AI मिनटों में बग खोजता है। लेकिन उन्हें असली साबित करना अभी भी एक इंसान का काम है।

सुरक्षा टीमें AI द्वारा तैयार की गई कमजोरियों की रिपोर्टों में डूबी हुई हैं जो आश्वस्त करने वाली दिखती हैं लेकिन जैसे ही कोई उन्हें दोहराने की कोशिश करता है तो विफल हो जाती हैं। पुराना नियम अभी भी लागू है: अपना काम दिखाओ या छोड़ दो।

AI2Day Newsdesk· 3 min read
Full-frame photoreal editorial image of a modern developer's desk at dusk, two monitors glowing with abstract lines of code, one screen subtly tinted a cool blu
Share

मुख्य बिंदु

  • AI-सहायक सुरक्षा उपकरण कुछ ही मिनटों में पूरे कोडबेस को स्कैन कर सकते हैं, एक कार्य जिसमें पहले एक कुशल विश्लेषक को एक सप्ताह लगता था।
  • बग बाउंटी प्लेटफॉर्म, जो सॉफ्टवेयर की वास्तविक खामियां खोजने वाले शोधकर्ताओं को नकद पुरस्कार देते हैं, AI द्वारा तैयार की गई रिपोर्टों में तेजी की सूचना दे रहे हैं जो नकली साबित होती हैं।
  • curl ओपन-सोर्स प्रोजेक्ट के रखरखाव कर्ता ने सार्वजनिक रूप से बताया है कि वह चमकदार दिखने वाली बग रिपोर्टों से अभिभूत हैं जो परीक्षण के दौरान खरी नहीं उतरतीं।
  • एक वैध सुरक्षा खोज के लिए केवल लिखित विवरण नहीं बल्कि एक कार्यशील प्रदर्शन की आवश्यकता होती है, और यह हमेशा से सच रहा है।
  • छोटे व्यवसाय के मालिकों को जो अनुरोधित "गंभीर खामी" वाले ईमेल प्राप्त होते हैं, उन्हें कोई भी कदम उठाने से पहले एक परीक्षण खाते पर लाइव प्रदर्शन मांगना चाहिए।

जैसा कि पहली बार ThreatVectr द्वारा रिपोर्ट किया गया था, सुरक्षा शोध की दुनिया एक सरल समस्या से जूझ रही है: AI उपकरण आत्मविश्वास दिखाने में बहुत अच्छे हैं, और आत्मविश्वास सही होने जैसा नहीं है।

यहां नया वर्कफ़्लो वास्तव में कैसे दिखता है। एक सुरक्षा शोधकर्ता एक AI-सहायक उपकरण खोलता है, जो एक बड़ी भाषा मॉडल (ChatGPT जैसे चैटबॉट को शक्ति देने वाली तकनीक के समान) का उपयोग करके सॉफ्टवेयर कोड को पढ़ता है। उपकरण प्रोग्राम कर जो करता है उसका सारांश देता है, संदिग्ध दिखने वाले कार्यों को चिह्नित करता है, और नमूना हमलों का मसौदा तैयार करता है, जिन्हें payload कहा जाता है, जो शोधकर्ता एक लाइव सिस्टम पर चला सकते हैं। जो काम पहले दिनों लगते थे अब एक दोपहर में हो जाता है।

वह गति वास्तव में उपयोगी है। कोई इसके विरुद्ध तर्क नहीं दे रहा है।

समस्या यह है कि इसके बाद क्या होता है। एक बड़ी भाषा मॉडल नहीं जानती कि वह कब अनुमान लगा रही है। यह आत्मविश्वास से भरी तकनीकी भाषा में एक कमजोरी का वर्णन करेगी, एक फ़ंक्शन का नाम गढ़ेगी जो वास्तविक कोड में मौजूद नहीं है, और एक हमले का प्रस्ताव करेगी जिसे कभी वास्तविक सिस्टम पर परीक्षण नहीं किया गया है। इन सभी रिपोर्टों में से हर एक किसी के इनबॉक्स में पहुंचती है।

असली लोगों के लिए इसकी क्या कीमत है?

इसकी कीमत समय है, जो सुरक्षा टीमों के पास सबसे कम होता है। प्रत्येक झूठी रिपोर्ट को triage करना होता है, मतलब एक मानव विश्लेषक को बैठना होता है, इसे सावधानीपूर्वक पढ़ना होता है, वर्णित खामी को दोहराने का प्रयास करना होता है, और फिर समझाते हुए वापस लिखना होता है कि वह क्यों मौजूद नहीं है। इसे हर हफ्ते सैकड़ों AI-जनरेट की गई प्रस्तुतियों से गुणा करें और आप उस संसाधन को बर्बाद कर चुके हैं जिसे आप सुरक्षित करने की कोशिश कर रहे थे।

लोकप्रिय ओपन-सोर्स सॉफ्टवेयर को बनाए रखने वाले स्वयंसेवक, ऐसे उपकरण जिन्हें लाखों लोग और व्यवसाय प्रतिदिन उपयोग करते हैं, को यह सबसे कठिन मार रहा है। curl के रखरखाव कर्ता, एक व्यापक रूप से उपयोग किए जाने वाले डेटा-ट्रांसफर टूल, ने सार्वजनिक रूप से कहा है कि AI द्वारा उत्पन्न幻觉(fabrications जो एक मॉडल पूर्ण आत्मविश्वास के साथ उत्पन्न करती है) वास्तविक काम के लिए उपलब्ध समय को खा रहे हैं।

बग बाउंटी प्लेटफॉर्म भी यही पैटर्न रिपोर्ट कर रहे हैं। वास्तविक खोजों के लिए शोधकर्ताओं को भुगतान करें और अचानक कतार को AI द्वारा तैयार किए गए अनुमानों से भर देने के लिए एक वित्तीय कारण है।

जो मानक वास्तव में मायने रखता है वह नहीं बदला है। एक वैध खोज का मतलब एक कार्यशील प्रदर्शन है: सटीक चरण, सटीक सॉफ्टवेयर संस्करण, और आदर्श रूप से एक प्रूफ-ऑफ-कॉन्सेप्ट, कोड का एक छोटा सा टुकड़ा या एक विशिष्ट इनपुट अनुक्रम जो विश्वसनीय रूप से खामी को ट्रिगर करता है। प्रमाण के बिना गद्य सिर्फ एक कोट पहने हुए अनुमान है।

एक ईमानदार निष्कर्ष: यदि कोई आपके व्यवसाय को ईमेल करता है कि उन्हें आपकी वेबसाइट में एक गंभीर खामी मिली है, तो उन्हें एक परीक्षण वातावरण पर इसका प्रदर्शन करने के लिए कहें। वैध शोधकर्ता उस अनुरोध की अपेक्षा करते हैं। जो लोग तेजी से भुगतान के लिए फिशिंग कर रहे हैं वे शायद ही कभी आगे बढ़ते हैं।

© 2026 AI2Day