- Amazon, Apple, Google, Microsoft जैसी प्रमुख टेक कंपनियों की भागीदारी वाला Project Glasswing एक सहयोगी पहल है, जो AI का उपयोग करके दुनिया भर के महत्वपूर्ण सॉफ़्टवेयर में सुरक्षा कमजोरियों का पता लगाने और उनसे रक्षा करने पर केंद्रित है
- Anthropic का Claude Mythos 2 Preview मॉडल इसमें केंद्रीय भूमिका निभा रहा है, और यह पहले ही प्रमुख operating systems और browsers में हज़ारों high-severity कमजोरियाँ खोज चुका है
- Mythos Preview मानव हस्तक्षेप के बिना स्वायत्त रूप से कमजोरियों का पता लगाने और exploit बनाने में सक्षम है, और इसने OpenBSD, FFmpeg, Linux kernel आदि में दशकों से छिपी खामियाँ खोजी हैं
- Anthropic इस परियोजना के लिए $100 million के model credits और open source security संगठनों के लिए $4 million के दान दे रहा है, जिनका उपयोग साझेदार vulnerability detection, security testing, और penetration assessment के लिए करेंगे
- Glasswing का लक्ष्य AI युग के लिए cybersecurity standards और practical guidelines तैयार करना है, और दीर्घकाल में public-private collaboration पर आधारित टिकाऊ सुरक्षा ढाँचा बनाना है
Project Glasswing का अवलोकन
- Project Glasswing एक वैश्विक cybersecurity collaboration project है, जिसमें Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks आदि शामिल हैं
- इसका उद्देश्य Anthropic के Claude Mythos 2 Preview मॉडल के आधार पर AI का उपयोग करके दुनिया भर के महत्वपूर्ण सॉफ़्टवेयर में सुरक्षा कमजोरियों का पता लगाना और उनसे रक्षा करना है
- Mythos Preview ने प्रमुख operating systems और web browsers में हज़ारों high-severity कमजोरियाँ खोजी हैं, और इसका प्रदर्शन अधिकांश मानव विशेषज्ञों से बेहतर बताया गया है
- Anthropic इस परियोजना के लिए अधिकतम $100 million के model usage credits और open source security संगठनों के लिए $4 million के दान दे रहा है
- इस परियोजना को AI युग के cybersecurity standards और practical guidelines तैयार करने के लिए दीर्घकालिक सहयोग की शुरुआत के रूप में स्थापित किया गया है
AI युग का cybersecurity परिदृश्य
- वित्त, स्वास्थ्य, ऊर्जा, परिवहन और सरकार जैसे critical infrastructure software में हमेशा bugs और security flaws मौजूद रहते हैं
- AI models की प्रगति के कारण कमजोरियों का पता लगाने और उनका दुरुपयोग करने की लागत और विशेषज्ञता की आवश्यकता तेज़ी से कम हुई है
- Claude Mythos Preview ने पुरानी सुरक्षा खामियाँ खोजी हैं, जो दशकों तक मानव समीक्षा और automated testing में भी सामने नहीं आई थीं
- अगर ऐसी AI क्षमताओं का दुरुपयोग होता है, तो cyberattacks की आवृत्ति और विनाशकारी क्षमता बहुत बढ़ सकती है और यह राष्ट्रीय सुरक्षा के लिए खतरा बन सकती है
- वहीं यही तकनीक रक्षा पक्ष के लिए भी एक परिवर्तनकारी उपकरण बन सकती है, इसलिए AI-आधारित सुरक्षा मज़बूती आवश्यक है
Claude Mythos Preview की vulnerability detection उपलब्धियाँ
- हाल के हफ्तों में Mythos Preview ने सभी प्रमुख operating systems और web browsers में हज़ारों zero-day vulnerabilities खोजी हैं
- यह मॉडल मानव हस्तक्षेप के बिना स्वायत्त रूप से कमजोरियों का पता लगाता है और exploit विकसित करता है
- प्रमुख उदाहरण
- OpenBSD: 27 साल पुरानी कमजोरी का पता लगाया, जिससे remote system crash संभव था
- FFmpeg: 16 साल पुरानी कमजोरी का पता लगाया, जो 50 लाख automated tests के बाद bhi नहीं पकड़ी गई थी
- Linux kernel: कई कमजोरियों को श्रृंखलाबद्ध तरीके से इस्तेमाल कर privilege escalation attack की संभावना की पुष्टि की
- सभी कमजोरियों की सूचना संबंधित project maintainers को दी गई और patching पूरी कर ली गई
- CyberGym benchmark में Mythos Preview ने 83.1% हासिल किया, जबकि पिछला मॉडल Opus 4.6 66.6% पर रहा
साझेदार कंपनियों की भागीदारी और मूल्यांकन
- Cisco: AI ने security infrastructure की सुरक्षा की तात्कालिकता को मूल रूप से बदल दिया है, और पारंपरिक hardening methods अब पर्याप्त नहीं हैं
