अमेरिकी एआई कम्पनी Anthropic को नयाँ मोडेल 'Mitos' लाई लिएर ठूलो चिन्ता व्यक्त भइरहेको छ। यो मोडेल सुरक्षा कमजोरीहरू फेला पार्न धेरै शक्तिशाली रहेको बताइएको छ। मानिसको सहयोग बिना आक्रमणको मार्गसम्म आफैं गणना गर्न सक्छ भन्ने व्याख्या पनि आएको छ. रिपोर्टअनुसार, यस एआईले विज्ञहरूले 27 वर्षसम्म छुटाएको सञ्चालन प्रणालीको त्रुटि पनि फेला पारेको थियो। खर्च करिब 50डलर जति भएको भनिएको छ। त्यसैले बिजुली सञ्जाल, पानी प्रणाली, बैंक प्रणालीजस्ता महत्त्वपूर्ण संरचनाहरू आक्रमणको लक्ष्य बन्न सक्छन् भन्ने चेतावनी बढेको छ. Anthropic ले यस्ता जोखिमका कारण Mitos लाई सर्वसाधारणका लागि सार्वजनिक गरेको छैन। यसको सट्टा Apple, Google लगायत 40 भन्दा बढी ठाउँमा मात्र सीमित रूपमा देखाएर रक्षा प्रणाली परीक्षण गर्ने परियोजना सुरु गरेको छ। विश्वभर तनाव बढिरहेका बेला कोरियाली सरकार पनि आपतकालीन प्रतिक्रियामा लागेको JTBC ले जनाएको छ।
원문 보기Mitos डरलाग्दो हुनुको कारण 'कुरा' होइन, 'कार्य' हो
पहिलो पटक सुन्दा यस्तो लाग्न सक्छ। 'एआई खतरनाक छ' भन्ने कुरा त पहिले पनि धेरै थियो, यसपटक के यति फरक छ त? तर Mitos विवादको मुख्य कुरा राम्ररी उत्तर दिने च्याटबोट होइन, लक्ष्य दिँदा धेरै ह्याकिङ चरणहरू जोडेर आफैं काम गर्ने एजेन्ट प्रकारको एआई हो भन्नेमा छ।
सामान्य संवादात्मक एआई प्रश्न पाएपछि लेख लेखिदिने वा कोड बुझाइदिने काममा बलियो हुन्छ। तर Mitos लाई लिएर आएका रिपोर्ट र व्याख्यात्मक सामग्रीमा कमजोरी पत्ता लगाउने (प्रणालीका कमजोर ठाउँ खोज्ने), आक्रमण मार्ग अनुमान (कहाँबाट पस्ने र कसरी फैलिने भनेर गणना गर्ने), असफल हुँदा वैकल्पिक मार्ग छान्ने जस्ता कामहरूलाई जोड दिइएको छ। सजिलै भन्नुपर्दा, यो 'मानिस ह्याकरको नोटबुक' भन्दा 'अर्को चाल लगातार छानिरहने चेस खेलाडी' जस्तो देखिन्छ भन्ने अर्थ हो।
त्यसैले 'साइबर आतंकको हतियार' भन्ने कडा शब्दसमेत आउँछ। खतराको कारण एआई अचानक दानव बनेको होइन, बरु पहिले गाह्रो, महँगो र धेरै समय लाग्ने ह्याकिङ प्रक्रियालाई धेरै सस्तो र छिटो अगाडि बढाउन सक्ने भएकाले हो। यो परिवर्तन डर लाग्दो चलचित्रको कथा होइन, सुरक्षामा गतिका फरक अचानक धेरै बढेको कथा भनेर बुझ्नु अझ ठीक हुन्छ।
Mitos सम्बन्धी चिन्ताको सार 'एआई बुद्धिमान छ' भन्ने होइन, 'आफैं चरण छान्दै अघि बढ्छ' भन्ने हो।
अर्थात्, जोखिमको स्वरूप 'हानिकारक उत्तर' बाट 'वास्तविक आक्रमण स्वचालन' तर्फ सर्दै गएको क्षणको चर्चा भइरहेको हो।
