प्रोजेक्ट ग्लासविंग: एआई युग के लिए महत्वपूर्ण सॉफ़्टवेयर सुरक्षित करना

क्लाउड मिथोस पूर्वावलोकन के साथ कमजोरियों और कारनामों की पहचान करना

पिछले कुछ हफ़्तों में, हमने प्रत्येक प्रमुख ऑपरेटिंग सिस्टम और प्रत्येक प्रमुख वेब ब्राउज़र में हज़ारों शून्य-दिन की कमजोरियों (अर्थात, वे खामियाँ जो सॉफ़्टवेयर के डेवलपर्स के लिए पहले अज्ञात थीं) की पहचान करने के लिए क्लाउड माइथोस प्रीव्यू का उपयोग किया है, जिनमें से कई महत्वपूर्ण हैं, साथ ही सॉफ़्टवेयर के अन्य महत्वपूर्ण टुकड़ों की एक श्रृंखला भी।

हमारे फ्रंटियर रेड टीम ब्लॉग पर एक पोस्ट में, हम इन कमजोरियों के एक सबसेट के लिए तकनीकी विवरण प्रदान करते हैं जिन्हें पहले ही पैच कर दिया गया है और, कुछ मामलों में, माइथोस प्रीव्यू ने उनका फायदा उठाने के लिए जो तरीके ढूंढे हैं। यह इनमें से लगभग सभी कमजोरियों की पहचान करने में सक्षम था – और कई संबंधित कारनामे विकसित करने में – पूरी तरह से स्वायत्त रूप से, बिना किसी मानवीय मार्गदर्शन के। निम्नलिखित तीन उदाहरण हैं:

• माइथोस प्रीव्यू को ओपनबीएसडी में 27 साल पुरानी भेद्यता मिली – जिसकी दुनिया में सबसे अधिक सुरक्षा-कठोर ऑपरेटिंग सिस्टम में से एक के रूप में प्रतिष्ठा है और इसका उपयोग फ़ायरवॉल और अन्य महत्वपूर्ण बुनियादी ढांचे को चलाने के लिए किया जाता है। भेद्यता ने एक हमलावर को ऑपरेटिंग सिस्टम चलाने वाली किसी भी मशीन को केवल उससे कनेक्ट करके क्रैश करने की अनुमति दी;
• इसने एफएफएमपीईजी में 16 साल पुरानी भेद्यता की भी खोज की – जिसका उपयोग सॉफ्टवेयर के असंख्य टुकड़ों द्वारा वीडियो को एनकोड और डीकोड करने के लिए किया जाता है – कोड की एक पंक्ति में स्वचालित परीक्षण उपकरण ने समस्या को पकड़े बिना पांच मिलियन बार हिट किया था;
• मॉडल ने स्वायत्त रूप से लिनक्स कर्नेल में कई कमजोरियों को पाया और एक साथ जोड़ा – वह सॉफ़्टवेयर जो दुनिया के अधिकांश सर्वर चलाता है – एक हमलावर को मशीन के पूर्ण नियंत्रण तक सामान्य उपयोगकर्ता पहुंच से आगे बढ़ने की अनुमति देता है।

हमने संबंधित सॉफ़्टवेयर के अनुरक्षकों को उपरोक्त कमजोरियों की सूचना दी है, और अब उन सभी को ठीक कर दिया गया है। कई अन्य कमजोरियों के लिए, हम आज विवरणों का एक क्रिप्टोग्राफ़िक हैश प्रदान कर रहे हैं (रेड टीम ब्लॉग देखें), और समाधान होने के बाद हम विशिष्टताओं का खुलासा करेंगे।

साइबरजिम जैसे मूल्यांकन बेंचमार्क मिथोस प्रीव्यू और हमारे अगले सर्वश्रेष्ठ मॉडल, क्लाउड ओपस 4.6 के बीच पर्याप्त अंतर को सुदृढ़ करते हैं:

हमारे अपने काम के अलावा, हमारे कई साझेदार पहले से ही कई हफ्तों से क्लाउड माइथोस प्रीव्यू का उपयोग कर रहे हैं। उन्होंने यही पाया है:

क्लाउड मिथोस प्रीव्यू की शक्तिशाली साइबर क्षमताएं इसके मजबूत एजेंटिक कोडिंग और तर्क कौशल का परिणाम हैं। उदाहरण के लिए, जैसा कि नीचे मूल्यांकन परिणामों में दिखाया गया है, मॉडल में विभिन्न प्रकार के सॉफ़्टवेयर कोडिंग कार्यों पर अभी तक विकसित किसी भी मॉडल के उच्चतम स्कोर हैं।

मॉडल की क्षमताओं, इसकी सुरक्षा गुणों और इसकी सामान्य विशेषताओं के बारे में अधिक जानकारी क्लाउड माइथोस प्रीव्यू सिस्टम कार्ड में पाई जा सकती है।

हम क्लाउड माइथोस प्रीव्यू को आम तौर पर उपलब्ध कराने की योजना नहीं बना रहे हैं, लेकिन हमारा अंतिम लक्ष्य हमारे उपयोगकर्ताओं को साइबर सुरक्षा उद्देश्यों के लिए बड़े पैमाने पर माइथोस-क्लास मॉडल को सुरक्षित रूप से तैनात करने में सक्षम बनाना है, बल्कि ऐसे असंख्य अन्य लाभों के लिए भी है जो ऐसे अत्यधिक सक्षम मॉडल लाएंगे। ऐसा करने के लिए, हमें साइबर सुरक्षा (और अन्य) सुरक्षा उपायों को विकसित करने में प्रगति करने की आवश्यकता है जो मॉडल के सबसे खतरनाक आउटपुट का पता लगाते हैं और उन्हें ब्लॉक करते हैं। हम आगामी क्लाउड ओपस मॉडल के साथ नए सुरक्षा उपायों को लॉन्च करने की योजना बना रहे हैं, जिससे हमें सुधार करने की अनुमति मिल सके। और उन्हें एक ऐसे मॉडल के साथ परिष्कृत करें जो मिथोस प्रीव्यू के समान जोखिम का स्तर पैदा न करे³.

प्रोजेक्ट ग्लासविंग की योजनाएँ

आज की घोषणा एक दीर्घकालिक प्रयास की शुरुआत है। सफल होने के लिए, इसे प्रौद्योगिकी उद्योग और उससे परे व्यापक भागीदारी की आवश्यकता होगी।

प्रोजेक्ट ग्लासविंग भागीदारों को अपने मूलभूत सिस्टमों में कमजोरियों या कमजोरियों को खोजने और ठीक करने के लिए क्लाउड मिथोस प्रीव्यू तक पहुंच प्राप्त होगी – सिस्टम जो दुनिया की साझा साइबर हमले की सतह के एक बहुत बड़े हिस्से का प्रतिनिधित्व करते हैं। हमारा अनुमान है कि यह काम स्थानीय भेद्यता का पता लगाने, बायनेरिज़ के ब्लैक बॉक्स परीक्षण, एंडपॉइंट्स को सुरक्षित करने और सिस्टम के प्रवेश परीक्षण जैसे कार्यों पर ध्यान केंद्रित करेगा।

प्रोजेक्ट ग्लासविंग और अतिरिक्त प्रतिभागियों के मॉडल उपयोग क्रेडिट में एंथ्रोपिक की $100 मिलियन की प्रतिबद्धता इस शोध पूर्वावलोकन में पर्याप्त उपयोग को कवर करेगी। इसके बाद, क्लाउड माइथोस पूर्वावलोकन प्रतिभागियों के लिए $25/$125 प्रति मिलियन इनपुट/आउटपुट टोकन पर उपलब्ध होगा (प्रतिभागी क्लाउड एपीआई, अमेज़ॅन बेडरॉक, Google क्लाउड के वर्टेक्स एआई और माइक्रोसॉफ्ट फाउंड्री पर मॉडल तक पहुंच सकते हैं)।