- AWS: रोज़ाना 400 trillion network flows का विश्लेषण करते हुए Claude Mythos Preview की मदद से code-based security hardening कर रहा है
- Microsoft: CTI-REALM benchmark में Mythos Preview ने पिछले मॉडल की तुलना में बड़ा सुधार दिखाया, और कंपनी AI-based security scaling पर काम कर रही है
- CrowdStrike: AI की वजह से vulnerability discovery और attack के बीच का समय मिनटों तक सिमट गया है, इसलिए AI defense capabilities की तेज़ deployment ज़रूरी है
- open source community: Glasswing के ज़रिए सीमित security teams वाले open source maintainers को भी AI-आधारित vulnerability detection tools मिलेंगे
- JPMorganChase: वित्तीय प्रणालियों की cyber resilience मज़बूत करने के लिए उद्योग-स्तरीय संयुक्त प्रतिक्रिया के महत्व पर ज़ोर दिया
- Google: Vertex AI के माध्यम से Mythos Preview उपलब्ध करा रहा है, और AI-based security tools (Big Sleep, CodeMender) का विकास जारी रखे हुए है
Claude Mythos Preview का तकनीकी प्रदर्शन
- Mythos Preview, Anthropic के मौजूदा models की तुलना में coding और reasoning capabilities में काफ़ी आगे है
- प्रमुख benchmark परिणाम
- SWE-bench Verified/Pro/Multilingual आदि में Opus 4.6 की तुलना में 20~30% से अधिक सुधार
- Terminal-Bench 2.0 में 92.1% (Opus 4.6: 77.8%)
- tools के बिना 56.8% vs 40.0%, tools के साथ 64.7% vs 53.1%
- Humanity’s Last Exam में 86.9% vs 83.7%
- BrowseComp में 4.9 गुना कम tokens के उपयोग के साथ अधिक स्कोर
- Anthropic ने कहा है कि Mythos Preview की public release की कोई योजना नहीं है, और आगे चलकर अधिक मज़बूत सुरक्षा safeguards वाले Claude Opus models के माध्यम से चरणबद्ध विस्तार किया जाएगा
Project Glasswing की आगे की योजना
- साझेदार Claude Mythos Preview का उपयोग करके महत्वपूर्ण systems में vulnerability detection, binary black-box testing, endpoint security, और penetration testing करेंगे
- Anthropic $100 million के model usage credits देगा, और उसके बाद उपयोग शुल्क input के प्रति 1 million tokens पर $25 और output के प्रति 1 million tokens पर $125 होगा
-
open source security संगठनों के लिए समर्थन
- Linux Foundation के अंतर्गत Alpha-Omega, OpenSSF को $2.5 million
- Apache Software Foundation को $1.5 million का दान
- open source maintainers को Claude for Open Source program के माध्यम से access मिलेगा
- 90 दिनों के भीतर vulnerability fixes और improvement reports सार्वजनिक किए जाएंगे, और AI युग के security practices guidelines संयुक्त रूप से विकसित किए जाएंगे
- vulnerability disclosure procedures
- software update processes
- open source और supply chain security
- security-centered development lifecycle
- regulated industry standards
- automated vulnerability classification और patch systems
- Anthropic अमेरिकी सरकार के साथ परामर्श में है, और AI-आधारित cyber capabilities के राष्ट्रीय सुरक्षा प्रभावों के मूल्यांकन और mitigation में सहायता करेगा
- दीर्घकाल में लक्ष्य public-private collaboration के एक स्वतंत्र third-party institution के माध्यम से बड़े पैमाने की cybersecurity projects का सतत प्रबंधन करना है
2 टिप्पणियां
ऊपर उल्लेखित फ़ाउंडेशन के एक सदस्य के रूप में इस प्रक्रिया को देखते हुए मुझे गहरी निराशा हुई। ऊपर से यह 'ethical AI' का दावा करता था, लेकिन अंदर ही अंदर यह फैसला किसी भी community consensus के बिना top-down तरीके से लिया गया।
भू-राजनीतिक टकराव भड़कने के साथ, काफ़ी समय से सक्रिय न होने के बावजूद मुझे लगा कि कुछ कहना चाहिए, इसलिए मैंने ethics पर चर्चा के लिए एक thread शुरू किया, लेकिन जवाब में सिर्फ़ नौकरशाही टालमटोल मिली। यह initiative open source के मूल्यों की रक्षा करने के लिए नहीं था, बल्कि बड़े पूंजी समूहों के एक बंद गठबंधन द्वारा open source फ़ाउंडेशन से Responsible AI का trademark खरीद लेने की घटना थी.