सामान्य च्याटबोट र Mitos लाई सँगसँगै राख्दा के फरक देखिन्छ
| विषय | सामान्य च्याटबोट | Mitos जस्तो स्वायत्त ह्याकिङ एआई |
|---|---|---|
| मुख्य उद्देश्य | प्रश्नको उत्तर, सारांश, लेखन, कोड सहयोग | कमजोरी पत्ता लगाउने, आक्रमण मार्ग गणना, घुसपैठ प्रक्रिया स्वचालन |
| काम गर्ने तरिका | प्रयोगकर्ता इनपुटमा प्रतिक्रिया दिने प्रतिक्रियात्मक प्रकार | लक्ष्य दिँदा धेरै चरण जोडेर अघि बढ्ने एजेन्ट प्रकार |
| असफलता प्रतिक्रिया | फेरि सोध्दा फेरि जवाफ दिन्छ | अड्किएमा अर्को बाटो खोजेर अर्को काम सच्याउन सक्छ |
| मुख्य जोखिम | हानिकारक जानकारी बनाउने, गलत जवाफ | वास्तविक प्रणालीमा आक्रमणको गति बढ्नु, प्रवेश अवरोध घट्नु |
| वितरण तरिका | सार्वजनिक सेवाहरू धेरै छन् | सीमित सार्वजनिकता, छानिएका साझेदार परीक्षण केन्द्रित |
'आक्रमणको मार्ग आफैं खोज्छ' भन्ने कुरा, ह्याकिङमा यसरी बग्छ
ह्याकिङ सामान्यतया एकै पटकमा सकिँदैन। यो धेरै ढोका पालैपालो खोल्ने प्रक्रिया हो, र स्वायत्त AI त्यो क्रम आफैं बनाउनेतिर नजिक छ।
चरण 1: जाँच
पहिले प्रणालीको जानकारी जम्मा गरिन्छ। कुन अपरेटिङ सिस्टम प्रयोग भइरहेको छ, कुन सेवा खुला छन्, कहाँ पुराना उपकरण छन् भनेर हेर्ने हो। यसलाई मान्छे ह्याकरले नक्सा फैलाउने चरण जस्तै बुझ्दा सजिलो हुन्छ।
चरण 2: वातावरण मोडेलिङ
जम्मा गरिएको जानकारीका आधारमा 'यहाँ कस्तो कमजोरी हुन सक्छ?' भन्ने परिकल्पना बनाइन्छ। यहाँ आक्रमण ग्राफ (सम्भावित प्रवेश मार्ग देखाएको नक्सा) जस्तो अवधारणा आउँछ।
चरण 3: सम्भावित मार्ग बनाउने
एउटा मात्र कमजोर बिन्दु हेर्ने होइन, सुरुआती प्रवेशपछि अधिकार स्तर बढाउने, प्रमाणपत्र जानकारी चोर्ने, भित्री सर्ने सम्म जोडिने धेरै बाटा बनाइन्छ। ह्याकिङमा साँच्चै खतरनाक कुरा यही 'जोडाइ' हो।
चरण 4: अर्को काम छान्ने
सफल हुने सम्भावना सबैभन्दा बढी भएको अर्को चाल छानिन्छ। पुराना स्वचालित उपकरण 'पहिले नै तोकिएको बटन चलाउने' जस्ता थिए भने, स्वायत्त एजेन्ट भने 'स्थिति हेरेर अर्को बटन छान्ने' सम्म जान खोज्छ।
चरण 5: असफल हुँदा घुमाउरो बाटो
एउटा मार्ग रोकियो भने त्यत्तिकै सकिँदैन, अर्को बाटो फेरि गणना गर्न सकिन्छ। त्यसैले जोखिम एउटै कमजोर बिन्दुभन्दा भित्री फैलावट मा अझ ठूलो हुन्छ भन्ने कुरा आउँछ।
चरण 6: लक्ष्य पूरा
अन्तिममा डाटा चोरी, सेवा बन्द, नियन्त्रण अधिकार कब्जा जस्ता लक्ष्यतिर जान्छ। अर्थात् यसलाई केवल 'उपकरण' भन्दा पनि 'आंशिक रूपमा आफैं चल्ने आक्रमण गर्ने व्यक्ति' जस्तो मानिन्छ।
