Apple की सुरक्षा प्रणाली में सेंध लगाना कठिन है, Mythos शोधकर्ताओं को इसमें सेंध लगाने का रास्ता खोजने में मदद करता है

सुरक्षा शोधकर्ताओं ने हाल ही में खुलासा किया कि उन्होंने ऐप्पल के मैकओएस सिस्टम में एक नई सुरक्षा बाईपास विधि की खोज के लिए एंथ्रोपिक की नई पीढ़ी के कृत्रिम बुद्धिमत्ता मॉडल मिथोस का उपयोग किया, जो मेमोरी सुरक्षा सुरक्षा तकनीक को सफलतापूर्वक तोड़ रहा है जिसे ऐप्पल ने हाल के वर्षों में बनाने पर ध्यान केंद्रित किया है। इस खोज को उद्योग जगत एप्पल की "दुनिया के सबसे कठिन डेस्कटॉप सिस्टम में सेंध लगाना" वाली छवि के लिए एक महत्वपूर्ण चुनौती मानता है।

कैलीफ़, पालो अल्टो, कैलिफ़ोर्निया की एक सुरक्षा कंपनी, ने कहा कि जब उसकी टीम ने इस साल अप्रैल में मिथोस के शुरुआती संस्करण का परीक्षण किया, तो मॉडल द्वारा दिए गए सुरागों के आधार पर, उसने दो स्वतंत्र कमजोरियों की खोज की और उन्हें संयोजित किया, जो हमले की तकनीकों की एक श्रृंखला द्वारा पूरक थीं, अंततः मैक डिवाइस की मेमोरी को नष्ट करने और सिस्टम क्षेत्रों को प्राप्त करने के लिए जिन्हें एक्सेस नहीं किया जाना चाहिए। इस प्रकार के हमले को "विशेषाधिकार वृद्धि शोषण" के रूप में वर्गीकृत किया गया है और, यदि इसे अन्य हमले श्रृंखलाओं के साथ जोड़ा जाता है, तो इसमें हैकर्स को लक्ष्य कंप्यूटर पर पूर्ण नियंत्रण देने की क्षमता होती है।

कई सुरक्षा विशेषज्ञों ने बताया कि यह तकनीक बहुत महत्वपूर्ण है क्योंकि Apple ने macOS की आक्रमण सतह को बंद करने में भारी निवेश किया है और लंबे समय से अपनी मजबूत सुरक्षा के लिए जाना जाता है। कैलिफ़ोर्निया के शोध की समीक्षा करने के बाद, एक सुरक्षा शोधकर्ता माइकल ज़ालवेस्की, जिन्होंने कभी Google में काम किया था, ने कहा कि Apple के प्लेटफ़ॉर्म सुरक्षा को लगातार मजबूत करने के संदर्भ में, ऐसी भेद्यता श्रृंखला विशेष रूप से ध्यान खींचने वाली है, जो हमलावरों की तकनीकों और उपकरणों के दोहरे विकास को दर्शाती है।

ऐप्पल ने कहा कि वह निष्कर्षों को सत्यापित करने के लिए कैलिफ़ोर्निया द्वारा प्रस्तुत तकनीकी रिपोर्ट की समीक्षा कर रहा था और इस बात पर ज़ोर दिया कि "सुरक्षा हमारी सर्वोच्च प्राथमिकता है और हम संभावित कमजोरियों की किसी भी रिपोर्ट को बहुत गंभीरता से लेते हैं।" हाल के वर्षों में, Apple ने सिस्टम की कमजोरियों को स्वचालित रूप से खोजने और पैच करने के लिए आंतरिक रूप से अत्याधुनिक बड़े पैमाने के मॉडल को तैनात और परीक्षण किया है, जो AI द्वारा संचालित आक्रामक और रक्षात्मक प्रतिस्पर्धा के इस नए दौर में सक्रिय रहने की कोशिश कर रहा है।

पिछले कुछ महीनों में, सॉफ्टवेयर दोषों को दूर करने के लिए बड़े मॉडलों की क्षमता में नाटकीय रूप से वृद्धि हुई है, जिससे साइबर सुरक्षा समुदाय में "बगमगेडन" के बारे में चिंताएं पैदा हो गई हैं: एक अभूतपूर्व परिमाण की सुरक्षा कमजोरियों की खोज एक केंद्रित तरीके से की जाएगी, जो न केवल पैचिंग के लिए जिम्मेदार तकनीकी टीमों पर जबरदस्त दबाव डालेगी, बल्कि अल्पावधि में साइबर सुरक्षा जोखिमों को भी बढ़ाएगी। इस साल की शुरुआत में, एक अन्य एंथ्रोपिक मॉडल ने दो सप्ताह में फ़ायरफ़ॉक्स ब्राउज़र के लिए 100 से अधिक उच्च-गंभीरता वाली कमजोरियाँ पाईं, जो लगभग दो महीनों में वैश्विक शोधकर्ताओं के कुल निष्कर्षों के बराबर है।

