آرٹیفیشل انٹیلیجنس (اے آئی) کے کردار کے ساتھ سائبر سکیورٹی کا منظرنامہ تیزی سے بدل رہا ہے۔ جنریٹیو اے آئی ماڈلز اب حیرت انگیز رفتار سے ایکسپلائٹ کوڈ تیار کرنے کی صلاحیت رکھتے ہیں، جو کمزوریوں کا جواب دینے کے لیے محافظوں کے لیے موقع کی ونڈو کو ڈرامائی طور پر کم کرتے ہیں۔ یہ تبدیلی، اے آئی کی پیچیدہ کوڈ کا تجزیہ اور سمجھنے کی صلاحیت سے چلتی ہے، ان تنظیموں کے لیے نئے چیلنجز پیش کرتی ہے جو اپنے نظاموں کی حفاظت کے لیے کوشاں ہیں۔
استحصال کی رفتار: گھنٹوں کا معاملہ
جنریٹیو اے آئی کی صلاحیتوں کی بدولت کمزوری کے انکشاف سے لے کر پروف آف کنسیپٹ (PoC) استحصال کی تخلیق تک کا روایتی ٹائم لائن نمایاں طور پر کم ہو گیا ہے۔ جو کام پہلے دنوں یا ہفتوں میں ہوتا تھا اب وہ گھنٹوں میں ہو سکتا ہے۔
پروڈیفنس کے ایک سکیورٹی ماہر میتھیو کیلی نے اے آئی کا استعمال کرتے ہوئے Erlang کی SSH لائبریری میں ایک اہم کمزوری کے لیے ایک سہ پہر میں ایک ایکسپلائٹ تیار کرکے اس رفتار کا مظاہرہ کیا۔ اے آئی ماڈل، شائع شدہ پیچ سے کوڈ کا فائدہ اٹھاتے ہوئے، سکیورٹی ہولز کی نشاندہی کی اور ایک ایکسپلائٹ تیار کیا۔ یہ مثال اس بات کو اجاگر کرتی ہے کہ کس طرح اے آئی استحصال کے عمل کو تیز کر سکتا ہے، سائبر سکیورٹی پیشہ ور افراد کے لیے ایک زبردست چیلنج پیش کرتا ہے۔
کیلی کا تجربہ Horizon3.ai کی ایک پوسٹ سے متاثر تھا، جس میں SSH لائبریری بگ کے لیے ایکسپلائٹ کوڈ تیار کرنے میں آسانی پر بحث کی گئی تھی۔ اس نے یہ جاننے کے لیے جانچ کرنے کا فیصلہ کیا کہ آیا اے آئی ماڈلز، خاص طور پر OpenAI کے GPT-4 اور Anthropic کے Claude Sonnet 3.7 استحصال کی تخلیق کے عمل کو خودکار بنا سکتے ہیں۔
اس کے نتائج حیران کن تھے۔ کیلی کے مطابق، GPT-4 نے نہ صرف Common Vulnerabilities and Exposures (CVE) کی تفصیل کو سمجھا بلکہ اس کمٹ کی بھی نشاندہی کی جس نے فکس متعارف کرایا، اس کا پرانے کوڈ سے موازنہ کیا، کمزوری کا پتہ لگایا، اور یہاں تک کہ ایک PoC بھی لکھا۔ جب ابتدائی کوڈ ناکام ہو گیا، تو اے آئی ماڈل نے ڈیبگ کیا اور اسے درست کیا، جس سے اس کی سیکھنے اور موافقت کرنے کی صلاحیت ظاہر ہوئی۔
کمزوری کی تحقیق میں اے آئی کا بڑھتا ہوا کردار
اے آئی نے کمزوریوں کی نشاندہی کرنے اور استحصال تیار کرنے دونوں میں اپنی قدر ثابت کی ہے۔ گوگل کا OSS-Fuzz پروجیکٹ سکیورٹی ہولز کو دریافت کرنے کے لیے بڑے لسانی ماڈلز (LLMs) استعمال کرتا ہے، جبکہ الینوائے Urbana-Champaign یونیورسٹی کے محققین نے CVEs کا تجزیہ کرکے کمزوریوں سے فائدہ اٹھانے کے لیے GPT-4 کی صلاحیت کا مظاہرہ کیا ہے۔