मॉडल उपयोग क्रेडिट की हमारी प्रतिबद्धता के अलावा, हमने लिनक्स फाउंडेशन के माध्यम से अल्फा-ओमेगा और ओपनएसएसएफ को 2.5 मिलियन डॉलर और अपाचे सॉफ्टवेयर फाउंडेशन को 1.5 मिलियन डॉलर का दान दिया है ताकि ओपन-सोर्स सॉफ्टवेयर के अनुरक्षकों को इस बदलते परिदृश्य का जवाब देने में सक्षम बनाया जा सके (एक्सेस में रुचि रखने वाले अनुरक्षक ओपन सोर्स प्रोग्राम के लिए क्लाउड के माध्यम से आवेदन कर सकते हैं)।

हमारा इरादा है कि इस कार्य का दायरा बढ़े और कई महीनों तक जारी रहे, और हम जितना संभव हो उतना साझा करेंगे ताकि अन्य संगठन अपनी सुरक्षा के लिए सबक लागू कर सकें। भागीदार, जहां तक ​​संभव हो, एक-दूसरे के साथ जानकारी और सर्वोत्तम अभ्यास साझा करेंगे; 90 दिनों के भीतर, एंथ्रोपिक सार्वजनिक रूप से रिपोर्ट करेगा कि हमने क्या सीखा है, साथ ही कमजोरियों को ठीक किया गया है और किए गए सुधारों का खुलासा किया जा सकता है। हम एआई युग में सुरक्षा प्रथाओं को कैसे विकसित किया जाना चाहिए, इसके लिए व्यावहारिक सिफारिशों का एक सेट तैयार करने के लिए अग्रणी सुरक्षा संगठनों के साथ भी सहयोग करेंगे। इसमें संभावित रूप से शामिल होंगे:

• भेद्यता प्रकटीकरण प्रक्रियाएँ;
• सॉफ़्टवेयर अद्यतन प्रक्रियाएँ;
• ओपन-सोर्स और आपूर्ति-श्रृंखला सुरक्षा;
• सॉफ़्टवेयर विकास जीवनचक्र और डिज़ाइन-दर-डिज़ाइन प्रथाएँ;
• विनियमित उद्योगों के लिए मानक;
• ट्राइएज स्केलिंग और स्वचालन; और
• पैचिंग स्वचालन.

एंथ्रोपिक अमेरिकी सरकार के अधिकारियों के साथ क्लाउड माइथोस प्रीव्यू और इसकी आक्रामक और रक्षात्मक साइबर क्षमताओं के बारे में भी चर्चा कर रहा है। जैसा कि हमने ऊपर उल्लेख किया है, महत्वपूर्ण बुनियादी ढांचे को सुरक्षित करना लोकतांत्रिक देशों के लिए एक सर्वोच्च राष्ट्रीय सुरक्षा प्राथमिकता है – इन साइबर क्षमताओं का उद्भव एक और कारण है कि अमेरिका और उसके सहयोगियों को एआई प्रौद्योगिकी में निर्णायक बढ़त बनाए रखनी चाहिए। उस बढ़त को बनाए रखने में मदद करने और एआई मॉडल से जुड़े राष्ट्रीय सुरक्षा जोखिमों का आकलन करने और उन्हें कम करने में सरकारों की एक आवश्यक भूमिका है। हम इन कार्यों में सहायता के लिए स्थानीय, राज्य और संघीय प्रतिनिधियों के साथ काम करने के लिए तैयार हैं।

हमें उम्मीद है कि प्रोजेक्ट ग्लासविंग उद्योग और सार्वजनिक क्षेत्र में एक बड़ा प्रयास शुरू कर सकता है, जिसमें सभी पक्ष सुरक्षा पर शक्तिशाली मॉडल के प्रभाव के आसपास के सबसे बड़े सवालों का समाधान करने में मदद करेंगे। हम एआई उद्योग के अन्य सदस्यों को उद्योग के लिए मानक निर्धारित करने में मदद करने के लिए हमारे साथ शामिल होने के लिए आमंत्रित करते हैं। मध्यम अवधि में, एक स्वतंत्र, तृतीय-पक्ष निकाय – जो निजी और सार्वजनिक क्षेत्र के संगठनों को एक साथ ला सकता है – इन बड़े पैमाने की साइबर सुरक्षा परियोजनाओं पर निरंतर काम के लिए आदर्श घर हो सकता है।