Hacker News की राय
जब कहा जाता है कि चीन, ईरान, उत्तर कोरिया और रूस जैसे देशों की state-sponsored hacking इन्फ्रास्ट्रक्चर को खतरे में डालती है, तो मुझे उल्टा लगता है कि PRISM ही ऐसा state program था जिसका आम नागरिकों के जीवन पर सबसे बड़ा असर पड़ा। और मुझे लगा कि इस सूची में एक देश छूट गया है
Anthropic की घोषणा marketing hype हो सकती है, लेकिन अगर इसका आधा भी सच है तो vulnerability detection की क्षमता चौंकाने वाली है। अगर Apple या Google इसे अपने OS codebase पर लागू करें, तो commercial spyware industry ढह सकती है। मुझे लगता था कि NSO Group जैसी कंपनियाँ पहले से automated bug hunting tools का उपयोग करती होंगी, लेकिन अब शायद game balance बराबर हो जाए
अभी तक ऐसा कोई सबूत नहीं है कि यह AI fuzzing से बेहतर है। इसने सिर्फ वे bugs ढूँढे हैं जो fuzzing से छूट गए। उल्टा यह भी हो सकता है कि fuzzing जिन चीज़ों को ढूँढ ले, AI उन्हें मिस कर दे
मैंने Anthropic का Claude Mythos system card (PDF) पढ़ा। यह model आम तौर पर public release नहीं किया जाएगा। सिर्फ internal validation के आधार पर ही इसमें जोखिम महसूस किया गया और इसलिए 24-hour alignment review किया गया। दिलचस्प बात यह है कि यह फैसला Responsible Scaling Policy की वजह से नहीं था
लंबे समय में मुझे यकीन नहीं है कि software security कम vulnerabilities की दिशा में converge करेगी। बड़ी कंपनियाँ AI से अपनी defense मज़बूत करेंगी, लेकिन छोटे और मध्यम प्रोजेक्ट्स शायद “या तो बहुत tokens खर्च करो, या hack हो जाओ” जैसी दुविधा में फँसेंगे
Mythos system card की section 7.6 में कहा गया है कि model के खुद से 30-turn conversation वाले experiment में यह uncertainty और self-reflection पर ध्यान देने की प्रवृत्ति दिखाता है। संभव है कि यही गुण इसकी vulnerability detection ability बढ़ाने वाला कारक हो
Mythos अभी optimization और guardrail tuning पूरी न हुई model जैसा लगता है। इसलिए इसे केवल कुछ partner companies तक सीमित रखा गया है और cybersecurity-focused preview phase में इस्तेमाल किया जा रहा है। लगता है PR effect भी लक्ष्य है
यह घोषणा एक overhyped PR event जैसी लगती है। Opus 4.6 पहले ही zero-day detection और exploit chaining कर सकता था। संबंधित लेख CSO Online और Xbow blog देखे जा सकते हैं
software industry को memory safety और control-flow integrity की अनदेखी की सामाजिक कीमत चुकानी पड़ेगी
मेरे हिसाब से इस नए model ने long-context processing performance में बड़ा सुधार किया है। GraphWalks BFS 256K~1M test में Mythos ने 80% स्कोर किया, जो Opus (38.7%) या GPT5.4 (21.4%) से काफी बेहतर है