Anthropic ने चेतावनी दी कि AI-संचालित साइबर हमले 24 महीनों में बढ़ेंगे
Zach Anderson 10 अप्रैल 2026 23:18
Anthropic ने सुरक्षा दिशानिर्देश जारी किए क्योंकि Project Glasswing से पता चलता है कि फ्रंटियर AI मॉडल अब मानव रक्षकों की तुलना में तेजी से कमजोरियों को खोज और उनका दोहन कर सकते हैं।
Anthropic ने इस सप्ताह एक गंभीर मूल्यांकन जारी किया: दो वर्षों के भीतर, AI मॉडल सॉफ़्टवेयर कमजोरियों की विशाल संख्या को उजागर करेंगे जो वर्षों से कोड में अनदेखी रही हैं—और उन्हें कार्यशील एक्सप्लॉइट्स में जोड़ेंगे। कंपनी की सुरक्षा टीमों ने Project Glasswing के साथ विस्तृत रक्षात्मक सिफारिशें जारी कीं, जो साइबर रक्षा के लिए Claude Mythos Preview की क्षमताओं को तैनात करने की उनकी पहल है।
यहां गणित जटिल नहीं है। यदि हमलावर कमजोरी खोज और एक्सप्लॉइट निर्माण को स्वचालित करने के लिए फ्रंटियर मॉडल का उपयोग कर सकते हैं, तो पैच जारी होने और कार्यशील एक्सप्लॉइट दिखाई देने के बीच की खिड़की नाटकीय रूप से सिकुड़ जाती है। Anthropic के सुरक्षा इंजीनियरों ने अपने स्वयं के परीक्षण में ऐसा होते देखा है।
उनके शोध में वास्तव में क्या पाया गया
Anthropic के तकनीकी निष्कर्षों के अनुसार, AI मॉडल अनपैच्ड सिस्टम में ज्ञात कमजोरियों के हस्ताक्षरों को पहचानने में उत्कृष्ट हैं। एक पैच को कार्यशील एक्सप्लॉइट में उलटना—बिल्कुल वैसा ही यांत्रिक विश्लेषण जिसे ये मॉडल अच्छी तरह से संभालते हैं—पहले विशेष कौशल की आवश्यकता होती थी। अब यह स्वचालित हो रहा है।
कंपनी ने नोट किया कि Mythos क्षमता स्तर से नीचे सार्वजनिक रूप से उपलब्ध मॉडल पहले से ही गंभीर कमजोरियों को खोज सकते हैं जिन्हें पारंपरिक कोड समीक्षाओं ने विस्तारित अवधि के लिए छोड़ दिया था। AI स्कैनिंग के माध्यम से खोजी गई Mozilla Firefox कमजोरियां एक दस्तावेजी उदाहरण के रूप में काम करती हैं।
रक्षात्मक रणनीति
Anthropic की सिफारिशें उन नियंत्रणों को प्राथमिकता देती हैं जो असीमित धैर्य और AI सहायता वाले हमलावरों के खिलाफ भी टिके रहते हैं। घर्षण-आधारित सुरक्षा उपाय—अतिरिक्त पिवट हॉप्स, दर सीमाएं, गैर-मानक पोर्ट—प्रभावशीलता खो देते हैं जब विरोधी स्वचालित रूप से थकाऊ चरणों से गुजर सकते हैं।
उनकी शीर्ष प्राथमिकताएं:
पैच वेग पहले से कहीं अधिक मायने रखता है। इंटरनेट-सामना करने वाले एप्लिकेशन को एक्सप्लॉइट उपलब्ध होने के 24 घंटों के भीतर पैच प्राप्त करने चाहिए। CISA Known Exploited Vulnerabilities कैटलॉग को आपातकालीन कतार के रूप में माना जाना चाहिए। Anthropic बाकी सब कुछ प्राथमिकता देने के लिए EPSS (Exploit Prediction Scoring System) का उपयोग करने की सिफारिश करता है।
10x कमजोरी रिपोर्ट वॉल्यूम के लिए तैयार रहें। अगले दो वर्षों में, इंटेक और ट्राइएज प्रक्रियाएं उस दबाव का सामना करेंगी जो उन्होंने कभी अनुभव नहीं किया है। साप्ताहिक स्प्रेडशीट बैठकें चलाने वाले संगठन गति बनाए नहीं रख पाएंगे।
हमलावरों से पहले फ्रंटियर मॉडल के साथ अपने खुद के कोड को स्कैन करें। यह Anthropic की सबसे अधिक जोर दी गई सिफारिश थी। लीगेसी कोड जो वर्तमान समीक्षा प्रथाओं से पहले का है—विशेष रूप से वह कोड जिसके मूल लेखक आगे बढ़ चुके हैं—सक्रिय स्कैनिंग के लिए उच्चतम-मूल्य लक्ष्य का प्रतिनिधित्व करता है।
Zero Trust वास्तविक हो जाता है
मार्गदर्शन हार्डवेयर-बाउंड क्रेडेंशियल्स और पहचान-आधारित सेवा अलगाव की ओर जोर देता है। एक समझौता किया गया बिल्ड सर्वर उत्पादन डेटाबेस तक नहीं पहुंचना चाहिए। एक समझौता किया गया लैपटॉप बिल्ड इंफ्रास्ट्रक्चर को नहीं छूना चाहिए।
स्टैटिक API कुंजियां, एम्बेडेड क्रेडेंशियल्स, और साझा सेवा-खाता पासवर्ड को "मॉडल-सहायता प्राप्त कोड विश्लेषण वाले हमलावर द्वारा खोजी जाने वाली पहली चीजों में से" के रूप में वर्णित किया गया है।
छोटे संचालन के लिए
समर्पित सुरक्षा टीमों के बिना संगठनों को विशिष्ट सलाह मिली: हर जगह स्वचालित अपडेट सक्षम करें, स्व-होस्टिंग पर प्रबंधित सेवाओं को प्राथमिकता दें, पासकी या हार्डवेयर सुरक्षा कुंजी का उपयोग करें, और GitHub के Dependabot और CodeQL जैसे कोड होस्ट से मुफ्त सुरक्षा टूलिंग चालू करें।
ओपन-सोर्स मेंटेनर्स को बढ़ी हुई कमजोरी रिपोर्ट वॉल्यूम की उम्मीद करनी चाहिए—कुछ मूल्यवान, कुछ स्वचालित शोर। स्पष्ट इंटेक प्रक्रियाओं के साथ SECURITY.md प्रकाशित करना सिग्नल को स्पैम से अलग करने में मदद करता है।
Anthropic ने Project Glasswing की प्रगति के रूप में इस मार्गदर्शन को अपडेट करने का वचन दिया। SOC 2 और ISO 27001 अनुपालन को ट्रैक करने वाले उद्यमों के लिए, अधिकांश सिफारिशें सीधे मौजूदा नियंत्रणों से मैप होती हैं। अब अंतर तात्कालिकता है।
छवि स्रोत: Shutterstock- साइबर सुरक्षा
- आर्टिफिशियल इंटेलिजेंस
- anthropic
- claude
- एंटरप्राइज सुरक्षा
