কিভাবে এআই হ্যাকাররা সাইবার-নিরাপত্তাকে নাড়া দেবে

সমস্যাটি এই নয় যে মিথোস বগি বা অবিশ্বস্ত। কথিত আছে, এটি এত ভালোভাবে কাজ করে যে এটি প্রকাশ করলে বিশ্বের ডিজিটাল অবকাঠামো ঝুঁকির মুখে পড়বে। অ্যানথ্রপিকের মতে, জনপ্রিয় অপারেটিং সিস্টেম থেকে শুরু করে ই-কমার্স এবং আর্থিক নেটওয়ার্কগুলিকে সুরক্ষিত করে এমন ক্রিপ্টোগ্রাফিক সফ্টওয়্যার পর্যন্ত সমস্ত কিছুতে সুরক্ষা গর্ত খুঁজে বের করার এবং শোষণ করার ক্ষেত্রে মডেলটি “সবচেয়ে দক্ষ মানুষ ছাড়া” ছাড়িয়ে গেছে৷ এবং এটি শুধুমাত্র ন্যূনতম মানব সাহায্যের মাধ্যমে সেই দুর্বলতাগুলি খুঁজে পেতে পারে। ছাড়িয়ে যাবে না, কিছু দিন পরে ওপেনএআই, অ্যানথ্রপিকের অন্যতম প্রতিযোগী, তার নিজস্ব হ্যাকিং-বান্ধব মডেলের একটি বন্ধ সংস্করণ ঘোষণা করেছে, যার নাম GPT 5.4 সাইবার।

“ভাইব হ্যাকিং” এর একটি জগৎ, যেখানে অপেশাদাররা সফ্টওয়্যারের ত্রুটিগুলি খুঁজে পেতে AI মডেলগুলি ব্যবহার করতে পারে—এবং সম্ভবত তাদের ক্র্যাশ করার জন্য প্রয়োজনীয় “শোষণ” লিখতে পারে, তাদের মুক্তিপণ দিতে বা এমনকি দূর থেকে তাদের নিয়ন্ত্রণ নিতে পারে — সেগুলির সুবিধা নিন — ভয়ঙ্কর শোনাচ্ছে৷ অ্যানথ্রোপিক-এর ঘোষণার কিছুক্ষণ পরে, আমেরিকার ট্রেজারি সেক্রেটারি, স্কট বেসেন্ট, তাদের ব্যবসার জন্য এআই-সক্ষম হ্যাকিংয়ের অর্থ কী হতে পারে তা নিয়ে আলোচনা করার জন্য ব্যাঙ্ক কর্তাদের একটি বৈঠকের আয়োজন করেন। ব্রিটেনের আর্থিক নিয়ন্ত্রকরা কয়েকদিন পর একই ধরনের বৈঠকের আয়োজন করে। তবে নিরাপত্তা গবেষকরা নিজেরাই সতর্কভাবে আশাবাদী বলে মনে হচ্ছে। “মাঝারি মেয়াদে আমি মনে করি এটি একটি জগাখিচুড়ি হবে,” ব্রুস স্নাইয়ার বলেছেন, একজন আমেরিকান কম্পিউটার-নিরাপত্তা বিশেষজ্ঞ৷ “কিন্তু দীর্ঘমেয়াদে আমি মনে করি এটা আসলে ডিফেন্ডারদের জন্য ভালো হবে।”

যেহেতু অ্যানথ্রোপিক মিথোস সম্পর্কে শুধুমাত্র সীমিত তথ্য প্রকাশ করেছে, তাই নতুন মডেলটি বিবর্তনবাদের পরিবর্তে যে মাত্রায় সত্যিই বিপ্লবী তা বিচার করা কঠিন (এবং তীব্র বিতর্ক)। ব্রিটিশ সরকারী সংস্থা এআই সিকিউরিটি ইনস্টিটিউটের পরীক্ষায় দেখা গেছে যে মিথোস তুলনামূলকভাবে সহজ সাইবার-নিরাপত্তা পরীক্ষায় অন্যান্য মডেলের সাথে ঘাড়-ঘাড় ছিল, কিন্তু লক্ষ্যমাত্রার মেশিন সফলভাবে হাতে নেওয়ার আগে একটি মডেলের কয়েক ডজন ধাপ সম্পূর্ণ করতে প্রয়োজন হয়।