جس رفتار سے اے آئی اب استحصال پیدا کر سکتا ہے اس سے اس نئی حقیقت کے مطابق ڈھالنے کے لیے محافظوں کی فوری ضرورت پر زور دیا جاتا ہے۔ حملے کی پیداوار پائپ لائن کی آٹومیشن محافظوں کو ردعمل ظاہر کرنے اور ضروری حفاظتی اقدامات نافذ کرنے کے لیے کم سے کم وقت دیتی ہے۔
اے آئی کے ساتھ استحصال تخلیق کے عمل کو ختم کرنا
کیلی کے تجربے میں GPT-4 کو ایک Python اسکرپٹ تیار کرنے کی ہدایت کرنا شامل تھا جس نے Erlang/OPT SSH سرور میں کمزور اور پیچ شدہ کوڈ حصوں کا موازنہ کیا۔ یہ عمل، جسے “ڈِفنگ” کے نام سے جانا جاتا ہے، نے اے آئی کو کمزوری کو دور کرنے کے لیے کی گئی مخصوص تبدیلیوں کی نشاندہی کرنے کی اجازت دی۔
کیلی نے اس بات پر زور دیا کہ ایک ورکنگ PoC بنانے کے لیے کوڈ ڈِفس GPT-4 کے لیے بہت اہم تھے۔ ان کے بغیر، اے آئی ماڈل ایک موثر استحصال تیار کرنے کے لیے جدوجہد کر رہا تھا۔ ابتدائی طور پر، GPT-4 نے SSH سرور کی جانچ کرنے کے لیے ایک فزر لکھنے کی کوشش کی، جس سے مختلف حملہ آور ویکٹرز کو تلاش کرنے کی اس کی صلاحیت ظاہر ہوتی ہے۔
اگرچہ فزنگ نے مخصوص کمزوری کا پتہ نہیں لگایا ہوگا، GPT-4 نے ایک لیب ماحول بنانے کے لیے ضروری بلڈنگ بلاکس کامیابی سے فراہم کیے، بشمول Dockerfiles، کمزور ورژن پر Erlang SSH سرور سیٹ اپ، اور فزنگ کمانڈز۔ یہ صلاحیت حملہ آوروں کے لیے سیکھنے کے منحنی خطوط کو نمایاں طور پر کم کرتی ہے، جس سے وہ کمزوریوں کو جلدی سے سمجھنے اور ان سے فائدہ اٹھانے کے قابل ہوتے ہیں۔
کوڈ ڈِفس سے لیس، اے آئی ماڈل نے تبدیلیوں کی ایک فہرست تیار کی، جس سے کیلی کو کمزوری کی وجہ کے بارے میں پوچھنے پر اکسایا۔
اے آئی ماڈل نے غیر مستند پیغامات کے خلاف تحفظ متعارف کرانے والی منطق میں تبدیلی کی تفصیل سے وضاحت کرتے ہوئے کمزوری کے پیچھے استدلال کی درست وضاحت کی۔ سمجھ کی یہ سطح اے آئی کی نہ صرف کمزوریوں کی نشاندہی کرنے بلکہ ان کی بنیادی وجوہات کو سمجھنے کی صلاحیت کو اجاگر کرتی ہے۔
اس وضاحت کے بعد، اے آئی ماڈل نے مکمل PoC کلائنٹ، ایک Metasploit طرز کا ڈیمو، یا ٹریسنگ کے لیے ایک پیچ شدہ SSH سرور تیار کرنے کی پیشکش کی، جس سے کمزوری کی تحقیق میں اس کی استعداد اور ممکنہ ایپلی کیشنز کا مظاہرہ ہوتا ہے۔
چیلنجز پر قابو پانا: ڈیبگنگ اور تطہیر
اپنی متاثر کن صلاحیتوں کے باوجود، GPT-4 کا ابتدائی PoC کوڈ درست طریقے سے کام نہیں کرتا تھا، جو اے آئی سے تیار کردہ کوڈ کے ساتھ ایک عام واقعہ ہے جو سادہ اسنیپٹس سے آگے بڑھتا ہے۔
اس مسئلے کو حل کرنے کے لیے، کیلی نے ایک اور اے آئی ٹول، اینتھروپک کے Claude Sonnet 3.7 کے ساتھ کرسر کا رخ کیا، اور اسے غیر کام کرنے والے PoC کو ٹھیک کرنے کا کام سونپا۔ اسے حیرت ہوئی کہ اے آئی ماڈل نے کامیابی سے کوڈ کو درست کیا، اے آئی کی اپنی پیداوار کو بہتر بنانے اور بہتر بنانے کی صلاحیت کا مظاہرہ کیا۔
