AI-आधारित बग हंटिंगमुळे सुरक्षा त्रुटींमध्ये (Security Vulnerabilities) मोठी वाढ
सायबर सुरक्षेचे स्वरूप वेगाने बदलत आहे, कारण कृत्रिम बुद्धिमत्ता (AI) आता केवळ एक निष्क्रिय सहाय्यक न राहता एक सक्रिय 'बग हंटर' (bug hunter) म्हणून समोर येत आहे. अलीकडील आकडेवारीनुसार, सुरक्षा ऑडिटसाठी विशेष LLMs चा वापर केल्यामुळे सॉफ्टवेअरमधील त्रुटींच्या (vulnerabilities) अहवालांमध्ये अभूतपूर्व वाढ झाली आहे.
CVE रिपोर्टिंगमधील झपाट्याने होणारी वाढ
Epoch AI च्या अलीकडील निष्कर्षानुसार, उच्च-गंभीरता (high-severity) आणि गंभीर Common Vulnerabilities and Exposures (CVEs) च्या अहवालांची संख्या ऐतिहासिक पातळीवर पोहोचली आहे. केवळ जून २०२६ मध्ये, २१ संस्थांनी सुमारे १,५०० गंभीर त्रुटींची नोंद केली—ही संख्या मागील मासिक विक्रमापेक्षा ३.५ पटीहून अधिक आहे.
ही वाढ केवळ एक योगायोग नसून सुरक्षा संशोधनातील 'autonomous agentic workflows' च्या एकत्रीकरणाचा थेट परिणाम आहे. एप्रिल २०२६ पासून डेटा एक स्पष्ट वाढीचा कल दर्शवतो, जो जागतिक डेटाबेसमध्ये सॉफ्टवेअरमधील दोष कसे ओळखले जातात आणि नोंदवले जातात, यामधील एक महत्त्वाचा टप्पा आहे.
Anthropic चे Claude Mythos आणि "Glasswing" प्रोग्राम
या वाढीचे मुख्य कारण Anthropic चे Claude Mythos Preview हे असल्याचे दिसून येते. एप्रिलमध्ये जाहीर करण्यात आलेले हे मॉडेल विशेषतः सॉफ्टवेअरमधील त्रुटी शोधण्यासाठी (autonomously hunt) तयार करण्यात आले आहे. Anthropic ने खुलासा केला की, पब्लिक प्रिव्ह्यूपूर्वीच, विश्वासू भागीदार त्रुटी शोधण्यासाठी आणि त्या सुधारण्यासाठी (patch) या मॉडेलचा वापर करत होते.
या विशेष मॉडेल्सचा प्रभाव Anthropic च्या "Glasswing" प्रोग्रामद्वारे उत्तम प्रकारे दिसून येतो. या उपक्रमांतर्गत आतापर्यंत १०,००० हून अधिक उच्च-गंभीरता किंवा गंभीर त्रुटी समोर आल्या आहेत असे समजते. विशेषतः, यातील मोठा भाग अद्याप सार्वजनिक केलेला नाही, ज्यावरून असे सूचित होते की AI-आधारित त्रुटी शोधण्याचे खरे प्रमाण सध्याच्या अहवालांपेक्षाही अधिक असू शकते.
स्पर्धात्मक शर्यत: OpenAI आणि ऑटोमेटेड ऑडिटिंगचे भविष्य
या अत्यंत महत्त्वाच्या क्षेत्रात Anthropic हा एकमेव खेळाडू नाही. उद्योग आता "red-teaming-as-a-service" मॉडेलकडे वळत असल्याने, OpenAI चा "Daybreak" प्रोग्राम देखील त्रुटींच्या अहवालांमध्ये वाढ करण्यास हातभार लावत आहे. आघाडीच्या AI लॅब्समधील ही स्पर्धा जागतिक सॉफ्टवेअर स्टॅकवर प्रभावीपणे एक विशाल, ऑटोमेटेड ऑडिट लेयर तयार करत आहे.
डेव्हलपर्स आणि संस्थापकांसाठी (founders) हा बदल दुधारी तलवारीसारखा आहे. Claude Mythos आणि OpenAI च्या Daybreak मधील तंत्रज्ञान दुर्भावनापूर्ण घटक (malicious actors) त्रुटींचा फायदा घेण्यापूर्वीच त्या शोधून एक शक्तिशाली संरक्षणात्मक कवच प्रदान करते; परंतु, समोर येणाऱ्या त्रुटींच्या प्रचंड संख्येमुळे DevOps आणि सुरक्षा टीम्सवर प्रणाली वेगाने सुधारण्यासाठी (patch) मोठा दबाव निर्माण होत आहे.
AI इकोसिस्टमसाठी हे का महत्त्वाचे आहे
ही घडामोड "Agentic Security" च्या आगमनाचे संकेत देते. आपण मॅन्युअल कोड रिव्ह्यूकडून सतत चालणाऱ्या, AI-आधारित ऑडिटिंग चक्राकडे वळत आहोत. जसे LLMs गुंतागुंतीच्या कोडबेसचे विश्लेषण करण्यात अधिक सक्षम होतील, तसे सॉफ्टवेअर सुरक्षेचे स्वरूप "reactive patching" कडून "proactive eradication" कडे बदलेल, ज्यामुळे सॉफ्टवेअर डेव्हलपमेंटच्या जीवनचक्रामध्ये मूलभूत बदल होतील.
मुख्य निष्कर्ष
- अभूतपूर्व प्रमाण: उच्च-गंभीरता असलेल्या CVE अहवालांची संख्या एका महिन्यात १,५०० पर्यंत पोहोचली, जी मागील विक्रमापेक्षा ३.५ पटीहून अधिक आहे.
- बदल घडवणारी विशेष मॉडेल्स: Anthropic चे Claude Mythos Preview आणि OpenAI चे Daybreak हे स्वायत्त त्रुटी शोधण्याच्या (autonomous vulnerability discovery) क्षेत्रात आघाडीवर आहेत.
- शोधण्याचे प्रचंड प्रमाण: केवळ Anthropic च्या Glasswing प्रोग्रामने १०,००० हून अधिक गंभीर त्रुटी शोधल्या आहेत, जे AI-आधारित सुरक्षा ऑडिटिंगच्या अफाट क्षमतेवर प्रकाश टाकते.