कमजोरीहरू बर्सिरहेछन्, तर रक्षा टोली किन झन् बढी सास फेर्न गाह्रो मान्छ
तलका संख्याले 'फेला पर्ने गति' र 'विश्लेषण·कारबाही गति' कति नमिलेको छ भनेर देखाउँछन्। मान जति ठूलो हुन्छ, सञ्चालनको भार त्यति बढ्छ भनेर बुझ्न सकिन्छ।
आक्रमणकर्ताले एक ठाउँ मात्र भेटे पुग्छ, तर रक्षकले सबै जोगाउनुपर्छ
| वर्गीकरण | आक्रमणकर्ता पक्षको परिवर्तन | रक्षक पक्षको भार |
|---|---|---|
| कमजोरी फेला पर्नु | AI ले लामो समय लुकेका कमजोरीहरू पनि अझ सस्तो र छिटो फेला पार्न सक्छ | के साँच्चै खतरनाक हो भनेर वर्गीकरण गर्नुपर्ने सूची धेरै बढ्छ |
| सफलताको सर्त | एउटै ठाउँबाट मात्र पस्यो भने पनि अर्को चरणमा जान सकिन्छ | सबै सम्पत्तिलाई लगातार जाँचेर प्राथमिकता तय गर्नुपर्छ |
| प्याचको गति | आक्रमणकारीले प्याच अघि पहिले चलिहाले पुग्छ | रक्षाकर्ताले सुधार, वितरण, र प्रमाणीकरणसम्म पूरा गर्नुपर्छ |
| कमजोर लक्ष्य | पुराना उपकरण, OT, एम्बेडेड, प्याच गर्न नसकिने उपकरणलाई निशाना बनाउन सजिलो हुन्छ | रोक्न नसकिने प्रणालीमा प्रतिस्थापन र सुरक्षा प्याच विशेष गरी गाह्रो हुन्छ |
| नतिजा | घुसपैठ प्रवेश अवरोध घट्नु | सुरक्षा सञ्चालन 'फेला पार्ने' भन्दा 'प्रक्रिया अवरोध' समस्यातर्फ सर्छ |
विद्युत सञ्जाल·पानी आपूर्ति·बैंकलाई सधैं पहिले किन भनिन्छ, यसको कारण छ
यी क्षेत्रहरू डर लाग्दा हुनु केवल फिल्मजस्तो कल्पनाका कारण मात्र होइन। वास्तविक इतिहासका घटनाहरूले बारम्बार देखाएका छन् कि 'डिजिटल आक्रमणले समाजका काम रोकिन सक्छन्।'
1960 दशक: SCADA प्रसार
विद्युत·पानी आपूर्ति·ग्यासजस्ता फराकिला सुविधा टाढाबाट निगरानी र नियन्त्रण गर्ने SCADA(औद्योगिक सुविधा दूरनियन्त्रण प्रणाली) फैलियो। त्यतिबेला डिजाइनको सोच सुरक्षा भन्दा स्थिर सञ्चालन र दक्षतासँग बढी नजिक थियो।
1996년: महत्वपूर्ण आधारभूत संरचना अवधारणा संस्थागत भयो
अमेरिकी प्रशासनिक आदेश EO 13010 ले विद्युत, वित्त, पानी आपूर्ति, यातायात आदि लाई राज्यले जोगाउनुपर्ने मुख्य पूर्वाधारका रूपमा बाँध्यो। किन सधैं यी क्षेत्रहरू पहिले उल्लेख हुन्छन् भन्ने कुरा नीतिगत रूपमा देखाउने सुरुवाती बिन्दु यही हो।
2010년: स्टक्सनेट झट्का
Stuxnet(औद्योगिक नियन्त्रण प्रणालीलाई लक्षित गर्ने मालवेयर) ले कम्प्युटरभित्रको जानकारी मात्र चोर्ने होइन, वास्तविक भौतिक उपकरण नै बिगार्न सक्छ भन्ने देखायो। साइबर आक्रमणले वास्तविक संसारका मेसिनलाई छोउन सक्छ भन्ने मोडबिन्दु थियो।
