और न ही वे उन विरोधियों को बाध्य करती हैं जो अन्य माध्यमों से यह क्षमता प्राप्त कर लेते हैं।

एन्थ्रोपिक ने दो महत्वपूर्ण नैतिक दिशा-निर्देश निर्धारित किए। इसने अपने क्लाउड मॉडल को पूर्णतः स्वायत्त हथियार प्रणालियों में उपयोग करने की अनुमति देने से इनकार कर दिया, और इसने अमेरिकी नागरिकों की बड़े पैमाने पर घरेलू निगरानी की अनुमति देने से भी इनकार कर दिया। एन्थ्रोपिक के सीईओ डारियो एमोडी पेंटागन ने कहा कि घरेलू निगरानी के लिए कृत्रिम बुद्धिमत्ता का उपयोग करना "लोकतांत्रिक मूल्यों के विपरीत" होगा, और आज के अत्याधुनिक कृत्रिम बुद्धिमत्ता मॉडल पूरी तरह से स्वायत्त हथियारों के लिए "पर्याप्त विश्वसनीय नहीं" हैं। पेंटागन की प्रतिक्रिया यह थी कि... एंथ्रोपिक को आपूर्ति श्रृंखला जोखिम के रूप में लेबल करें मार्च की शुरुआत में, एंथ्रोपिक को एक ऐसा पदनाम दिया गया जो ऐतिहासिक रूप से विदेशी विरोधियों के लिए आरक्षित था, न कि उन अमेरिकी कंपनियों के लिए जो सरकारी नीति से असहमत थीं। एंथ्रोपिक ने मुकदमा दायर किया, और कैलिफोर्निया के एक संघीय न्यायाधीश ने प्रारंभिक निषेधाज्ञा प्रदान की गई मार्च के अंत में, यह लिखते हुए कि सरकार के पास किसी अमेरिकी कंपनी को नीति से असहमत होने के कारण राष्ट्रीय सुरक्षा के लिए खतरा घोषित करने का कोई वैधानिक आधार नहीं है। 8 अप्रैल को, डीसी सर्किट कोर्ट ऑफ अपील्स ने... पदनाम को रोकने से इनकार कर दिया मुकदमा जारी रहने के दौरान, लेबल को यथावत रखा गया है और 19 मई को मौखिक बहस होनी है। अब तक की सबसे सक्षम सुरक्षा खामी-खोज एआई को छुपाने का विकल्प चुनने वाली कंपनी सुरक्षा मानकों को बनाए रखने के लिए दो संघीय अदालतों में अपनी ही सरकार से लड़ रही है।

जिम्मेदार पक्षों द्वारा संयम बरतने से समय तो मिल जाता है, लेकिन स्थायी सुरक्षा नहीं मिलती। अगले कुछ वर्षों तक आपके ग्राहकों के लिए जो नियामक वातावरण रहेगा, उसमें सबसे शक्तिशाली आक्रामक एआई उपकरण नाममात्र के लिए नियंत्रित होंगे, लेकिन व्यावहारिक रूप से उनका प्रसार हो रहा होगा, और वे ऐसे ढाँचों द्वारा संचालित होंगे जो धीमी गति से बढ़ने वाले खतरे के वातावरण के लिए डिज़ाइन किए गए हैं।

इस दबाव को और बढ़ाते हुए: इन मॉडलों को विकसित करने वाली कंपनियां उन राष्ट्र-राज्यों से बचाव करने की स्थिति में नहीं हैं जो इन्हें चुराने के लिए सबसे अधिक प्रेरित हैं। एंथ्रोपिक, ओपनएआई और उनके समकक्ष मजबूत इंजीनियरिंग संस्कृति और बढ़ती सुरक्षा टीमों वाली सॉफ्टवेयर कंपनियां हैं। वे खुफिया एजेंसियां ​​नहीं हैं। वही राष्ट्र-राज्य जिन्होंने पिछले दो दशकों में परमाणु रहस्य, रक्षा ठेकेदारों की बौद्धिक संपदा और गोपनीय सरकारी फाइलें सफलतापूर्वक चुराई हैं, अब उनके पास एक स्पष्ट लक्ष्य है। मिथोस जैसा मॉडल, एक बार चोरी हो जाने पर, न तो विनिर्माण की आवश्यकता होती है, न आपूर्ति श्रृंखला की और न ही आगे विकास लागत की। यह तुरंत कॉपी हो जाता है और दुश्मन के हाथों में आते ही बड़े पैमाने पर काम करने लगता है। क्या ये कंपनियां एक धैर्यवान, अच्छी तरह से संसाधन संपन्न राष्ट्र-राज्य के खिलाफ अपनी बहुमूल्य संपत्तियों की रक्षा कर सकती हैं, यह एक ऐसा प्रश्न है जिसका उद्योग ने अभी तक संतोषजनक उत्तर नहीं दिया है।

