एक AI ने काम करने वाला ज़ीरो-डे एक्सप्लॉइट लिखा — Google ने पहले पकड़ लिया

एक्सप्लॉइट टू-फ़ैक्टर ऑथेंटिकेशन पर निशाना साध रहा था — वह सत्यापन परत जो लोगों के सबसे ज़रूरी अकाउंट्स को सुरक्षित करती है: ईमेल, बैंक, क्लाउड स्टोरेज, कार्यस्थल लॉगिन। उपकरण के Python कोड में एक सिमैंटिक लॉजिक खामी इस तरह काम करती थी कि चुराए हुए क्रेडेंशियल वाले हमलावर एक हार्ड-कोडेड अपवाद को सक्रिय करके 2FA जाँच को पार कर सकते थे, जिसे डेवलपर्स ने कभी उजागर करने का इरादा नहीं किया था। Google ने बग पहचाना, उसे प्रभावित विक्रेता को सूचित किया ताकि पैच जारी हो, और तय हमला शुरू होने से पहले ही उसे विफल कर दिया। यह खोज पहली बार जो साबित करती है वह बग नहीं बल्कि उसे पाने का तरीका है।

Google के विश्लेषकों का कहना है कि एक्सप्लॉइट कोड में बड़े भाषा मॉडल की स्पष्ट उंगलियों के निशान थे — ट्यूटोरियल जैसी docstring टिप्पणियाँ, अत्यधिक संरचित स्वरूपण, और एक लेखन शैली जिसे वे LLM प्रशिक्षण डेटा की अत्यधिक विशिष्ट बताते हैं। टीम ने उच्च विश्वास के साथ निष्कर्ष निकाला कि खोज और हथियारीकरण का अधिकांश काम अकेले काम कर रहे किसी इंसान ने नहीं बल्कि एक AI ने किया है। प्रभावित कंपनी, अपराध गिरोह और उपकरण का नाम अब भी सार्वजनिक नहीं हुए हैं।

यह अंतर मायने रखता है क्योंकि यह वही प्रकार की खामी है जिसे ढूंढ़ने में मशीनें कमज़ोर मानी जाती थीं। पारंपरिक स्कैनर क्रैश और मेमोरी भ्रष्टाचार ढूंढ़ते हैं। यह मामला 2FA लागू करने वाले तर्क और एक हार्ड-कोडेड अपवाद के बीच विरोधाभास था — वैसी खामी जिसे सावधान मानवीय ऑडिटर हज़ारों लाइनों के कोड में असंगति ढूंढ़ते समय पकड़ सकता है। Google ने टिप्पणी की कि अग्रणी भाषा मॉडल यह संदर्भगत पठन अब उन गति पर कर रहे हैं जिनकी बराबरी कोई ऑडिट टीम नहीं कर सकती।

आपको यह भी पसंद आ सकता हैब्लूमबर्ग ने 2.5 अरब डॉलर के Nvidia चिप तस्करी पाइपलाइन में Alibaba का नाम जोड़ा, थाईलैंड से चीन तक का रास्ता

रिपोर्ट एक व्यापक पैटर्न भी बताती है जिसका अपराध गिरोहों से कोई संबंध नहीं है। चीन समर्थित क्लस्टर UNC2814, एम्बेडेड डिवाइसों पर भेद्यता अनुसंधान तेज़ करने के लिए AI का उपयोग कर रहा है। उत्तर कोरियाई समूह APT45 ने एक मॉडल को हज़ारों दोहराव प्रॉम्प्ट खिलाकर CVE सूची के प्रविष्टियों का पुनरावर्ती विश्लेषण कराया और एक्सप्लॉइट के प्रूफ-ऑफ-कॉन्सेप्ट सत्यापित किए। अलग-अलग ऑपरेटर, एक ही तकनीक: मॉडल को थका न देने वाला अनुसंधान सहायक बनाओ।

Google की कहानी की कुछ सीमाएँ बताना ज़रूरी है। कंपनी ने न प्रभावित उपकरण, न खतरे का अभिनेता, न पैच का समय बताया है, और पाठकों से अपेक्षा करती है कि वे AI निशानों पर निष्कर्ष को केवल उसके आंतरिक विश्लेषण के आधार पर माने। इस सप्ताह जारी हुई किसी भी तीसरे पक्ष की पुष्टि में एक्सप्लॉइट कोड पर कोई स्वतंत्र फॉरेंसिक मूल्यांकन नहीं है। उच्च विश्वास का मूल्यांकन GTIG की बात बनाम अपराध गिरोह की चुप्पी है। यह भी सच है कि मूल खामी — एक हार्ड-कोडेड अपवाद — ठीक उसी प्रकार की भूल है जिसे मानवीय डेवलपर्स दशकों से बिना किसी AI सहायता के करते आ रहे हैं। मॉडल ने खोज को तेज़ किया होगा; खामी उस सिस्टम से पुरानी है जिसने उसे ढूंढ़ा।

आम उपयोगकर्ता के लिए तुरंत कोई कार्रवाई नहीं है — बग ऐसी सॉफ्टवेयर में है जिसे IT टीमें संभालती हैं, व्यक्तिगत डिवाइसों में नहीं — लेकिन अंतर्निहित अर्थ सीधा है। पासवर्ड मैनेजर्स से लेकर कॉर्पोरेट सिंगल साइन-ऑन तक हमारी रक्षात्मक परिधि मानवीय हमलावरों के मानवीय गति के विरुद्ध बनाई गई थी। एक AI-सहायित हमलावर कोडबेस को उसी तरह पढ़ता है जैसे अनुभवी इंजीनियर एक अनुच्छेद पढ़ता है। रक्षकों को भी वही सीखना होगा।

जो पुष्ट है वह यह है कि प्रभावित विक्रेता को सूचित कर दिया गया है और पैच लागू किया जा रहा है। व्यापक विश्लेषण आक्रामक सुरक्षा में AI के उपयोग का अनुसरण करने वाली Google Cloud की चल रही थ्रेट इंटेलिजेंस श्रृंखला के हिस्से के रूप में 11 मई 2026 को प्रकाशित हुआ। Google के मुख्य थ्रेट विश्लेषक John Hultquist ने अगले दिनों में पत्रकारों से कहा कि AI बनाम रक्षकों की दौड़ पहले ही शुरू हो चुकी है, सामने नहीं है। AI-सक्षम उपकरणों पर अगली रिपोर्ट दूसरी तिमाही समाप्त होने से पहले आने की उम्मीद है।

इस तरह की और सामग्री

सिलिकॉन की जाँच: कृत्रिम बुद्धिमत्ता भौतिकी के प्रकाशित ज्ञान की सत्ता को कैसे चुनौती दे रही है

बिना स्क्रीन वाला 99 डॉलर का Fitbit Air, स्मार्टवॉच के दौर से कलाई को वापस छीनता है

इंस्टाग्राम ‘AI क्रिएटर’ लेबल का परीक्षण कर रहा है और फ़ैसला क्रिएटर पर छोड़ रहा है

DeepSeek V4: GPT-5 से पाँच गुना सस्ता, Nvidia चिप के बिना चलता है

StoneHold की घोषणा: एक्शन MOBA और कार्ड गेम का एक हाइब्रिड

सिलिकॉन को अलविदा: चीन ने पेश किया ‘LightGen’, वो प्रोसेसर जो रोशनी से चलता है और Nvidia की बादशाहत को चुनौती देता है