হোম ট্যাগ আর্কাইভ

এআই দ্বারা দ্রুত দুর্বলতা তৈরি

২০২৫-০৪-২২

সাইবার নিরাপত্তা জগতে কৃত্রিম বুদ্ধিমত্তা (Artificial Intelligence, AI)-এর ভূমিকা ক্রমশ বাড়ছে। জেনারেটিভ এআই (Generative AI) মডেলগুলি খুব দ্রুততার সাথে দুর্বলতা খুঁজে বের করে সেগুলোর সুযোগ নিয়ে কোড তৈরি করতে সক্ষম। এর ফলে কোনো সিস্টেমের দুর্বলতা চিহ্নিত হওয়ার পর তা থেকে সুরক্ষার জন্য খুব কম সময় পাওয়া যাচ্ছে। এআই-এর জটিল কোড বিশ্লেষণ ও বোঝার ক্ষমতার কারণে এই পরিবর্তনগুলি ঘটছে, যা সংস্থাগুলির জন্য তাদের সিস্টেমকে রক্ষা করতে নতুন চ্যালেঞ্জ তৈরি করছে।

শোষণের গতি: কয়েক ঘণ্টার ব্যাপার

ঐতিহ্যগতভাবে, কোনো দুর্বলতা প্রকাশ হওয়ার পরে একটি প্রমাণ-ধারণা (Proof-of-Concept, PoC) শোষণ তৈরি করতে অনেক সময় লাগত। কিন্তু জেনারেটিভ এআই-এর কারণে এই সময়টা এখন অনেক কমে এসেছে। আগে যেখানে কয়েক দিন বা সপ্তাহ লাগত, এখন কয়েক ঘণ্টার মধ্যেই তা করা সম্ভব।

প্রোডিফেন্সের (ProDefense) নিরাপত্তা বিশেষজ্ঞ ম্যাথিউ কিলি (Matthew Keely) দেখিয়েছেন যে, এআই ব্যবহার করে এরল্যাং-এর (Erlang) SSH লাইব্রেরির একটি গুরুত্বপূর্ণ দুর্বলতার জন্য মাত্র এক বিকেলে একটি শোষণ তৈরি করা সম্ভব হয়েছে। এআই মডেলটি প্রকাশিত প্যাচ থেকে কোড ব্যবহার করে নিরাপত্তা ত্রুটিগুলি চিহ্নিত করে এবং একটি শোষণ তৈরি করে। এই উদাহরণটি তুলে ধরে যে কীভাবে এআই শোষণের প্রক্রিয়াটিকে দ্রুততর করতে পারে, যা সাইবার নিরাপত্তা পেশাদারদের জন্য একটি কঠিন চ্যালেঞ্জ।

কিলির এই পরীক্ষাটি Horizon3.ai-এর একটি পোস্ট থেকে অনুপ্রাণিত হয়েছিল, যেখানে SSH লাইব্রেরি বাগের জন্য শোষণ কোড তৈরির সহজতা নিয়ে আলোচনা করা হয়েছিল। এরপর কিলি সিদ্ধান্ত নেন যে তিনি পরীক্ষা করে দেখবেন যে এআই মডেলগুলি, বিশেষ করে ওপেনএআই-এর (OpenAI) জিপিটি-৪ (GPT-4) এবং অ্যানথ্রোপিকের (Anthropic) ক্লড সনেট ৩.৭ (Claude Sonnet 3.7), শোষণ তৈরির প্রক্রিয়াটি স্বয়ংক্রিয় করতে পারে কিনা।

তার ফলাফল ছিল বেশ আশ্চর্যজনক। কিলি জানান, জিপিটি-৪ শুধু কমন ভালনারেবিলিটিস অ্যান্ড এক্সপোজারস (Common Vulnerabilities and Exposures, CVE) বর্ণনাটি বোঝেনি, বরং কোন কমিট ফিক্সটি চালু করেছে, সেটিও চিহ্নিত করেছে। পুরোনো কোডের সাথে তুলনা করে দুর্বলতাটি খুঁজে বের করেছে এবং এমনকি একটি PoC-ও লিখেছে। যখন প্রাথমিক কোডটি কাজ করেনি, তখন এআই মডেলটি নিজেই ত্রুটি সংশোধন করেছে, যা তার শেখার এবং মানিয়ে নেওয়ার ক্ষমতা প্রদর্শন করে।