राष्ट्र-राज्य आयाम

ईरान, चीन, रूस और उत्तर कोरिया सभी परिष्कृत आक्रामक साइबर प्रोग्राम संचालित करते हैं। वे ज़ीरो-डे साइबर हमलों का भंडार रखते हैं और कई सार्वजनिक अभियोगों, आरोप रिपोर्टों और घटना के बाद के विश्लेषणों में नागरिक बुनियादी ढांचे के खिलाफ विनाशकारी हमले करने की इच्छा और क्षमता प्रदर्शित कर चुके हैं।

मिथोस इन कलाकारों को वह चीज़ नहीं देता जिसकी उन्हें वैचारिक रूप से कमी थी। एक बार प्राप्त हो जाने पर, चाहे चोरी से हो या मिथोस के प्रतिस्पर्धियों द्वारा व्यावसायिक पहुँच प्राप्त करने से, यह उन्हें पैमाना, गति और एक ऐसी लागत संरचना प्रदान करता है जो उन संसाधन बाधाओं को दूर करती है जो पहले उनकी परिचालन गति को सीमित करती थीं।

जिन लक्ष्यों को पहले निवेश के लिहाज से बहुत छोटा या अस्पष्ट माना जाता था, वे खोज और उपयोग में लगभग शून्य लागत आने पर आर्थिक रूप से व्यवहार्य हो जाते हैं। आपके मध्यम आकार के ग्राहक, जैसे कि एक क्षेत्रीय निर्माता, एक स्वास्थ्य सेवा नेटवर्क, 200 कर्मचारियों वाली एक वित्तीय सेवा फर्म, ऐतिहासिक रूप से अस्पष्टता के माध्यम से सुरक्षा के एक संस्करण से लाभान्वित होते रहे हैं। ऐसा इसलिए नहीं कि उनकी सुरक्षा मजबूत थी, बल्कि इसलिए कि उन्हें भेदने के लिए ऐसे प्रयास की आवश्यकता होती थी जिसे उच्च-मूल्य वाले लक्ष्यों पर बेहतर ढंग से खर्च किया जा सकता था। यह समीकरण तब बदल जाता है जब मिथोस-श्रेणी के उपकरण बड़े पैमाने पर कम लागत में सुरक्षा प्रदान करते हैं।

महत्वपूर्ण बुनियादी ढांचा सबसे गंभीर जोखिम प्रस्तुत करता है। बिजली ग्रिड, जल शोधन प्रणाली, अस्पताल नेटवर्क और वित्तीय निपटान प्रणाली, ये सभी ग्लास विंग गठबंधन से बाहर के सॉफ़्टवेयर पर चलते हैं। इनमें से कई पुराने कोड पर चल रहे हैं जिनकी वर्षों से ऑडिटिंग नहीं हुई है और ये ऐसे बुनियादी ढांचे पर आधारित हैं जिन्हें आधुनिक खतरों को ध्यान में रखकर डिज़ाइन नहीं किया गया था। मिथोस-क्लास क्षमता वाला और ज़िम्मेदार प्रकटीकरण में कोई रुचि न रखने वाला शत्रु किसी एक उच्च-मूल्य वाले लक्ष्य को चुनने की आवश्यकता नहीं रखता। वे हर चीज़ की जांच करते हैं, हर चीज़ का पता लगाते हैं और बाद में प्राथमिकता तय करते हैं।

