Claude ने एक महीने में 10,000 गंभीर बग खोजे — पैच पीछे रह गए

Anthropic के एक अप्रकाशित मॉडल ने सिर्फ़ एक महीने में दस हज़ार से ज़्यादा उच्च और गंभीर स्तर की सॉफ़्टवेयर कमज़ोरियाँ खोज निकालीं, और ये क़रीब पचास भागीदार संगठनों के कोडबेस में फैली हुई थीं। मॉडल, जिसे कंपनी के अंदर Claude Mythos Preview के नाम से जाना जाता है, को ओपन-सोर्स लाइब्रेरियों, ब्राउज़रों और उस इन्फ़्रास्ट्रक्चर पर लगाया गया था जिस पर आधुनिक इंटरनेट का बड़ा हिस्सा चलता है। नतीजा सॉफ़्टवेयर सुरक्षा के दशकों पुराने समीकरण को उलट देता है। बग ढूँढना अब काम का सबसे मुश्किल हिस्सा नहीं है। मुश्किल हिस्सा अब उन्हें ठीक करना है।

इस कार्यक्रम का नाम Project Glasswing है। Anthropic ने इसे इस पहले आँकड़ों के बैच को प्रकाशित करने से क़रीब एक महीने पहले शुरू किया था। लगभग पचास भागीदार संगठनों ने अपने प्रोडक्शन कोड को इस मॉडल से स्कैन करवाने पर सहमति दी। Cloudflare ने इसे अपने महत्वपूर्ण सिस्टमों पर छोड़ा और लगभग दो हज़ार खोजों के साथ लौटा, जिनमें से चार सौ को उच्च या गंभीर श्रेणी में रखा गया। Mozilla ने इसे Firefox के विरुद्ध चलाया और ब्राउज़र की अगली बड़ी रिलीज़ के लिए 271 अलग-अलग कमज़ोरियाँ बाहर निकालीं — यह उसी टीम ने पिछले संस्करण पर सार्वजनिक रूप से उपलब्ध Claude Opus 4.6 के साथ जो उत्पन्न किया था, उससे दस गुना से भी ज़्यादा है।

इन आँकड़ों का अर्थ इस पर निर्भर करता है कि आप वास्तव में कौन-सा सॉफ़्टवेयर इस्तेमाल करते हैं। मॉडल ने wolfSSL में एक प्रमाणपत्र-जालसाज़ी की कमज़ोरी का पता लगाया; यह एक क्रिप्टोग्राफ़ी लाइब्रेरी है जो अरबों घरेलू राउटरों, स्मार्ट-होम हब और औद्योगिक नियंत्रकों के अंदर बैठी है। इस कमज़ोरी के पास अब एक CVE पहचानकर्ता है, CVE-2026-5194, और पैच वितरण में है। एक ही स्कैन एक हज़ार से ज़्यादा ओपन-सोर्स प्रोजेक्टों पर चला और लगभग 6,202 उच्च या गंभीर घटनाएँ पैदा कीं। ये खिलौने जैसे बेंचमार्क पर अकादमिक खोजें नहीं हैं। ये उस असली कोड में बग हैं जो आपकी एन्क्रिप्टेड कनेक्शनों, आपके ब्राउज़र टैब और तार के दूसरी तरफ़ की मशीनों को संभालता है।

Mythos Preview कोई ऐसा Claude संस्करण नहीं है जिसे कोई ख़रीद सके। Anthropic ने इसे सार्वजनिक रूप से जारी न करने का फ़ैसला किया है। कंपनी का तर्क है कि वही मॉडल जो इस पैमाने पर कमज़ोरियाँ ढूँढता है, ग़लत हाथों में औद्योगिक स्तर पर एक्सप्लॉइट बनाने की मशीन बन जाएगा। घोषणा कहती है, “किसी भी कंपनी ने ऐसे सुरक्षा उपाय विकसित नहीं किए हैं जो इन मॉडलों के दुरुपयोग को रोकने के लिए पर्याप्त मज़बूत हों।” फ़िलहाल Mythos Preview एक नियंत्रित कार्यक्रम के अंदर रहता है, जिसमें जाँचे-परखे भागीदार और एक तालमेल वाली प्रकटीकरण पाइपलाइन है।

यह मॉडल किस तरह के बग खोज रहा है? C और C++ लाइब्रेरियों में मेमोरी-सुरक्षा की त्रुटियाँ, wolfSSL जैसी प्रमाणपत्र-संभाल कमज़ोरियाँ, नेटवर्क-प्रोटोकॉल कार्यान्वयनों में लॉजिक त्रुटियाँ और व्यापक रूप से तैनात सेवाओं में प्रमाणीकरण के छेद। ये वही श्रेणियाँ हैं जिनसे दशकों तक असली सेंध लगती रही है। UK AI Security Institute की रिपोर्ट है कि Mythos Preview उसका परखा गया पहला मॉडल है जो उसके दोनों एंड-टू-एंड cyber range सिमुलेशन — ऐसे नियंत्रित वातावरण जो पूरे हमलावर-प्रवाह की नक़ल करते हैं — को पूरी तरह हल करता है। स्वतंत्र सुरक्षा कंपनी XBOW ने मॉडल को पिछले काम की तुलना में “एक उल्लेखनीय छलाँग” कहा, उसी सटीकता के साथ जिसे उन्होंने “बिल्कुल अभूतपूर्व सटीकता” बताया।

