AI मिनटों में बग खोजता है। लेकिन उन्हें असली साबित करना अभी भी एक इंसान का काम है।
सुरक्षा टीमें AI द्वारा तैयार की गई कमजोरियों की रिपोर्टों में डूबी हुई हैं जो आश्वस्त करने वाली दिखती हैं लेकिन जैसे ही कोई उन्हें दोहराने की कोशिश करता है तो विफल हो जाती हैं। पुराना नियम अभी भी लागू है: अपना काम दिखाओ या छोड़ दो।

मुख्य बिंदु
- AI-सहायक सुरक्षा उपकरण कुछ ही मिनटों में पूरे कोडबेस को स्कैन कर सकते हैं, एक कार्य जिसमें पहले एक कुशल विश्लेषक को एक सप्ताह लगता था।
- बग बाउंटी प्लेटफॉर्म, जो सॉफ्टवेयर की वास्तविक खामियां खोजने वाले शोधकर्ताओं को नकद पुरस्कार देते हैं, AI द्वारा तैयार की गई रिपोर्टों में तेजी की सूचना दे रहे हैं जो नकली साबित होती हैं।
- curl ओपन-सोर्स प्रोजेक्ट के रखरखाव कर्ता ने सार्वजनिक रूप से बताया है कि वह चमकदार दिखने वाली बग रिपोर्टों से अभिभूत हैं जो परीक्षण के दौरान खरी नहीं उतरतीं।
- एक वैध सुरक्षा खोज के लिए केवल लिखित विवरण नहीं बल्कि एक कार्यशील प्रदर्शन की आवश्यकता होती है, और यह हमेशा से सच रहा है।
- छोटे व्यवसाय के मालिकों को जो अनुरोधित "गंभीर खामी" वाले ईमेल प्राप्त होते हैं, उन्हें कोई भी कदम उठाने से पहले एक परीक्षण खाते पर लाइव प्रदर्शन मांगना चाहिए।
जैसा कि पहली बार ThreatVectr द्वारा रिपोर्ट किया गया था, सुरक्षा शोध की दुनिया एक सरल समस्या से जूझ रही है: AI उपकरण आत्मविश्वास दिखाने में बहुत अच्छे हैं, और आत्मविश्वास सही होने जैसा नहीं है।
यहां नया वर्कफ़्लो वास्तव में कैसे दिखता है। एक सुरक्षा शोधकर्ता एक AI-सहायक उपकरण खोलता है, जो एक बड़ी भाषा मॉडल (ChatGPT जैसे चैटबॉट को शक्ति देने वाली तकनीक के समान) का उपयोग करके सॉफ्टवेयर कोड को पढ़ता है। उपकरण प्रोग्राम कर जो करता है उसका सारांश देता है, संदिग्ध दिखने वाले कार्यों को चिह्नित करता है, और नमूना हमलों का मसौदा तैयार करता है, जिन्हें payload कहा जाता है, जो शोधकर्ता एक लाइव सिस्टम पर चला सकते हैं। जो काम पहले दिनों लगते थे अब एक दोपहर में हो जाता है।
वह गति वास्तव में उपयोगी है। कोई इसके विरुद्ध तर्क नहीं दे रहा है।
समस्या यह है कि इसके बाद क्या होता है। एक बड़ी भाषा मॉडल नहीं जानती कि वह कब अनुमान लगा रही है। यह आत्मविश्वास से भरी तकनीकी भाषा में एक कमजोरी का वर्णन करेगी, एक फ़ंक्शन का नाम गढ़ेगी जो वास्तविक कोड में मौजूद नहीं है, और एक हमले का प्रस्ताव करेगी जिसे कभी वास्तविक सिस्टम पर परीक्षण नहीं किया गया है। इन सभी रिपोर्टों में से हर एक किसी के इनबॉक्स में पहुंचती है।
असली लोगों के लिए इसकी क्या कीमत है?
इसकी कीमत समय है, जो सुरक्षा टीमों के पास सबसे कम होता है। प्रत्येक झूठी रिपोर्ट को triage करना होता है, मतलब एक मानव विश्लेषक को बैठना होता है, इसे सावधानीपूर्वक पढ़ना होता है, वर्णित खामी को दोहराने का प्रयास करना होता है, और फिर समझाते हुए वापस लिखना होता है कि वह क्यों मौजूद नहीं है। इसे हर हफ्ते सैकड़ों AI-जनरेट की गई प्रस्तुतियों से गुणा करें और आप उस संसाधन को बर्बाद कर चुके हैं जिसे आप सुरक्षित करने की कोशिश कर रहे थे।
लोकप्रिय ओपन-सोर्स सॉफ्टवेयर को बनाए रखने वाले स्वयंसेवक, ऐसे उपकरण जिन्हें लाखों लोग और व्यवसाय प्रतिदिन उपयोग करते हैं, को यह सबसे कठिन मार रहा है। curl के रखरखाव कर्ता, एक व्यापक रूप से उपयोग किए जाने वाले डेटा-ट्रांसफर टूल, ने सार्वजनिक रूप से कहा है कि AI द्वारा उत्पन्न幻觉(fabrications जो एक मॉडल पूर्ण आत्मविश्वास के साथ उत्पन्न करती है) वास्तविक काम के लिए उपलब्ध समय को खा रहे हैं।
बग बाउंटी प्लेटफॉर्म भी यही पैटर्न रिपोर्ट कर रहे हैं। वास्तविक खोजों के लिए शोधकर्ताओं को भुगतान करें और अचानक कतार को AI द्वारा तैयार किए गए अनुमानों से भर देने के लिए एक वित्तीय कारण है।
जो मानक वास्तव में मायने रखता है वह नहीं बदला है। एक वैध खोज का मतलब एक कार्यशील प्रदर्शन है: सटीक चरण, सटीक सॉफ्टवेयर संस्करण, और आदर्श रूप से एक प्रूफ-ऑफ-कॉन्सेप्ट, कोड का एक छोटा सा टुकड़ा या एक विशिष्ट इनपुट अनुक्रम जो विश्वसनीय रूप से खामी को ट्रिगर करता है। प्रमाण के बिना गद्य सिर्फ एक कोट पहने हुए अनुमान है।
एक ईमानदार निष्कर्ष: यदि कोई आपके व्यवसाय को ईमेल करता है कि उन्हें आपकी वेबसाइट में एक गंभीर खामी मिली है, तो उन्हें एक परीक्षण वातावरण पर इसका प्रदर्शन करने के लिए कहें। वैध शोधकर्ता उस अनुरोध की अपेक्षा करते हैं। जो लोग तेजी से भुगतान के लिए फिशिंग कर रहे हैं वे शायद ही कभी आगे बढ़ते हैं।