দুর্বলতা গবেষণায় এআই-এর ক্রমবর্ধমান ভূমিকা

এআই দুর্বলতা সনাক্তকরণ এবং শোষণ তৈরি উভয় ক্ষেত্রেই তার মূল্য প্রমাণ করেছে। গুগলের (Google) ওএসএস-ফাজ (OSS-Fuzz) প্রোজেক্টটি নিরাপত্তা ত্রুটিগুলি আবিষ্কার করতে বৃহৎ ভাষা মডেল (Large Language Models, LLMs) ব্যবহার করে, যেখানে ইলিনয় বিশ্ববিদ্যালয়ের (University of Illinois Urbana-Champaign) গবেষকরা CVE বিশ্লেষণ করে দুর্বলতা কাজে লাগানোর জন্য জিপিটি-৪-এর ক্ষমতা প্রদর্শন করেছেন।

এআই এখন যে গতিতে শোষণ তৈরি করতে পারে, তা ডিফেন্ডারদের জন্য এই নতুন বাস্তবতার সাথে দ্রুত মানিয়ে নেওয়ার প্রয়োজনীয়তার ওপর জোর দেয়। অ্যাটাক প্রোডাকশন পাইপলাইনের অটোমেশন ডিফেন্ডারদের প্রতিক্রিয়া জানাতে এবং প্রয়োজনীয় নিরাপত্তা ব্যবস্থা বাস্তবায়ন করতে খুব কম সময় দেয়।

এআই দিয়ে শোষণ তৈরির প্রক্রিয়া বিশ্লেষণ

কিলির পরীক্ষাটিতে জিপিটি-৪-কে এরল্যাং/ওপিটি (Erlang/OPT) SSH সার্ভারে দুর্বল এবং প্যাচ করা কোড সেগমেন্টগুলির তুলনা করে একটি পাইথন স্ক্রিপ্ট তৈরি করার নির্দেশ দেওয়া হয়েছিল। এই প্রক্রিয়াটিকে “ডিফিং” (Diffing) বলা হয়। এর মাধ্যমে এআই দুর্বলতাটি সমাধান করার জন্য করা নির্দিষ্ট পরিবর্তনগুলি চিহ্নিত করতে সক্ষম হয়েছিল।

কিলি জোর দিয়ে বলেন যে, জিপিটি-৪-এর জন্য একটি কার্যকরী PoC তৈরি করার জন্য কোড ডিফস (Code Diffs) অত্যন্ত গুরুত্বপূর্ণ ছিল। এটি ছাড়া এআই মডেলটি কার্যকরশোষণ তৈরি করতে সমস্যায় পড়েছিল। প্রাথমিকভাবে জিপিটি-৪ SSH সার্ভারটি পরীক্ষা করার জন্য একটি ফাজার (Fuzzer) লেখার চেষ্টা করেছিল, যা বিভিন্ন অ্যাটাক ভেক্টর (Attack Vector) অন্বেষণ করার ক্ষমতা প্রদর্শন করে।

যদিও ফাজিং (Fuzzing) নির্দিষ্ট দুর্বলতাটি আবিষ্কার করতে পারেনি, তবে জিপিটি-৪ একটি ল্যাব পরিবেশ তৈরি করার জন্য প্রয়োজনীয় বিল্ডিং ব্লক সরবরাহ করতে সফল হয়েছিল, যার মধ্যে ডকারফাইলস (Dockerfiles), দুর্বল সংস্করণে এরল্যাং SSH সার্ভার সেটআপ এবং ফাজিং কমান্ড অন্তর্ভুক্ত ছিল। এই সক্ষমতা অ্যাটাকারদের জন্য শেখার প্রক্রিয়াটিকে অনেক কমিয়ে দেয়, যা তাদের দ্রুত দুর্বলতা বুঝতে এবং কাজে লাগাতে সহায়তা করে।

কোড ডিফস পাওয়ার পরে এআই মডেল পরিবর্তনের একটি তালিকা তৈরি করে, যা দেখে কিলি দুর্বলতার কারণ সম্পর্কে জানতে চান।

