AI سے چلنے والی بگ ہنٹنگ (Bug Hunting) نے سیکیورٹی کی کمزوریوں میں بڑے پیمانے پر اضافہ کر دیا ہے
سائبر سیکیورٹی کا منظرنامہ ایک بڑی تبدیلی سے گزر رہا ہے کیونکہ مصنوعی ذہانت (AI) ایک غیر فعال معاون سے ایک فعال بگ ہنٹر (bug hunter) میں تبدیل ہو رہی ہے۔ حالیہ ڈیٹا سے پتہ چلتا ہے کہ سیکیورٹی آڈٹ کے لیے مخصوص LLMs کے استعمال سے رپورٹ شدہ سافٹ ویئر کی کمزوریوں (vulnerabilities) میں غیر معمولی اضافہ ہوا ہے۔
CVE رپورٹنگ میں تیزی سے اضافہ
Epoch AI کی حالیہ تحقیقات کے مطابق، رپورٹ شدہ ہائی سیورٹی اور کریٹیکل Common Vulnerabilities and Exposures (CVEs) کی تعداد تاریخی سطحوں پر پہنچ گئی ہے۔ صرف جون 2026 میں، 21 تنظیموں نے تقریباً 1,500 اہم کمزوریوں کی اطلاع دی—یہ وہ عدد ہے جو پچھلے ماہانہ ریکارڈ سے 3.5 گنا سے زیادہ ہے۔
یہ اضافہ کوئی غیر معمولی واقعہ نہیں ہے بلکہ سیکیورٹی ریسرچ میں خود مختار ایجنٹک ورک فلو (autonomous agentic workflows) کے انضمام کا براہ راست نتیجہ ہے۔ ڈیٹا اپریل 2026 سے ایک واضح اوپر کی طرف جانے والا رجحان دکھاتا ہے، جو اس بات کا اہم موڑ ہے کہ سافٹ ویئر کی خامیوں کی شناخت کیسے کی جاتی ہے اور انہیں عالمی ڈیٹا بیس میں کیسے درج کیا جاتا ہے۔
Anthropic کا Claude Mythos اور "Glasswing" پروگرام
اس اضافے کی بنیادی وجہ Anthropic کا Claude Mythos Preview کا ریلیز ہونا معلوم ہوتا ہے۔ اپریل میں اعلان کردہ، یہ ماڈل خاص طور پر سافٹ ویئر کی کمزوریوں کو خود مختار طریقے سے تلاش کرنے کی صلاحیت کے ساتھ ڈیزائن کیا گیا تھا۔ Anthropic نے انکشاف کیا کہ پبلک پری ویو سے پہلے بھی، قابل اعتماد پارٹنرز اس ماڈل کو فعال طور پر بگ (bugs) کی شناخت اور انہیں ٹھیک کرنے کے لیے استعمال کر رہے تھے۔
ان مخصوص ماڈلز کے اثرات کی بہترین مثال Anthropic کا "Glasswing" پروگرام ہے۔ رپورٹ کے مطابق اس اقدام نے اب تک 10,000 سے زیادہ ہائی سیورٹی یا کریٹیکل کمزوریوں کو بے نقاب کیا ہے۔ خاص طور پر، ان دریافت ہونے والی چیزوں کا ایک بڑا حصہ ابھی تک عوامی سطح پر نہیں لایا گیا ہے، جو یہ ظاہر کرتا ہے کہ AI سے چلنے والی کمزوریوں کی دریافت کا اصل پیمانہ موجودہ رپورٹ شدہ اعداد و شمار سے بھی زیادہ ہو سکتا ہے۔
مسابقتی دوڑ: OpenAI اور خودکار آڈٹ کا مستقبل
اس ہائی اسٹیکس ایرینا میں Anthropic اکیلا کھلاڑی نہیں ہے۔ OpenAI کا "Daybreak" پروگرام بھی کمزوریوں کی رپورٹوں میں اضافے میں حصہ ڈال رہا ہے، کیونکہ صنعت "red-teaming-as-a-service" ماڈل کی طرف بڑھ رہی ہے۔ فرنٹیر AI لیبز کے درمیان یہ مقابلہ مؤثر طریقے سے عالمی سافٹ ویئر اسٹیک پر ایک وسیع، خودکار آڈٹ لیئر تیار کر رہا ہے۔
ڈویلپرز اور فاؤنڈرز کے لیے، یہ تبدیلی ایک دو دھاری تلوار ہے۔ اگرچہ Claude Mythos جیسے AI ماڈلز اور OpenAI کے Daybreak کے پیچھے موجود ٹیکنالوجی، بدنیتی پر مبنی عناصر (malicious actors) کے فائدہ اٹھانے سے پہلے بگ تلاش کر کے ایک طاقتور دفاعی ڈھال فراہم کرتے ہیں، لیکن دریافت ہونے والی کمزوریوں کی بھاری مقدار DevOps اور سیکیورٹی ٹیموں پر تیزی سے سسٹم کو پیچ (patch) کرنے کا شدید دباؤ ڈالتی ہے۔
یہ AI ایکو سسٹم کے لیے کیوں اہم ہے
یہ پیش رفت "Agentic Security" کی آمد کا اشارہ ہے۔ ہم دستی کوڈ ریویو (manual code reviews) سے ہٹ کر ایک مسلسل، AI سے چلنے والے آڈٹ سائیکل کی طرف بڑھ رہے ہیں۔ جیسے جیسے LLMs پیچیدہ کوڈ بیسز کے ذریعے استدلال کرنے میں زیادہ ماہر ہوتے جا رہے ہیں، سافٹ ویئر سیکیورٹی کا بنیادی معیار "ری ایکٹو پیچنگ" (reactive patching) سے بدل کر "پرو ایکٹو ایریڈیکیشن" (proactive eradication) ہو جائے گا، جو سافٹ ویئر ڈویلپمنٹ کے لائف سائیکل کو بنیادی طور پر تبدیل کر دے گا۔
اہم نکات
- بے مثال حجم: رپورٹ شدہ ہائی سیورٹی CVEs ایک ہی مہینے میں 1,500 تک پہنچ گئے، جو پچھلے ریکارڈ سے 3.5 گنا سے زیادہ ہے۔
- تبدیلی لانے والے مخصوص ماڈلز: Anthropic کا Claude Mythos Preview اور OpenAI کا Daybreak خود مختار کمزوریوں کی دریافت میں قیادت کر رہے ہیں۔
- دریافت کا وسیع پیمانہ: صرف Anthropic کے Glasswing پروگرام نے 10,000 سے زیادہ کریٹیکل کمزوریوں کی شناخت کی ہے، جو AI سے چلنے والی سیکیورٹی آڈٹ کے عظیم امکانات کو اجاگر کرتا ہے۔