पारस्परिक रूप से सुनिश्चित विनाश की अवधारणा परमाणु निवारक के रूप में कारगर साबित हुई क्योंकि दोनों पक्ष समझते थे कि जवाबी कार्रवाई निश्चित और समरूप होगी। साइबर संघर्ष में ये विशेषताएं नहीं होतीं। इसमें दोषारोपण करना कठिन होता है। जवाबी कार्रवाई की सीमाएं स्पष्ट नहीं होतीं। कई विनाशकारी हमले सशस्त्र संघर्ष की सीमा से नीचे रहने के लिए डिज़ाइन किए जाते हैं।मिथोस-श्रेणी की आक्रामक एआई उन अभिनेताओं के लिए एक नए प्रकार की दण्डमुक्ति पैदा करती है जो प्रतिशोध की सीमा से नीचे काम करने को तैयार हैं, जो आज किए जा रहे अधिकांश राष्ट्र-राज्य साइबर अभियानों का वर्णन करता है।

वास्तव में क्या बदला है?

उद्यम सुरक्षा में कई लंबे समय से चली आ रही मान्यताएं अब परिचालन की दृष्टि से अविश्वसनीय हैं और उनका सीधे तौर पर उल्लेख करना आवश्यक है।

परिधि सुरक्षा से सार्थक सुरक्षा मिलती है, यह धारणा वर्षों से चुनौती का सामना कर रही है, और उद्योग ने इसके जवाब में ज़ीरो-ट्रस्ट आर्किटेक्चर को अपनाया है। नया यह है कि परिधि की कमज़ोरियों का पता कितनी तेज़ी से लगाया जा रहा है और उनका दुरुपयोग किया जा रहा है। ज़ीरो-ट्रस्ट अभी भी सही ढांचा है। इसे पूरी तरह से लागू करने की आवश्यकता और भी बढ़ गई है।

यह धारणा कि अनुपालन ढाँचे पर्याप्त सुरक्षा प्रदान करते हैं, हमेशा से ही अपूर्ण रही है। जो ग्राहक पिछली तिमाही में अपना SOC 2 ऑडिट पूरा कर चुके हैं और खुद को सुरक्षित मानते हैं, वे झूठी सुरक्षा की भावना में जी रहे हैं। अनुपालन ढाँचे एक ऐसे आधारभूत मानक का वर्णन करते हैं जो धीमी गति से बढ़ने वाले और अधिक जोखिम भरे खतरे वाले वातावरण को ध्यान में रखकर तैयार किया गया है।

यह धारणा कि छोटे और मध्यम आकार के संगठन कम प्राथमिकता वाले लक्ष्य होते हैं क्योंकि समझौता करने के लिए निवेश की आवश्यकता होती है, अब गलत साबित हो चुकी है। आकार और लागत अब गुमनामी की रक्षा नहीं कर सकते।

यह धारणा गलत है कि प्रतिष्ठित विक्रेताओं का सॉफ्टवेयर वर्षों से उत्पादन में होने और विशेषज्ञ जांच में खरा उतरने के कारण काफी हद तक सुरक्षित होता है। ओपनबीएसडी में मौजूद 27 साल पुरानी खामी दशकों तक विशेषज्ञ ऑडिट से बची रही। मिथोस ने इसे कुछ ही घंटों में खोज निकाला। आपके ग्राहकों द्वारा इस्तेमाल किया जाने वाला हर सॉफ्टवेयर, चाहे वह कितना भी प्रतिष्ठित या पुराना हो, इसी अनिश्चितता से भरा होता है।

यह धारणा कि पैच प्रबंधन एक नियमित परिचालन कार्य है न कि रणनीतिक प्राथमिकता, अब समाप्त होनी चाहिए। पैच की आवृत्ति अब एक महत्वपूर्ण जोखिम प्रबंधन निर्णय है।

वह यथास्थिति जो अब मौजूद नहीं है

यह स्पष्ट रूप से बताना आवश्यक है कि क्या परिवर्तन हुआ है, क्योंकि सुरक्षा उद्योग में नए खतरों को धीरे-धीरे आत्मसात करने की प्रवृत्ति होती है, बिना रुके इस पर विचार किए: यह वाला अलग है.