2015년: युक्रेन विद्युत सञ्जाल ह्याकिङ
वास्तवमै विद्युत कटौती भयो। विद्युत सञ्जाल ह्याक भए असुविधामा मात्रै सीमित हुँदैन, समाजको समग्र कार्य नै हल्लिन सक्छ भन्ने कुरा स्पष्ट भयो।
2021년: कोलोनियल पाइपलाइन घटना
कार्यालय प्रयोगको IT सञ्जालमाथिको आक्रमण इन्धन आपूर्तिमा अवरोधसम्म पुग्यो। IT र OT, अर्थात् कार्यालयको कम्प्युटर सञ्जाल र सञ्चालन उपकरण सञ्जाल, सञ्चालनमा कति गहिरो गरी जोडिएका छन् भन्ने देखिएको घटना थियो।
2020 दशक: पुनर्स्थापना क्षमता केन्द्रित सुरक्षा
अब 'पस्नै नदिने' मात्रै पर्याप्त छैन भन्ने मानिन्छ। आक्रमण भए पनि कति छिटो पुनर्स्थापना गर्ने र सामाजिक कार्यलाई कायम राख्ने, अर्थात् पुनर्स्थापन क्षमता(resilience) नै मुख्य बनेको छ।
त्यसो भए किन आधारभूत संरचना नै कमजोर हुन्छ? विद्युत सञ्जाल·पानी आपूर्ति·बैंकका कमजोरी तुलना
| क्षेत्र | किन पहिले उल्लेख हुन्छ | किन कमजोर छ |
|---|---|---|
| विद्युत सञ्जाल | विद्युत कटौती भयो भने उद्योग·यातायात·सञ्चारसम्म श्रृंखलाबद्ध असर पर्छ | औद्योगिक नियन्त्रण प्रणालीमा निर्भरता, पुराना उपकरण, अवरोधरहित सञ्चालनको आवश्यकता |
| पानी आपूर्ति प्रणाली | सार्वजनिक स्वास्थ्य र दैनिक बाँचाइसँग सीधा जोडिएको | दूरनियन्त्रण उपकरण, स्थलका उपकरण पुराना हुनु, प्रतिस्थापन र जाँचको कठिनाइ |
| बैंक·वित्त | भुक्तानी र रकमको आवागमन हल्लियो भने आर्थिक अस्थिरता तुरुन्त फैलिन्छ | पुराना कम्प्युटर सञ्जाल र नयाँ सेवाहरू मिसिएका छन्, र आपसी जडान धेरै छ |
त्यसो भए यस्ता AI किन केही कम्पनीलाई मात्र देखाइन्छ
| विषय | खुला भार·फराकिलो सार्वजनिक खुलासा | API·छानिएका साझेदारलाई सीमित वितरण |
|---|---|---|
| फाइदा | अनुसन्धान प्रमाणीकरण, नवप्रवर्तन विस्तार, पहुँच वृद्धि | प्रयोग ट्र्याकिङ, गति सीमा, खाता प्रतिबन्ध, अद्यावधिक प्रतिबिम्बित गर्न सजिलो |
| कमजोरी | एक पटक खुला भएपछि फिर्ता लिन र नियन्त्रण गर्न लगभग असम्भव | कम्पनी अधिकार केन्द्रीकरण, मापदण्ड अस्पष्ट हुने सम्भावना |
| वितरण निर्णय मापदण्ड | खुलापन र इकोसिस्टम विस्तारलाई महत्व दिने | साइबर दुरुपयोग, स्वायत्त व्यवहार, सुरक्षा उपकरण छल्ने जस्ता जोखिम मूल्याङ्कनलाई अझ बढी महत्व दिने |
| मिथोस सन्दर्भ | सार्वजनिक रूपमा खुला गर्दा दुरुपयोगको असर धेरै ठूलो हुन सक्छ | छानिएका कम्पनीसँग परीक्षण गर्दै रक्षा प्रणाली पहिले जाँच गर्न खोज्ने दृष्टिकोण |