Apple ने पिछले साल सितंबर में "मेमोरी इंटीग्रिटी एनफोर्समेंट (MIE)" नामक एक तकनीक की घोषणा की थी, जिसमें कहा गया था कि यह हार्डवेयर और ऑपरेटिंग सिस्टम में पांच साल के सहयोगात्मक डिजाइन का परिणाम है, जिसका लक्ष्य नीचे से ऊपर तक मेमोरी अटैक सुरक्षा क्षमताओं में उल्लेखनीय सुधार करना है। हालाँकि, कैलिफ़ोर्निया के अनुसार, क्लाउड के मॉडल की सहायता से, दो macOS कमजोरियों के लिए शोषण कोड केवल पाँच दिनों में विकसित किया गया था, जो आक्रामक सुरक्षा अनुसंधान में AI की दक्षता में सुधार पर प्रकाश डालता है।

कैलिफ़ोर्निया के सीईओ और एक वरिष्ठ सुरक्षा विशेषज्ञ डुओंग थाई ने इस बात पर ज़ोर दिया कि यह हमला अकेले मिथोस द्वारा "स्वचालित" नहीं था, बल्कि मानव सुरक्षा शोधकर्ताओं के अनुभव और निर्णय के साथ जोड़ा गया था। उनकी राय में, मिथोस वर्तमान में जो सबसे अच्छा है वह मौजूदा सार्वजनिक दस्तावेजों में हमले के विचारों का पुनर्निर्माण और विस्तार करना है। इसके द्वारा स्वतंत्र रूप से नई आक्रमण तकनीक बनाने का कोई पिछला मामला सामने नहीं आया है, इसलिए इस खोज को टीम द्वारा "एक निश्चित अर्थ में एक नई सफलता" माना जाता है।

ज़ेलेव्स्की का मानना ​​है कि हालांकि बाहरी दुनिया से मिथोस के बारे में कुछ प्रचार "अति-प्रचारित" है, नवीनतम पीढ़ी के उपकरणों का उपयोग पहले से ही "सार्थक भेद्यता अनुसंधान और कोड ऑडिट" के लिए किया जा सकता है, जो न केवल त्रुटि का पता लगाने की दक्षता में सुधार करता है, बल्कि पारंपरिक सुरक्षा अनुसंधान के कामकाजी प्रतिमान को भी कुछ हद तक बदल देता है। इस घटना में, उपकरण द्वारा दिए गए उम्मीदवार पथ और मानव विशेषज्ञों के विश्लेषण ने एक-दूसरे को पूरक बनाया, जिससे मूल रूप से अत्यंत कठिन भेद्यता श्रृंखला तक पहुंचना अंततः आकार लेने में सक्षम हो गया।

रिपोर्टों के अनुसार, कैलिफ़ोर्निया अनुसंधान टीम इस खोज से इतनी उत्साहित थी कि वे मंगलवार को पालो ऑल्टो से क्यूपर्टिनो में ऐप्पल के मुख्यालय तक गए और व्यक्तिगत रूप से ऐप्पल की सुरक्षा टीम को 55 पेज की तकनीकी रिपोर्ट दी, जिसमें शोषण की गई भेद्यता और हमले की प्रक्रिया का विवरण दिया गया था। कंपनी के सह-संस्थापक ब्रूस डांग और डुओंग थाई का पार्क में तस्वीरें लेने का दृश्य भी "एप्पल की रक्षा पंक्ति को तोड़ने के लिए मानव-मशीन सहयोग" का एक प्रतीकात्मक दृश्य बन गया है।

उद्योग अभ्यास के अनुसार, कैलिफ़ोर्निया ने पैच पूरा करने से पहले भेद्यता के दुर्भावनापूर्ण शोषण से बचने के लिए ऐप्पल द्वारा पैच पूरा करने के बाद तकनीकी विवरण जारी करने की योजना बनाई है। डुओंग का अनुमान है कि चूंकि ऐप्पल सुरक्षा को बहुत महत्व देता है, इसलिए इन खामियों को अपेक्षाकृत कम समय में ठीक कर लिया जाना चाहिए।

इस घटना का नीतिगत स्तर पर भी बुरा प्रभाव पड़ा। नेटवर्क सुरक्षा के क्षेत्र में उच्च क्षमता वाले मॉडल के दोतरफा प्रवर्धन प्रभाव के डर से व्हाइट हाउस को मिथोस तक धीरे-धीरे बाहरी पहुंच का विस्तार करने की एंथ्रोपिक की योजना पर आपत्ति थी या यहां तक ​​कि विरोध भी था। नई पीढ़ी के एआई मॉडलों की सुरक्षा को लेकर विवाद ट्रम्प प्रशासन पर एआई विकास के लिए अपने पिछले अपेक्षाकृत "लाईसेज़-फेयर" दृष्टिकोण का पुनर्मूल्यांकन करने के लिए दबाव डाल रहा है।

संघीय अधिकारी वर्तमान में एक कार्यकारी आदेश पर विचार कर रहे हैं जो अत्याधुनिक एआई मॉडल की स्पष्ट सरकारी निगरानी बनाएगा, जिसमें महत्वपूर्ण सुरक्षा प्रभाव डालने की क्षमता वाले मॉडलों के लिए मूल्यांकन, समीक्षा और आवश्यक पहुंच प्रतिबंध शामिल हैं। MacOS भेद्यता की घटना के बाद, रक्षा क्षमताओं को बेहतर बनाने के लिए AI का उपयोग कैसे किया जाए और इसे हमले की सतह को बढ़ाने के लिए उपयोग करने से कैसे रोका जाए, यह एक मुख्य मुद्दा बनता जा रहा है जिसका अमेरिकी सरकार, प्रौद्योगिकी दिग्गजों और सुरक्षा उद्योग को एक साथ सामना करना होगा।