ग्राहकों के साथ अभी प्राथमिकता देने योग्य छह कार्य

1. पैच प्रक्रिया को संक्षिप्त करें और इसे बोर्ड-स्तरीय चर्चा का विषय बनाएं।.
   
   किसी खामी के मौजूद होने और हमलावर द्वारा उसका दुरुपयोग करने के बीच का अंतराल अब समाप्त हो चुका है। मासिक पैचिंग अब उचित नहीं है। महत्वपूर्ण प्रणालियों के लिए साप्ताहिक पैचिंग, जहां वातावरण अनुकूल हो वहां स्वचालित पैचिंग, और सामान्य चक्र से बाहर आपातकालीन पैच के लिए एक स्पष्ट रूप से नियंत्रित प्रक्रिया ही अब आवश्यक मानक हैं। इसे नेतृत्व के समक्ष परिचालन जोखिम प्रबंधन के रूप में प्रस्तुत करें। जब मिथोस-क्लास टूल पचास डॉलर में दशकों पुरानी खामी का पता लगाते हैं और उसी सत्र में एक कारगर समाधान सुझाते हैं, तो विलंबित पैच आईटी कतार में पड़ा एक व्यावसायिक निरंतरता संबंधी निर्णय बन जाता है।
   
2. नए सिरे से तत्परता के साथ ऑडिट करें और हमले की संभावना को कम करें।.
   
   हर उजागर सेवा, पुराना एप्लिकेशन, भुला दिया गया API और अप्रबंधित एंडपॉइंट अब एक बोझ है जिसकी उपयोगिता अवधि कम होती जा रही है। इस तिमाही में प्रत्येक क्लाइंट के साथ एक नई सूची तैयार करें। सबसे पहले बाहरी प्रणालियों को प्राथमिकता दें। मिथोस-क्लास क्षमता वाले दुश्मन को लक्ष्य चुनने की आवश्यकता नहीं होती। वे सब कुछ स्कैन करते हैं, सब कुछ ढूंढते हैं और बाद में प्राथमिकता तय करते हैं। आसानी से मिलने वाली कोई भी चीज़ न छोड़ें।
   
3. ग्राहक के साथ बातचीत को परिधि सुरक्षा से उल्लंघन की आशंका की ओर मोड़ें.
   
   सबसे अधिक जोखिम में वे संगठन हैं जो अभी भी इस धारणा पर काम कर रहे हैं कि एक मजबूत सुरक्षा घेरा हमलावरों को बाहर रखता है। जिन ग्राहकों का प्रदर्शन सबसे अच्छा रहेगा, उन्होंने पहचान नियंत्रण, व्यवहार निगरानी, ​​न्यूनतम विशेषाधिकार आर्किटेक्चर और परीक्षित घटना प्रतिक्रिया योजनाओं में निवेश किया है। नेतृत्व को स्पष्ट रूप से समझाएं: सवाल अब यह नहीं है कि कोई परिष्कृत हमला उनके वातावरण तक पहुंचता है या नहीं। सवाल यह है कि पहुंचने पर यह कितना नुकसान करता है, और वे कितनी जल्दी इसका पता लगाकर इसे नियंत्रित कर पाते हैं। एक परीक्षित घटना प्रतिक्रिया योजना केवल अनुपालन दस्तावेज़ नहीं है। यह एक पुनर्प्राप्त करने योग्य उल्लंघन और एक अपूरणीय उल्लंघन के बीच का अंतर है।
   
4. एआई-संचालित हमलों का मुकाबला एआई-संचालित रक्षा से करें।.
   