सरकारले साँच्चै गर्नुपर्ने काम 'AI प्रतिबन्ध' होइन, प्रतिक्रिया गतिको सुधार हो
यस्तो खतरा आयो भनेर एउटा कानुनले मात्र सबै कुरा सकिँदैन। वास्तविक प्रतिक्रिया धेरै दिशामा एकैचोटि चलाउनुपर्छ।
चरण 1: खतरा वर्गीकरण फेरि गर्ने
अहिलेको साइबर खतरा ढाँचाभित्र AI का विशेषता थप्नुपर्छ। मोडेल आफैंको सुरक्षा, सिकाइ डेटा सुरक्षा, AI दुर्घटना प्रतिवेदन जस्ता नयाँ विषयलाई छुट्टै व्यवस्थापन गर्नुपर्छ।
चरण 2: कानुन र खरिद मापदण्ड मिलाउने
सरकारले 'secure by design(सुरुदेखि नै सुरक्षित रूपमा डिजाइन)' सिद्धान्तलाई खरिद र नियमनमा राख्नुपर्छ। विकास, वितरण, सञ्चालन, फाल्ने अघिसम्मको पूरा चक्रमा सुरक्षा आवश्यकताहरू पर्नुपर्छ, तब मात्र प्रभावकारिता हुन्छ।
चरण 3: निजी-सरकारी सूचना साझेदारी प्रणाली उन्नयन
AI ले कमजोरीहरू अझ छिटो भेट्छ भने कम्पनी र सरकारले पनि दुर्घटना सूचना र संकेतहरू अझ छिटो बाँड्नुपर्छ। ढिलो साझेदारी सीधै क्षति विस्तारमा पुग्न सक्छ।
चरण 4: AI ले पत्ता लगाउने र प्रतिक्रिया गति बढाउने
आक्रमणकारीले AI प्रयोग गर्छ भने रक्षा पक्षले पनि AI आधारित विश्लेषण र स्वचालित प्रतिक्रिया बलियो बनाउनुपर्छ। मानिसले मात्र प्रति मिनेटको गतियुद्ध पछ्याउन गाह्रो हुँदै गएको छ।
चरण 5: कूटनीति र अन्तर्राष्ट्रिय सहकार्य
राज्य पक्षहरूले AI लाई सूचनायुद्ध र साइबर आक्रमणमा प्रयोग गरिरहेका छन् भन्ने चेतावनी पहिले नै आएको छ। त्यसैले मित्र राष्ट्रहरूबीच मूल्याङ्कन मापदण्ड, दुर्घटना सूचना, साझा नियम मिलाउने कूटनीति महत्त्वपूर्ण हुन्छ।
चरण 6: जनशक्ति र तालिम
अन्त्यमा, अक्सर छुट्ने कुरा भनेको मान्छेको समस्या हो। AI सुरक्षा भनेको उपकरण मात्र किनेर सकिँदैन। वास्तवमै चलाउने, जाँच गर्ने, र गलत निर्णय घटाउने जनशक्ति चाहिन्छ।
रक्षा प्रविधि आक्रमण प्रविधिमा उल्टिनु, वास्तवमा पहिलो पटक भएको कुरा होइन
मिथोस अपरिचित लागे पनि, ठूलो प्रवाहमा हेर्दा यो पूर्ण रूपमा नयाँ कुरा होइन। सुरक्षा प्रविधि मूलतः दोहोरो प्रयोग(राम्रो प्रयोग र नराम्रो प्रयोग दुवै भएको स्वभाव) बोकेर विकास हुँदै आएको हो।
प्राचीन~आधुनिक: गुप्तलेखन मूलतः राज्य प्रविधि थियो
गुप्तलेखन व्यक्तिगत मेसेन्जर एपभन्दा पहिले सैन्य·कूटनीतिक गोप्य सूचना सुरक्षा प्रविधिका रूपमा विकसित भयो। सुरुदेखि नै रक्षा र सूचनायुद्ध सँगै थिए।
20औं शताब्दीको पहिलो भाग: गुप्तलेखन उपकरण र डिक्रिप्सन युद्ध