کیلی نے اپنے تجربے پر غور کرتے ہوئے کہا کہ اس نے اس کی ابتدائی تجسس کو اس بات کی گہری تحقیق میں تبدیل کر دیا کہ کس طرح اے آئی کمزوری کی تحقیق میں انقلاب برپا کر رہا ہے۔ اس نے اس بات پر زور دیا کہ جس کام کے لیے کبھی Erlang کے خصوصی علم اور وسیع دستی ڈیبگنگ کی ضرورت ہوتی تھی اب وہ صحیح اشارے کے ساتھ ایک سہ پہر میں مکمل کیا جا سکتا ہے۔
خطرے کے پھیلاؤ کے لیے مضمرات
کیلی نے خطرات کے پھیلنے کی رفتار میں نمایاں اضافے کو اجاگر کیا، جو استحصال کے عمل کو تیز کرنے کے لیے اے آئی کی صلاحیت سے چلتا ہے۔
کمزوریاں نہ صرف زیادہ کثرت سے شائع کی جا رہی ہیں بلکہ ان کے منظر عام پر آنے کے چند گھنٹوں کے اندر ہی ان کا استحصال بھی بہت تیزی سے کیا جا رہا ہے۔ استحصال کی یہ تیز رفتار ٹائم لائن محافظوں کو ردعمل ظاہر کرنے اور ضروری حفاظتی اقدامات نافذ کرنے کے لیے کم وقت دیتی ہے۔
اس تبدیلی کی خصوصیت خطرے کے اداکاروں کے درمیان بڑھتی ہوئی ہم آہنگی بھی ہے، ایک ہی کمزوریوں کو مختلف پلیٹ فارمز، خطوں اور صنعتوں میں بہت کم وقت میں استعمال کیا جا رہا ہے۔
کیلی کے مطابق، خطرے کے اداکاروں کے درمیان ہم آہنگی کی سطح میں ہفتوں لگتے تھے لیکن اب یہ ایک ہی دن میں ہو سکتا ہے۔ ڈیٹا شائع شدہ CVEs میں خاطر خواہ اضافے کی نشاندہی کرتا ہے، جو خطرے کے منظر نامے کی بڑھتی ہوئی پیچیدگی اور رفتار کی عکاسی کرتا ہے۔ محافظوں کے لیے، اس کا مطلب ہے ردعمل کی چھوٹی کھڑکیاں اور آٹومیشن، لچک اور مسلسل تیاری کی زیادہ ضرورت۔
اے آئی سے تیز رفتار خطرات سے بچاؤ
انٹرپرائزز سے متعلق مضمرات کے بارے میں پوچھے جانے پر اپنے انفراسٹرکچر کا دفاع کرنے کے خواہاں، کیلی نے اس بات پر زور دیا کہ بنیادی اصول وہی رہتا ہے: اہم کمزوریوں کو جلدی اور محفوظ طریقے سے پیچ کیا جانا چاہیے۔ اس کے لیے ایک جدید DevOps اپروچ کی ضرورت ہے جو سکیورٹی کو ترجیح دیتی ہے۔
اے آئی کے ذریعہ متعارف کرائی گئی کلیدی تبدیلی وہ رفتار ہے جس پر حملہ آور کمزوری کے انکشاف سے ایک کام کرنے والے استحصال میں منتقل ہو سکتے ہیں۔ جوابی ٹائم لائن سکڑ رہی ہے، جس کے لیے انٹرپرائزز کو ہر CVE ریلیز کو ایک ممکنہ فوری خطرہ سمجھنے کی ضرورت ہے۔ تنظیمیں اب ردعمل ظاہر کرنے کے لیے دنوں یا ہفتوں کا انتظار نہیں کر سکتیں؛ انہیں تفصیلات منظر عام پر آنے کے لمحے ردعمل دینے کے لیے تیار رہنا چاہیے۔
نئے سائبر سکیورٹی لینڈ سکیپٹ سے مطابقت رکھنا
اے آئی سے تیز رفتار خطرات کے خلاف مؤثر طریقے سے دفاع کرنے کے لیے، تنظیموں کو ایک فعال اور موافقت پذیر سکیورٹی کرنسی کو اپنانا چاہیے۔ اس میں شامل ہیں:
- کمزوری کے انتظام کو ترجیح دینا: ایک مضبوط کمزوری کے انتظام کا پروگرام نافذ کریں جس میں کمزوریوں کی باقاعدگی سے اسکیننگ، ترجیح اور پیچنگ شامل ہو۔
