AI-ਅਧਾਰਿਤ ਬੱਗ ਹੰਟਿੰਗ (Bug Hunting) ਨਾਲ ਸੁਰੱਖਿਆ ਕਮਜ਼ੋਰੀਆਂ ਵਿੱਚ ਭਾਰੀ ਵਾਧਾ

ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਦਾ ਖੇਤਰ ਇੱਕ ਵੱਡੇ ਬਦਲਾਅ ਵਿੱਚੋਂ ਗੁਜ਼ਰ ਰਿਹਾ ਹੈ ਕਿਉਂਕਿ ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ ਇੱਕ ਪੈਸਿਵ ਸਹਾਇਕ ਤੋਂ ਇੱਕ ਸਰਗਰਮ ਬੱਗ ਹੰਟਰ (bug hunter) ਵਿੱਚ ਬਦਲ ਰਹੀ ਹੈ। ਹਾਲੀਆ ਅੰਕੜੇ ਦਰਸਾਉਂਦੇ ਹਨ ਕਿ ਸੁਰੱਖਿਆ ਆਡਿਟਿੰਗ ਲਈ ਵਿਸ਼ੇਸ਼ LLMs ਦੀ ਵਰਤੋਂ ਕਾਰਨ ਸਾਫਟਵੇਅਰ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਇੱਕ ਬੇਮਿਸਾਲ ਵਾਧਾ ਹੋਇਆ ਹੈ।

CVE ਰਿਪੋਰਟਿੰਗ ਵਿੱਚ ਤੇਜ਼ੀ ਨਾਲ ਵਾਧਾ

Epoch AI ਦੇ ਹਾਲੀਆ ਖੋਜ ਅਨੁਸਾਰ, ਰਿਪੋਰਟ ਕੀਤੇ ਗਏ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲੇ ਅਤੇ ਕ੍ਰਿਟੀਕਲ Common Vulnerabilities and Exposures (CVEs) ਦੀ ਗਿਣਤੀ ਇਤਿਹਾਸਕ ਪੱਧਰ 'ਤੇ ਪਹੁੰਚ ਗਈ ਹੈ। ਸਿਰਫ਼ ਜੂਨ 2026 ਵਿੱਚ ਹੀ, 21 ਸੰਸਥਾਵਾਂ ਨੇ ਲਗਭਗ 1,500 ਕ੍ਰਿਟੀਕਲ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਰਿਪੋਰਟ ਕੀਤੀ—ਇਹ ਅੰਕੜਾ ਪਿਛਲੇ ਮਹੀਨਾਵਾਰ ਰਿਕਾਰਡ ਨਾਲੋਂ 3.5 ਗੁਣਾ ਤੋਂ ਵੀ ਵੱਧ ਹੈ।

ਇਹ ਵਾਧਾ ਕੋਈ ਅਨੋਮਲੀ (anomaly) ਨਹੀਂ ਹੈ, ਸਗੋਂ ਸੁਰੱਖਿਆ ਖੋਜ ਵਿੱਚ ਆਟੋਨੋਮਸ ਏਜੈਂਟਿਕ ਵਰਕਫਲੋਜ਼ (autonomous agentic workflows) ਦੇ ਇੱਕੀਕਰਨ ਦਾ ਸਿੱਧਾ ਨਤੀਜਾ ਹੈ। ਅੰਕੜੇ ਅਪ੍ਰੈਲ 2026 ਤੋਂ ਇੱਕ ਸਪੱਸ਼ਟ ਉੱਪਰ ਵੱਲ ਜਾਂਦਾ ਰੁਝਾਨ ਦਿਖਾਉਂਦੇ ਹਨ, ਜੋ ਕਿ ਗਲੋਬਲ ਡੇਟਾਬੇਸ ਵਿੱਚ ਸਾਫਟਵੇਅਰ ਦੀਆਂ ਖਾਮੀਆਂ ਦੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਦਰਜ ਕਰਨ ਦੇ ਤਰੀਕੇ ਵਿੱਚ ਇੱਕ ਮੋੜ ਹੈ।