অ্যানথ্রোপিক-এর গবেষকরা যে প্রধান জিনিসটি তদন্ত করেছেন তা হল মিথোসের বাগগুলি বের করার ক্ষমতা যা হ্যাকাররা আক্রমণ করতে বা অন্য কম্পিউটারের নিয়ন্ত্রণ পেতে ব্যবহার করতে পারে। তারা বিশেষভাবে এমন বাগগুলির জন্য সন্ধান করেছিল যা আগে কখনও পাওয়া যায়নি (জার্গনে “শূন্য-দিন” হিসাবে পরিচিত)। সেগুলি খুঁজে বের করা প্রমাণ করবে যে মডেলটি অভিনব কাজ করছে, এবং কেবল পরিচিত বাগগুলিকে পুনর্গঠন করা নয় যা এটির প্রশিক্ষণের ডেটাতে এসেছিল।

শূন্য-দিন সর্বত্র লুকিয়ে আছে, জেফ উইলিয়ামস বলেছেন, কন্ট্রাস্ট সিকিউরিটি, একটি সফ্টওয়্যার ফার্ম এবং ওপেন ওয়ার্ল্ডওয়াইড অ্যাপ্লিকেশন সিকিউরিটি প্রজেক্ট ফাউন্ডেশনের সহ-প্রতিষ্ঠাতা, সফ্টওয়্যারের নিরাপত্তার উন্নতির জন্য নিবেদিত একটি অলাভজনক৷ যদিও মিথোসে উচ্চ বা সমালোচনামূলক-তীব্রতার ত্রুটিগুলির “হাজার হাজার” পাওয়া গেছে বলে বলা হয়, তবে অ্যানথ্রোপিক সেগুলি ঠিক না করা পর্যন্ত সবচেয়ে গোপন রাখছে। কিন্তু ফার্মটি কিছু বিবরণ প্রকাশ করেছে, যার মধ্যে একটি FreeBSD, একটি বহুল ব্যবহৃত অপারেটিং সিস্টেম, আরেকটি FFmpeg-এ, একটি ভিডিও-এবং-অডিও কোড লাইব্রেরি এবং তৃতীয়টি- যা ক্লাউড কম্পিউটিং-এর জন্য অত্যাবশ্যক সফ্টওয়্যারে অনির্দিষ্ট রয়ে গেছে।

অ্যানথ্রপিক দ্বারা রিপোর্ট করা অনেক বাগ, যদি সহজ না হয়, তাহলে অন্তত বোধগম্য। এগুলি এমন কিছু জিনিস যা একজন মানুষ সম্ভবত খুঁজে পেতে পারে। এগুলিও অন্য এআই মডেলগুলি খুঁজে পেতে পারে এমন জিনিস বলে মনে হচ্ছে। অ্যানথ্রপিকের ঘোষণার পরপরই প্রকাশিত একটি ব্লগ পোস্টে, স্ট্যানিস্লাভ ফোর্ট, একটি এআই-কেন্দ্রিক সাইবার-নিরাপত্তা সংস্থা, AISLE-এর প্রতিষ্ঠাতা, FreeBSD-তে একই বাগ খুঁজে পেতে বেশ কয়েকটি ছোট, পুরানো মডেল ব্যবহার করে বর্ণনা করেছেন। এআই-চালিত বাগ-হান্টিংয়ের সাথে তার নিজস্ব ফার্মের অভিজ্ঞতার উদ্ধৃতি দিয়ে, ডঃ ফোর্ট মনে করেন এআই সাইবার-নিরাপত্তা সীমানা “জ্যাগড”, কোন মডেলের স্পষ্ট প্রান্ত নেই।