उही गुप्तलेखन प्रणाली एक पक्षका लागि ढाल बन्यो, अर्को पक्षका लागि भने जसरी पनि तोड्नै पर्ने लक्ष्य बन्यो। युद्धको समयको गुप्तलेखन उपकरण प्रतिस्पर्धाले सुरक्षा प्रविधिको दुई पक्षलाई धेरै स्पष्ट देखाउँछ।
1970को दशक: सार्वजनिक कुञ्जी गुप्तलेखनको विस्तार
सुरक्षा प्रविधि सैन्य क्षेत्रमा मात्र नभई निजी सञ्जाल र व्यावसायिक सेवासम्म फैलियो। राम्रो प्रयोग जति बढ्यो, रणनीतिक प्रविधिका रूपमा यसको संवेदनशीलता पनि त्यति नै बढ्यो।
1990को दशक: क्रिप्टो युद्धहरू
बलियो एन्क्रिप्सन नागरिकलाई जोगाउने उपाय पनि मानिन्थ्यो, र एकै समयमा राज्यको नियन्त्रणलाई गाह्रो बनाउने तत्व पनि मानिन्थ्यो। यो प्रविधिको समस्या सिधै राजनीति र प्रणालीको समस्यामा फैलिएको उदाहरण हो।
2000 दशक~हाल: रेड टीम उपकरणको दुरुपयोग
Cobalt Strike वा Metasploit जस्ता उपकरण मूलतः घुसपैठ परीक्षण र रक्षा तालिमका लागि थिए। तर वास्तविक आक्रमणकारीहरूले पनि उही उपकरण प्रयोग गरे। मितोस विवादलाई यो ढाँचा AI चरणमा माथि उठिरहेको दृश्य भनेर हेर्न सकिन्छ।
त्यसैले मितोस झट्का 'AI डर लाग्दो चलचित्र' होइन, सुरक्षा क्षेत्रमा गतिसँगको प्रतिस्पर्धा सुरु भएको संकेत हो
छोटोमा भन्ने हो भने, कुरा यही हो। यसको मतलब मितोसले तुरुन्तै संसार नष्ट गर्ने राक्षस हो भन्ने होइन। सार्वजनिक जानकारी पनि अझै सीमित छ, र मिडिया रिपोर्टमा बढाइचढाइ मिसिएको हुन सक्छ। तर त्यो कुरालाई ध्यानमा राखे पनि एउटा कुरा स्पष्ट छ, कमजोरी खोजेर जोड्ने गति छिटो हुने दिशातिर संसार चलिरहेको छ।
यो परिवर्तन हाम्रो दैनिक जीवनको धेरै नजिक छ। बिजुली जान्छ, पानी आपूर्ति अस्थिर हुन्छ, बैंकको कम्प्युटर प्रणाली रोकिन्छ, र कम्पनी वा अस्पतालका पुराना प्रणालीले प्याच पछ्याउन नसके अन्त्यमा असुविधा भोग्ने त नागरिक नै हुन्। त्यसैले यो मुद्दा 'AI उद्योगभित्रको समाचार' मात्र होइन, दैनिक पूर्वाधार जोगाइराख्ने खर्च बढ्ने कुरा पनि हो।
अब अगाडि महत्त्वपूर्ण प्रश्न 'AI लाई रोक्न सकिन्छ कि सकिँदैन' भन्दा 'को छिटो अनुकूल हुन्छ' भन्ने नजिक हुनेछ। आक्रमणकारीले गति पाउँछन्, र रक्षा गर्ने पक्षले अवरोध घटाउनुपर्छ। मितोस झट्कालाई ठीक यही सुरुआती संकेतजस्तै पढ्नु सबैभन्दा यथार्थपरक हो।
मितोस विवादको सार AI आफैंको डरभन्दा ह्याकिङ स्वचालनको गति बढ्नु हो।
त्यसैले समाधान पनि प्रतिबन्धभन्दा छिटो प्याच, जानकारी साझेदारी, पुनर्स्थापना क्षमता, र अन्तर्राष्ट्रिय सहकार्यतर्फ नजिक जान्छ।
कोरियामा कसरी बस्ने भनेर हामी तपाईंलाई बताउँछौं
gltr life लाई धेरै माया गर्नुहोस्