Anthropic ਦਾ Claude Mythos ਅਤੇ "Glasswing" ਪ੍ਰੋਗਰਾਮ

ਇਸ ਉਛਾਲ ਦਾ ਮੁੱਖ ਕਾਰਨ Anthropic ਦਾ Claude Mythos Preview ਦੀ ਰਿਲੀਜ਼ ਜਾਪਦਾ ਹੈ। ਅਪ੍ਰੈਲ ਵਿੱਚ ਐਲਾਨਿਆ ਗਿਆ ਇਹ ਮਾਡਲ ਖਾਸ ਤੌਰ 'ਤੇ ਸਾਫਟਵੇਅਰ ਦੀਆਂ ਕਮਜ਼ੋਰੀਆਂ ਨੂੰ ਆਟੋਨੋਮਸ ਤਰੀਕੇ ਨਾਲ ਲੱਭਣ ਦੀ ਸਮਰੱਥਾ ਨਾਲ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਸੀ। Anthropic ਨੇ ਖੁਲਾਸਾ ਕੀਤਾ ਕਿ ਪਬਲਿਕ ਪ੍ਰੀਵਿਊ ਤੋਂ ਪਹਿਲਾਂ ਵੀ, ਭਰੋਸੇਯੋਗ ਭਾਈਵਾਲ ਬੱਗਾਂ ਦੀ ਪਹਿਲਾਂ ਹੀ ਪਛਾਣ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਪੈਚ (patch) ਕਰਨ ਲਈ ਇਸ ਮਾਡਲ ਦੀ ਵਰਤੋਂ ਕਰ ਰਹੇ ਸਨ।

ਇਹਨਾਂ ਵਿਸ਼ੇਸ਼ ਮਾਡਲਾਂ ਦੇ ਪ੍ਰਭਾਵ ਨੂੰ Anthropic ਦੇ "Glasswing" ਪ੍ਰੋਗਰਾਮ ਰਾਹੀਂ ਸਭ ਤੋਂ ਵਧੀਆ ਤਰੀਕੇ ਨਾਲ ਸਮਝਿਆ ਜਾ ਸਕਦਾ ਹੈ। ਰਿਪੋਰਟਾਂ ਅਨੁਸਾਰ, ਇਸ ਪਹਿਲਕਦਮੀ ਨੇ ਹੁਣ ਤੱਕ 10,000 ਤੋਂ ਵੱਧ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲੀਆਂ ਜਾਂ ਕ੍ਰਿਟੀਕਲ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਖੁਲਾਸਾ ਕੀਤਾ ਹੈ। ਖਾਸ ਤੌਰ 'ਤੇ, ਇਹਨਾਂ ਖੋਜਾਂ ਦਾ ਇੱਕ ਵੱਡਾ ਹਿੱਸਾ ਅਜੇ ਤੱਕ ਜਨਤਕ ਨਹੀਂ ਕੀਤਾ ਗਿਆ ਹੈ, ਜੋ ਇਹ ਸੰਕੇਤ ਦਿੰਦਾ ਹੈ ਕਿ AI-ਅਧਾਰਿਤ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਖੋਜ ਦਾ ਅਸਲ ਪੈਮਾਨਾ ਮੌਜੂਦਾ ਰਿਪੋਰਟ ਕੀਤੇ ਗਏ ਅੰਕੜਿਆਂ ਤੋਂ ਵੀ ਵੱਧ ਹੋ ਸਕਦਾ ਹੈ।

ਮੁਕਾਬਲੇ ਦੀ ਦੌੜ: OpenAI ਅਤੇ ਆਟੋਮੇਟਡ ਆਡਿਟਿੰਗ ਦਾ ਭਵਿੱਖ

ਇਸ ਉੱਚ-ਦਾਅ ਵਾਲੇ ਖੇਤਰ ਵਿੱਚ Anthropic ਇਕੱਲਾ ਖਿਡਾਰੀ ਨਹੀਂ ਹੈ। OpenAI ਦਾ "Daybreak" ਪ੍ਰੋਗਰਾਮ ਵੀ ਕਮਜ਼ੋਰੀਆਂ ਦੀਆਂ ਰਿਪੋਰਟਾਂ ਵਿੱਚ ਵਾਧੇ ਵਿੱਚ ਯੋਗਦਾਨ ਪਾ ਰਿਹਾ ਹੈ, ਕਿਉਂਕਿ ਉਦਯੋਗ "red-teaming-as-a-service" ਮਾਡਲ ਵੱਲ ਵਧ ਰਿਹਾ ਹੈ। ਫਰੰਟੀਅਰ AI ਲੈਬਾਂ ਵਿਚਕਾਰ ਇਹ ਮੁਕਾਬਲਾ ਪ੍ਰਭਾਵਸ਼ਾਲੀ ਢੰਗ ਨਾਲ ਗਲੋਬਲ ਸਾਫਟਵੇਅਰ ਸਟੈਕ ਵਿੱਚ ਇੱਕ ਵਿਸ਼ਾਲ, ਆਟੋਮੇਟਡ ਆਡਿਟ ਲੇਅਰ ਬਣਾ ਰਿਹਾ ਹੈ।