সবাই একমত যে শিল্পের অবস্থা দ্রুত অগ্রসর হচ্ছে। সম্প্রতি পর্যন্ত এআই বাগ-হান্টিং মিথ্যা ইতিবাচক বা তুচ্ছ ফলাফল তৈরির প্রবণ ছিল। “গত কয়েক মাসে আমি একটি পরিবর্তন লক্ষ্য করেছি যে এই AI-উত্পাদিত বাগ রিপোর্টগুলির অনেকগুলি ক্রমবর্ধমান ভাল মানের হচ্ছে,” মিঃ শ্নেয়ার বলেছেন। ওপেনএসএসএল-এর জানুয়ারিতে একটি আপডেট, যা ওয়েবসাইটের মধ্যে সুরক্ষিত সংযোগ নিশ্চিত করতে সাহায্য করে, ডঃ ফোর্টের ফার্ম দ্বারা নিযুক্ত এআই মডেলগুলির দ্বারা পাওয়া এক ডজন নিরাপত্তা ত্রুটি সংশোধন করেছে। মার্চ মাসে অ্যানথ্রপিক নিজেই ঘোষণা করেছে যে ক্লডের একটি পুরানো, প্রাক-মিথোস সংস্করণ 2025 সালে ফায়ারফক্স, একটি ওয়েব ব্রাউজারে ঠিক করা সমস্ত উচ্চ-তীব্রতার বাগগুলির প্রায় পঞ্চমাংশ খুঁজে পেয়েছে।

AI মডেলের ক্রমবর্ধমান শক্তি বাগগুলি খুঁজে বের করা সহজ করে তোলে, মিঃ স্নাইয়ার বলেন, প্রশ্নটি হয়ে ওঠে যে আক্রমণকারীরা ডিফেন্ডাররা সেগুলি ঠিক করতে পারে তার চেয়ে দ্রুত তাদের শোষণ করতে পারে কিনা। এখানেই প্রজেক্ট গ্লাসউইং আসে৷ অ্যানথ্রোপিক বলে যে এটি গ্লাসউইংকে আরও 40টি ডিজিটাল-অবকাঠামো সংস্থায় প্রসারিত করছে, যাতে তারা ইন্টারনেট নির্ভর করে এমন সফ্টওয়্যারটিকে শক্ত করতে মিথোস ব্যবহার করতে পারে৷ নৃতাত্ত্বিক আশা করে যে তাদের এখন অ্যাক্সেস দেওয়া, একইভাবে শক্তিশালী মডেলগুলি ব্যাপকভাবে উপলব্ধ হওয়ার আগে, তাদের যতটা সম্ভব বাগ খুঁজে বের করতে এবং ঠিক করার জন্য সময় দেবে।

দ্য ইকোনমিস্টের সকল গবেষকরা ভেবেছিলেন যে, দীর্ঘমেয়াদে, এআই-সক্ষম হ্যাকিং সম্ভবত আক্রমণকারীদের থেকে রক্ষাকারীদের বেশি সাহায্য করবে, কোম্পানিগুলিকে তাদের সফ্টওয়্যার প্রকাশের আগে আরও পুঙ্খানুপুঙ্খভাবে পরীক্ষা করার অনুমতি দিয়ে। কিন্তু চিন্তা করার জন্য প্রচুর স্বল্পমেয়াদী আছে। একটি জিনিসের জন্য, AI চেকিং সস্তা নয়: অ্যানথ্রপিক বলছে যে একটি বাগ খুঁজে পেয়েছে তার জন্য AI ল্যাবে প্রায় $20,000-মূল্যের টোকেনগুলি খুঁজে পাওয়া গেছে। লিনাক্সের মতো সফ্টওয়্যারগুলির জন্য, বহুল ব্যবহৃত অপারেটিং সিস্টেমের একটি পরিবার যা কমপক্ষে আংশিকভাবে স্বেচ্ছাসেবকদের দ্বারা রক্ষণাবেক্ষণ করা হয়, এটি একটি খাড়া দাম হবে। এবং বিশ্বের বেশিরভাগ কোড আউট – হোম রাউটার, টিভি বা ফ্রিজ এবং শিল্প যন্ত্রপাতির মতো স্মার্ট গ্যাজেটগুলিতে চলে – কেউ এটিকে বজায় রাখে না। এই ধরনের ক্ষেত্রে, আক্রমণকারীদের একটি মাঠের দিন থাকতে পারে।