এআই মডেলটি দুর্বলতার পেছনের কারণটি সঠিকভাবে ব্যাখ্যা করে এবং জানায় যে কীভাবে প্রমাণীকরণবিহীন বার্তাগুলোর বিরুদ্ধে সুরক্ষা দিতে যুক্ত করা লজিক পরিবর্তন করা হয়েছে। এই ধরনের গভীর ধারণা এআই-এর দুর্বলতা চিহ্নিত করার পাশাপাশি এর অন্তর্নিহিত কারণগুলো বুঝতে পারার ক্ষমতাকেও তুলে ধরে।

এই ব্যাখ্যার পর এআই মডেলটি একটি সম্পূর্ণ PoC ক্লায়েন্ট, একটি মেটাসপ্লয়েট-স্টাইল (Metasploit-Style) ডেমো বা ট্রেসিংয়ের জন্য একটি প্যাচ করা SSH সার্ভার তৈরি করার প্রস্তাব দেয়, যা দুর্বলতা গবেষণায় এর বহুমুখিতা এবং সম্ভাব্য প্রয়োগগুলো প্রদর্শন করে।

চ্যালেঞ্জ মোকাবিলা: ডিবাগিং এবং পরিমার্জন

এতসব অসাধারণ ক্ষমতা থাকা সত্ত্বেও জিপিটি-৪-এর প্রাথমিক PoC কোডটি সঠিকভাবে কাজ করেনি। এআই-এর মাধ্যমে তৈরি সাধারণ কোড স্নিপেটের (Code Snippet) ক্ষেত্রে এমনটা প্রায়ই ঘটে থাকে।

এই সমস্যা সমাধানের জন্য কিলি অন্য একটি এআই টুল, অ্যানথ্রোপিকের ক্লড সনেট ৩.৭-এর সাথে কার্সরের (Cursor) সাহায্য নেন এবং এটিকে PoC-এর ত্রুটিগুলো সংশোধন করার দায়িত্ব দেন। অবাক করা বিষয় হল, এআই মডেলটি সফলভাবে কোডটি সংশোধন করে, যা এআই-এর নিজের আউটপুটকে পরিমার্জন এবং উন্নত করার সম্ভাবনা প্রদর্শন করে।

কিলি তার অভিজ্ঞতা বর্ণনা করে বলেন, এটি তার কৌতূহলকে গভীর অনুসন্ধানে রূপান্তরিত করেছে যে কীভাবে এআই দুর্বলতা গবেষণায় বিপ্লব ঘটাচ্ছে। তিনি আরও বলেন, আগে যেখানে বিশেষ এরল্যাং জ্ঞান এবং ব্যাপক ম্যানুয়াল ডিবাগিংয়ের প্রয়োজন হতো, এখন সেটি সঠিক প্রম্পট (Prompt) ব্যবহার করে মাত্র এক বিকেলে করা সম্ভব।

হুমকির বিস্তারে প্রভাব

কিলি এআই-এর মাধ্যমে শোষণ প্রক্রিয়াটিকে দ্রুত করার ক্ষমতার কারণে হুমকির বিস্তারের ক্ষেত্রে একটি উল্লেখযোগ্য বৃদ্ধি তুলে ধরেছেন।

দুর্বলতাগুলো শুধু প্রায়শই প্রকাশিত হচ্ছে তা-ই নয়, বরং প্রকাশের কয়েক ঘণ্টার মধ্যেই সেগুলো কাজে লাগানো হচ্ছে। এই দ্রুত শোষণ ডিফেন্ডারদের প্রতিক্রিয়া জানাতে এবং প্রয়োজনীয় নিরাপত্তা ব্যবস্থা বাস্তবায়ন করতে খুব কম সময় দিচ্ছে।

এই পরিবর্তনটির বৈশিষ্ট্য হলো হুমকি সৃষ্টিকারীদের মধ্যে সমন্বয় বৃদ্ধি। একই দুর্বলতা খুব অল্প সময়ের মধ্যে বিভিন্ন প্ল্যাটফর্ম, অঞ্চল এবং শিল্পে ব্যবহার করা হচ্ছে।