ਡਿਵੈਲਪਰਾਂ ਅਤੇ ਸੰਸਥਾਪਕਾਂ (founders) ਲਈ, ਇਹ ਬਦਲਾਅ ਇੱਕ ਦੋ-ਧਾਰੀ ਤਲਵਾਰ ਹੈ। ਜਿੱਥੇ Claude Mythos ਵਰਗੇ AI ਮਾਡਲ ਅਤੇ OpenAI ਦੇ Daybreak ਦੇ ਪਿੱਛੇ ਦੀ ਤਕਨਾਲੋਜੀ ਮਾੜੇ ਇਰਾਦੇ ਵਾਲੇ ਹਕਰਨਾਂ (malicious actors) ਦੁਆਰਾ ਦੁਸ਼ਫੀਲ ਦਾ ਫਾਇਦਾ ਉਠਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਬੱਗ ਲੱਭ ਕੇ ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਰੱਖਿਆ ਢਾਲ ਪ੍ਰਦਾਨ ਕਰਦੇ ਹਨ, ਉੱਥੇ ਹੀ ਖੋਜੀਆਂ ਗਈਆਂ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਭਾਰੀ ਗਿਣਤੀ DevOps ਅਤੇ ਸੁਰੱਖਿਆ ਟੀਮਾਂ 'ਤੇ ਪ੍ਰਣਾਲੀਆਂ ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਪੈਚ ਕਰਨ ਲਈ ਬਹੁਤ ਜ਼ਿਆਦਾ ਦਬਾਅ ਪਾਉਂਦੀ ਹੈ।

ਇਹ AI ਈਕੋਸਿਸਟਮ ਲਈ ਕਿਉਂ ਮਹੱਤਵਪੂਰਨ ਹੈ

ਇਹ ਵਿਕਾਸ "Agentic Security" ਦੇ ਆਉਣ ਦਾ ਸੰਕੇਤ ਹੈ। ਅਸੀਂ ਮੈਨੂਅਲ ਕੋਡ ਰਿਵਿਊ ਤੋਂ ਦੂਰ ਹੋ ਕੇ ਇੱਕ ਨਿਰੰਤਰ, AI-ਅਧਾਰਿਤ ਆਡਿਟਿੰਗ ਚੱਕਰ ਵੱਲ ਵਧ ਰਹੇ ਹਾਂ। ਜਿਵੇਂ-ਜਿਵੇਂ LLMs ਗੁੰਝਲਦਾਰ ਕੋਡਬੇਸਾਂ ਰਾਹੀਂ ਤਰਕ ਕਰਨ ਵਿੱਚ ਵਧੇਰੇ ਨਿਪੁੰਨ ਹੁੰਦੇ ਜਾ ਰਹੇ ਹਨ, ਸਾਫਟਵੇਅਰ ਸੁਰੱਖਿਆ ਦਾ ਅਧਾਰ "reactive patching" ਤੋਂ ਬਦਲ ਕੇ "proactive eradication" ਵੱਲ ਚਲਾ ਜਾਵੇਗਾ, ਜੋ ਕਿ ਸਾਫਟਵੇਅਰ ਵਿਕਾਸ ਦੇ ਜੀਵਨ ਚੱਕਰ ਨੂੰ ਬੁਨਿਆਦੀ ਰੂਪ ਵਿੱਚ ਬਦਲ ਦੇਵੇਗਾ।

ਮੁੱਖ ਗੱਲਾਂ

  • ਬੇਮਿਸਾਲ ਮਾਤਰਾ: ਰਿਪੋਰਟ ਕੀਤੇ ਗਏ ਉੱਚ-ਗੰਭੀਰਤਾ ਵਾਲੇ CVEs ਇੱਕ ਮਹੀਨੇ ਵਿੱਚ 1,500 ਤੱਕ ਪਹੁੰਚ ਗਏ, ਜੋ ਕਿ ਪਿਛਲੇ ਰਿਕਾਰਡ ਤੋਂ 3.5 ਗੁਣਾ ਤੋਂ ਵੀ ਵੱਧ ਹੈ।
  • ਵਿਸ਼ੇਸ਼ ਮਾਡਲ ਬਦਲਾਅ ਲਿਆ ਰਹੇ ਹਨ: Anthropic ਦਾ Claude Mythos Preview ਅਤੇ OpenAI ਦਾ Daybreak ਆਟੋਨੋਮਸ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਖੋਜ ਵਿੱਚ ਅਗਵਾਈ ਕਰ ਰਹੇ ਹਨ।
  • ਖੋਜ ਦਾ ਵਿਸ਼ਾਲ ਪੈਮਾਨਾ: ਸਿਰਫ਼ Anthropic ਦੇ Glasswing ਪ੍ਰੋਗਰਾਮ ਨੇ 10,000 ਤੋਂ ਵੱਧ ਕ੍ਰਿਟੀਕਲ ਕਮਜ਼ੋਰੀਆਂ ਦੀ ਪਛਾਣ ਕੀਤੀ ਹੈ, ਜੋ AI-ਅਧਾਰਿਤ ਸੁਰੱਖਿਆ ਆਡਿਟਿੰਗ ਦੀ ਵਿਸ਼ਾਲ ਸੰਭਾਵਨਾ ਨੂੰ ਦਰਸਾਉਂਦੀ ਹੈ।