   जिस क्षमता में बदलाव से मिथोस आक्रमण में खतरनाक बन जाता है, वही क्षमता रक्षा में भी मौजूद है, और आपके ग्राहकों को इस समीकरण के सही पक्ष में होना आवश्यक है। एआई-संचालित एंडपॉइंट डिटेक्शन, व्यवहार संबंधी विसंगति निगरानी और स्वचालित खतरे की पहचान करने वाले उपकरण अब केवल उद्यमों तक ही सीमित निवेश नहीं रह गए हैं। एआई-सहायता प्राप्त स्कैनिंग उपकरणों को बाज़ार में आते ही अपनाना और रक्षात्मक रूप से उपयोग करना आवश्यक है। ये उपकरण आपके सुरक्षा कार्यक्रम की पहुंच को किसी भी मानव टीम द्वारा मैन्युअल रूप से किए जाने वाले कार्य से कहीं अधिक विस्तारित करते हैं, निरंतर चलते रहते हैं और सुरक्षा उल्लंघन और पहचान के बीच के समय को कम करते हैं। आपके ग्राहकों को यह समझने की आवश्यकता नहीं है कि एआई कैसे काम करता है। उन्हें बस इतना चाहिए कि हमलावर के एआई द्वारा किसी भी खामी का पता लगाने से पहले यह चालू और सुव्यवस्थित हो।
   
5. वेंडर स्टैक का ऑडिट उसी तत्परता से करें जिस तत्परता से आप क्लाइंट के स्वयं के वातावरण का ऑडिट करते हैं।.
   
   आपके ग्राहक ऐसे सॉफ़्टवेयर को पैच नहीं कर सकते जिस पर उनका नियंत्रण नहीं है। वे इस तिमाही में हर महत्वपूर्ण SaaS विक्रेता से कड़े सवाल पूछ सकते हैं। क्या उन्होंने किसी AI-सहायता प्राप्त सुरक्षा स्कैनिंग प्रोग्राम में भाग लिया है? पैच जारी करने की उनकी समय-सीमा क्या है? किसी अप्रत्याशित सुरक्षा खामी का पता चलने पर घटना की सूचना देने की उनकी प्रतिबद्धता क्या है? इन सवालों के जवाबों से पता चलता है कि कौन से विक्रेता स्वीकार्य जोखिम प्रस्तुत करते हैं और कौन से अस्वीकार्य जोखिम प्रस्तुत करते हैं। ग्लास विंग गठबंधन में शामिल या समकक्ष प्रोग्राम चलाने वाले विक्रेताओं का जोखिम उन विक्रेताओं की तुलना में काफी कम है जिन्होंने AI-सहायता प्राप्त सुरक्षा खामियों की खोज में भाग नहीं लिया है। इस आकलन को अभी से हर ग्राहक की विक्रेता समीक्षा प्रक्रिया में शामिल करें और कम से कम सालाना इसकी समीक्षा करें।
   
6. फ़िशिंग प्रतिरोध और एमएफए प्रवर्तन को एआई-संचालित रणनीति का मानवीय-स्तरीय समाधान बनाएं।
   भेद्यता की खोज.
   
   जब तकनीकी खामियों को ढूंढना और उनका दुरुपयोग करना सस्ता हो जाता है, तो हमलावर सबसे आसान रास्ता अपनाते हैं। यह रास्ता हमेशा लोगों के बीच से होकर गुजरता है। मिथोस-क्लास का टूल सॉफ्टवेयर में छिपी खामी को ढूंढ निकालता है। एक सुनियोजित फ़िशिंग ईमेल हमलावर को एक ही बार में हर दरवाजे की चाबी दे देता है। हर क्लाइंट वातावरण में फ़िशिंग-रोधी मल्टीफ़ैब्रिकेशन (MFA) लागू करना, पासवर्ड के दोबारा इस्तेमाल को रोकना और नियमित रूप से फ़िशिंग सिमुलेशन चलाना, ये वे मानवीय नियंत्रण हैं जो हमलावर की उस क्षमता को सीमित करते हैं जिसे वह तब भी हासिल कर सकता है जब उसका AI तकनीकी खामी को ढूंढ लेता है।

महत्वपूर्ण अंतराल

ऊपर दिए गए छह सुझाव एक शुरुआत हैं, अंतिम लक्ष्य नहीं। इस दौर से सुरक्षित निकलने वाले संगठन वे होंगे जिनकी सुरक्षा व्यवस्था इस धारणा पर आधारित है कि सुरक्षा उल्लंघन होते हैं, रोकथाम की पूर्णता से अधिक महत्वपूर्ण है पता लगाने की गति, नेटवर्क और डेटा को एक दूसरे से अलग रखना, और जहां पुनर्प्राप्ति क्षमताएं एक मूलभूत व्यावसायिक प्राथमिकता और संपत्ति हैं।