কিলির মতে, হুমকি সৃষ্টিকারীদের মধ্যে এই ধরনের সমন্বয় আগে সপ্তাহখানেক লাগতো, কিন্তু এখন একদিনেই সম্ভব। প্রকাশিত CVE-এর সংখ্যায় যথেষ্ট বৃদ্ধি দেখা যাচ্ছে, যা হুমকির ক্রমবর্ধমান জটিলতা এবং গতিকে প্রতিফলিত করে। ডিফেন্ডারদের জন্য এর অর্থ হলো প্রতিক্রিয়ার জন্য কম সময় এবং অটোমেশন, স্থিতিস্থাপকতা এবং সর্বদা প্রস্তুত থাকার প্রয়োজনীয়তা বৃদ্ধি।

এআই-ত্বরিত হুমকির বিরুদ্ধে প্রতিরোধ

এন্টারপ্রাইজগুলো কীভাবে তাদের অবকাঠামো রক্ষা করতে পারে, এই প্রশ্নের উত্তরে কিলি জোর দিয়ে বলেন যে মূলনীতি একই থাকে: গুরুত্বপূর্ণ দুর্বলতাগুলো দ্রুত এবং নিরাপদে প্যাচ করতে হবে। এর জন্য আধুনিক ডেভঅপস (DevOps) পদ্ধতির প্রয়োজন, যা নিরাপত্তাকে অগ্রাধিকার দেয়।

এআই-এর মাধ্যমে যে প্রধান পরিবর্তনটি এসেছে তা হলো অ্যাটাকাররা দুর্বলতা প্রকাশের পর থেকে কার্যকরী শোষণ তৈরি করতে যে সময় নেয়, তা কমে গেছে। প্রতিক্রিয়ার সময়সীমা সংকুচিত হয়ে আসছে, যার কারণে এন্টারপ্রাইজগুলোকে প্রতিটি CVE রিলিজকে তাৎক্ষণিক হুমকি হিসেবে বিবেচনা করতে হবে। সংস্থাগুলো এখন প্রতিক্রিয়া জানাতে কয়েক দিন বা সপ্তাহ অপেক্ষা করতে পারে না; বিস্তারিত তথ্য প্রকাশ্যে আসার সাথে সাথেই প্রতিক্রিয়া জানাতে প্রস্তুত থাকতে হবে।

নতুন সাইবার নিরাপত্তা ল্যান্ডস্কেপের সাথে মানিয়ে নেওয়া

এআই-ত্বরিত হুমকির বিরুদ্ধে কার্যকরভাবে নিজেদের রক্ষা করতে সংস্থাগুলোকে একটি সক্রিয় এবং অভিযোজনযোগ্য নিরাপত্তা কৌশল গ্রহণ করতে হবে। এর মধ্যে রয়েছে:

  • দুর্বলতা ব্যবস্থাপনাকে অগ্রাধিকার দেওয়া: একটি শক্তিশালী দুর্বলতা ব্যবস্থাপনা প্রোগ্রাম বাস্তবায়ন করা, যার মধ্যে নিয়মিত স্ক্যানিং, দুর্বলতাগুলোর অগ্রাধিকার নির্ধারণ এবং প্যাচিং অন্তর্ভুক্ত।
  • নিরাপত্তা প্রক্রিয়া স্বয়ংক্রিয় করা: দুর্বলতা স্ক্যানিং, ঘটনার প্রতিক্রিয়া এবং হুমকি গোয়েন্দা বিশ্লেষণের মতো নিরাপত্তা প্রক্রিয়াগুলোকে সুবিন্যস্ত করতে অটোমেশন ব্যবহার করা।
  • হুমকি গোয়েন্দাতে বিনিয়োগ: হুমকি গোয়েন্দা ফিডে বিনিয়োগ করে এবং তথ্য আদান-প্রদানকারী কমিউনিটিতে অংশ নিয়ে সর্বশেষ হুমকি এবং দুর্বলতা সম্পর্কে অবগত থাকা।
  • নিরাপত্তা সচেতনতা প্রশিক্ষণ বৃদ্ধি করা: ফিশিং, ম্যালওয়্যার এবং অন্যান্য সাইবার হুমকি সম্পর্কে কর্মীদের শিক্ষিত করা।
  • জিরো ট্রাস্ট আর্কিটেকচার বাস্তবায়ন করা: একটি জিরো ট্রাস্ট (Zero Trust) নিরাপত্তা মডেল গ্রহণ করা, যেখানে কোনো ব্যবহারকারী বা ডিভাইসকে ডিফল্টরূপে বিশ্বাস করা হয় না।
  • প্রতিরক্ষার জন্য এআই ব্যবহার করা: রিয়েল টাইমে (Real Time) হুমকি সনাক্ত করতে এবং প্রতিক্রিয়া জানাতে এআই-চালিত নিরাপত্তা সরঞ্জামগুলোর ব্যবহার অন্বেষণ করা।
  • নিয়মিত পর্যবেক্ষণ ও উন্নতি: নিরাপত্তা নিয়ন্ত্রণ এবং প্রক্রিয়াগুলো ক্রমাগত পর্যবেক্ষণ করা এবং হুমকির বিবর্তনের সাথে তাল মিলিয়ে চলার জন্য প্রয়োজনীয় সমন্বয় করা।
  • ঘটনার প্রতিক্রিয়া পরিকল্পনা: নিরাপত্তা ঘটনার দ্রুত এবং কার্যকর প্রতিক্রিয়ার জন্য ঘটনার প্রতিক্রিয়া পরিকল্পনা তৈরি করা এবং নিয়মিত পরীক্ষা করা।
  • সহযোগিতা ও তথ্য আদান-প্রদান: সম্মিলিত নিরাপত্তা উন্নত করতে অন্যান্য সংস্থা এবং শিল্প গ্রুপগুলোর সাথে সহযোগিতা এবং তথ্য আদান-প্রদান বাড়ানো।
  • সক্রিয় হুমকি শিকার: ক্ষতি হওয়ার আগেই সম্ভাব্য হুমকি চিহ্নিত করতে এবং প্রশমিত করতে সক্রিয় হুমকি শিকার পরিচালনা করা।
  • ডেভসেকঅপস গ্রহণ করা: সফটওয়্যার ডেভেলপমেন্ট লাইফসাইকেলে (Software Development Lifecycle) নিরাপত্তাকে একীভূত করে দুর্বলতাগুলো আগে থেকেই চিহ্নিত করে সমাধান করা।
  • নিয়মিত নিরাপত্তা নিরীক্ষা ও পেনিট্রেশন টেস্টিং: সিস্টেম এবং অ্যাপ্লিকেশনগুলোর দুর্বলতা চিহ্নিত করতে নিয়মিত নিরাপত্তা নিরীক্ষা এবং পেনিট্রেশন টেস্টিং (Penetration Testing) পরিচালনা করা।

এআই-এর যুগে সাইবার নিরাপত্তার ভবিষ্যৎ

সাইবার নিরাপত্তায় এআই-এর উত্থান সুযোগ এবং চ্যালেঞ্জ দুটোই তৈরি করেছে। এআই যেমন আক্রমণকে দ্রুততর করতে ব্যবহার করা যেতে পারে, তেমনি এটি প্রতিরক্ষাকেও উন্নত করতে পারে। যে সংস্থাগুলো এআই গ্রহণ করে এবং তাদের নিরাপত্তা কৌশলগুলো মানিয়ে নেয়, তারাই বিবর্তিত হুমকির ল্যান্ডস্কেপের বিরুদ্ধে নিজেদের রক্ষা করতে পারবে।

এআই ক্রমাগত বিকশিত হওয়ার সাথে সাথে সাইবার নিরাপত্তা পেশাদারদের জন্য সর্বশেষ উন্নয়ন সম্পর্কে অবগত থাকা এবং সেই অনুযায়ী তাদের দক্ষতা এবং কৌশলগুলো পরিবর্তন করা অত্যন্ত গুরুত্বপূর্ণ। সাইবার নিরাপত্তার ভবিষ্যৎ এআই-চালিত আক্রমণকারী এবং এআই-চালিত ডিফেন্ডারদের মধ্যে চলমান যুদ্ধের দ্বারা নির্ধারিত হবে।

হালনাগাদ করা হয়েছে ২০২৫-০৪-২২

# AI# AIGC# GPT
পূর্ববর্তী পোস্ট
OpenAI AI: ছবি থেকে লোকেশন ফাঁস!
পরবর্তী পোস্ট
বিদায়, চ্যাটজিপিটি: এআইয়ের অতিরিক্ত ব্যবহারে ডেভেলপারদের ভাবনা