- سکیورٹی کے عمل کو خودکار بنانا: سکیورٹی کے عمل کو ہموار کرنے کے لیے آٹومیشن کا فائدہ اٹھائیں، جیسے کمزوری کی اسکیننگ، واقعے کا ردعمل، اور خطرے کی انٹیلیجنس تجزیہ۔
- خطرے کی انٹیلیجنس میں سرمایہ کاری کرنا: خطرے کی انٹیلیجنس فیڈز میں سرمایہ کاری کرکے اور معلومات کے اشتراک کرنے والی کمیونٹیز میں حصہ لے کر تازہ ترین خطرات اور کمزوریوں کے بارے میں باخبر رہیں۔
- سکیورٹی کے بارے میں آگاہی کی تربیت کو بڑھانا: ملازمین کو فشنگ، مالویئر اور دیگر سائبر خطرات کے خطرات کے بارے میں تعلیم دیں۔
- زیرو ٹرسٹ آرکیٹیکچر کو نافذ کرنا: ایک زیرو ٹرسٹ سکیورٹی ماڈل کو اپنائیں جو یہ فرض کرتا ہے کہ کسی بھی صارف یا آلے پر ڈیفالٹ طور پر بھروسہ نہیں کیا جاتا ہے۔
- دفاع کے لیے اے آئی کا فائدہ اٹھانا: ریئل ٹائم میں خطرات کا پتہ لگانے اور ان کا جواب دینے کے لیے اے آئی سے چلنے والے سکیورٹی ٹولز کے استعمال کو دریافت کریں۔
- مسلسل نگرانی اور بہتری: سکیورٹی کنٹرولز اور عمل کی مسلسل نگرانی کریں، اور تیار ہوتے خطرات سے آگے رہنے کے لیے ضروری ایڈجسٹمنٹ کریں۔
- واقعے کے ردعمل کی منصوبہ بندی: سکیورٹی کے واقعات پر فوری اور موثر ردعمل کو یقینی بنانے کے لیے واقعے کے ردعمل کے منصوبے تیار کریں اور ان کا باقاعدگی سے تجربہ کریں۔
- تعاون اور معلومات کا اشتراک: اجتماعی سکیورٹی کو بہتر بنانے کے لیے دیگر تنظیموں اور صنعتی گروہوں کے ساتھ تعاون اور معلومات کے اشتراک کو فروغ دیں۔
- فعال خطرے کا شکار ہونا: نقصان پہنچانے سے پہلے ممکنہ خطرات کی نشاندہی اور ان کو کم کرنے کے لیے فعال خطرے کا شکار ہونا۔
- DevSecOps کو اپنانا: سافٹ ویئر کی ترقی کے لائف سائیکل میں سکیورٹی کو ضم کریں تاکہ ابتدائی طور پر کمزوریوں کی نشاندہی اور ان کو دور کیا جا سکے۔
- باقاعدہ سکیورٹی آڈٹ اور دخول ٹیسٹنگ: نظاموں اور ایپلی کیشنز میں کمزوریوں کی نشاندہی کرنے کے لیے باقاعدہ سکیورٹی آڈٹ اور دخول ٹیسٹنگ کروائیں۔
اے آئی کے دور میں سائبر سکیورٹی کا مستقبل
سائبر سکیورٹی میں اے آئی کا عروج مواقع اور چیلنجز دونوں پیش کرتا ہے۔ اگرچہ اے آئی کو حملوں کو تیز کرنے کے لیے استعمال کیا جا سکتا ہے، لیکن اسے دفاع کو بڑھانے کے لیے بھی استعمال کیا جا سکتا ہے۔ وہ تنظیمیں جو اے آئی کو اپناتی ہیں اور اپنی سکیورٹی کی حکمت عملیوں کو ڈھالتی ہیں وہ تیار ہوتے خطرے کے منظر نامے سے خود کو بچانے کے لیے بہترین مقام پر ہوں گی۔
جیسے جیسے اے آئی کا ارتقاء جاری ہے، سائبر سکیورٹی پیشہ ور افراد کے لیے یہ ضروری ہے کہ وہ تازہ ترین پیش رفت سے باخبر رہیں اور اس کے مطابق اپنی مہارتوں اور حکمت عملیوں کو ڈھالیں۔ سائبر سکیورٹی کا مستقبل اے آئی سے چلنے والے حملہ آوروں اور اے آئی سے چلنے والے محافظوں کے درمیان جاری جنگ سے متعین کیا جائے گا۔