जो पेशेवर सुरक्षा को वार्षिक अनुपालन अभ्यास के बजाय एक सतत परिचालन अनुशासन के रूप में देखते हैं, वे भी मिथोस के प्रभाव से अछूते नहीं हैं। वे इसे आत्मसात करने, इस पर प्रतिक्रिया देने और इससे उबरने में उन लोगों की तुलना में बेहतर स्थिति में हैं जो ऐसा नहीं करते।

चेतावनी अब काल्पनिक नहीं रह गई हैं, और व्यवधान अब दूर की बात नहीं हैं। स्थिति सबके सामने आ चुकी है और पैंडोरा का पिटारा खुल चुका है। जो बात पिछले साल किसी काल्पनिक कहानी जैसी लगती थी, वह आज एक पुख्ता परीक्षण का नतीजा है। अगर आपके ग्राहक अभी तक इस वास्तविकता को नहीं समझ पाए हैं, तो इस तिमाही में उनसे होने वाली आपकी बातचीत पिछले कई सालों में सबसे महत्वपूर्ण बातचीत होगी। तैयार और अप्रस्तुत के बीच का यह अंतर ही अब सबसे ज़्यादा मायने रखता है। आपका काम इसे पाटना है।

---

सूत्रों का कहना है:

• सिक्योरवर्ल्ड, 6 मई 2026: अमेरिका की सीएआईएसआई सुरक्षा और उपयुक्तता के लिए सभी फ्रंटियर मॉडलों की समीक्षा कर रही है।
• सीएनएन बिजनेस, मई 2024 – बर्कशायर हैथवे की वार्षिक बैठक में वारेन बफेट ने एआई पर अपनी राय रखी।
• कैम्ब्रिज विश्वविद्यालय, अक्टूबर 2016 – स्टीफन हॉकिंग का एआई के जोखिम पर विचार
• एनपीआर, मई 2023 – जेफ्री हिंटन, जिन्हें 'एआई का गॉडफादर' कहा जाता है, ने एआई के संभावित खतरों के बारे में चेतावनी जारी की है।
• GatesNotes.com, जुलाई 2023 – कृत्रिम बुद्धिमत्ता के जोखिम वास्तविक हैं लेकिन प्रबंधनीय हैं।
• मानवजनित सुरक्षा संबंधी खुलासा, फरवरी 2026 – क्लाउड मिथोस, प्रोजेक्ट ग्लास विंग, एक्सप्लॉइट डेटा, सैंडबॉक्स
  भागने और आंतरिक जोखिम की घटनाओं
• मानवजनित आपूर्ति श्रृंखला जोखिम, 4 मार्च 2026 – पेंटागन ने मानवजनित आपूर्ति श्रृंखला को जोखिमपूर्ण बताया
• मानवजनित आपूर्ति श्रृंखला निषेधाज्ञा, 27 मार्च 2026 – मानव रूपी संघीय न्यायाधीश ने आपूर्ति श्रृंखला के जोखिम को रोका
• एंथ्रोपिक ने आपूर्ति श्रृंखला जोखिम अपील में हार का सामना किया, 8 अप्रैल 2026, मानव अवशेषों को आपूर्ति श्रृंखला जोखिम के रूप में चिह्नित किया गया है
• क्रिप्टोग्राफी: न्यू अमेरिका, जून 2015 – क्या हम इतिहास दोहराने के लिए अभिशप्त हैं? क्रिप्टो युद्धों से सबक
  1990 के दशक के
• अमेरिकी स्वास्थ्य एवं मानव सेवा विभाग, फरवरी 2025 – सर्जन जनरल की सामाजिक मामलों पर सलाहकार समिति
  मीडिया और युवा मानसिक स्वास्थ्य
• शस्त्र नियंत्रण संघ, जनवरी 2025 भू-राजनीति और स्वायत्त हथियारों का विनियमन
  ऊर्जा प्रणालियाँ
• यूरोपीय संघ का कृत्रिम बुद्धिमत्ता अधिनियम, फरवरी 2024 – उच्च-स्तरीय सारांश

---

साइबरहूट के साथ आज ही अपना व्यवसाय सुरक्षित करें!