ऑटोमेटेड स्कैनरों के साथ काम कर चुके किसी भी व्यक्ति के लिए अगला सवाल यह है कि इनमें से कितनी खोजें वास्तविक हैं। स्वतंत्र सुरक्षा फ़र्मों ने उच्च या गंभीर श्रेणी की 1,752 रिपोर्टों की समीक्षा की। लगभग 90.6 प्रतिशत — 1,587 रिपोर्टें — असली कमज़ोरियाँ निकलीं। यह fuzzing या पैटर्न-मिलान उपकरणों की सामान्य शोर-दर से कहीं अधिक स्वच्छ संकेत है, और Cloudflare ने बताया कि मॉडल की झूठी-सकारात्मक दर उसके अपने परीक्षणों में मानव red team सदस्यों की तुलना में बेहतर थी। लेकिन फिर भी इसका मतलब है कि लगभग दस में से एक चेतावनी झूठा अलार्म है। इस पैमाने पर यह ढेर में लगभग एक हज़ार ग़ैर-बग जोड़ देता है, और हर एक रिपोर्ट को किसी इंसान को पढ़कर ख़ारिज करना पड़ता है।

अधिक कठिन समस्या यह है कि जब कोई वास्तविक बग रिपोर्ट हो जाता है, उसके बाद क्या होता है। इस पहले अपडेट के समय तक रखरखावकर्ताओं को बताई गई 530 उच्च या गंभीर कमज़ोरियों में से केवल 75 ही पैच की गई थीं। औसत सुधार में लगभग दो हफ़्ते लग रहे हैं। कुछ ओपन-सोर्स रखरखावकर्ता, जिनके बारे में कहा जा रहा है कि वे अभिभूत हैं, ने Anthropic से प्रकटीकरण की गति धीमी करने के लिए कहा है। कंपनी लिखती है, “सॉफ़्टवेयर सुरक्षा में प्रगति पहले इस बात से सीमित होती थी कि हम कितनी जल्दी नई कमज़ोरियाँ ढूँढ सकते हैं। अब वह इस बात से सीमित है कि हम AI द्वारा खोजी गई बड़ी संख्या में कमज़ोरियों को कितनी जल्दी सत्यापित, घोषित और पैच कर सकते हैं।”

एक आम उपयोगकर्ता के लिए व्यावहारिक निष्कर्ष ग्लैमरस नहीं है। आप आज जो सॉफ़्टवेयर इस्तेमाल करते हैं, शायद वही ब्राउज़र भी जिसमें यह पन्ना खुला, उसमें लगभग निश्चित रूप से ऐसे गंभीर बग हैं जिनके बारे में किसी AI को पहले से पता है और जिन्हें इंसानों ने अभी तक ठीक नहीं किया है। समन्वित प्रकटीकरण यह मानता है कि पैच सार्वजनिक घोषणा से पहले आ जाएगा, और यह क्रम तभी टिकता है जब पैच वाक़ई समय पर पहुँचते हैं। Project Glasswing फ़िलहाल अमेरिका और यूनाइटेड किंगडम पर टिका है। Cloudflare, Mozilla, UK AI Security Institute और XBOW इसके नामज़द भागीदार हैं। ज़्यादातर दूसरे देशों में समन्वित प्रकटीकरण का कोई बराबर का कार्यक्रम नहीं है। मॉडल भारतीय, ब्राज़ीली, जापानी या कोरियाई सॉफ़्टवेयर स्टैक में जो बग ढूँढता है, उन्हें वही तत्परता मिलेगी या नहीं — यह एक खुला सवाल है।

Anthropic का कहना है कि Project Glasswing और भागीदारों तक फैल रहा है। Mythos Preview मॉडल ख़ुद बाज़ार से बाहर बना हुआ है, और कंपनी ने सार्वजनिक रिलीज़ का कोई समय नहीं बताया है; उसकी अपनी मौजूदा राय के अनुसार किसी भी व्यापक तैनाती के लिए ऐसी सुरक्षा-कवचों की ज़रूरत होगी जो अभी तक मौजूद नहीं हैं। 2026 में आगे एक दूसरा अपडेट अपेक्षित है। जिस मीट्रिक पर नज़र रखनी है, वह यह नहीं होगा कि कोई AI कितने बग ढूँढ सकता है। यह होगा कि उनमें से कितने को दूसरी तरफ़ बैठे इंसानों को ठीक करने का समय मिला।