anthropic हाल ही में माइथोस लॉन्च किया गया है, जो साइबर सुरक्षा कार्य के लिए डिज़ाइन किया गया एक विशेष एआई मॉडल है, और यह पहले से ही उसी निर्यात नियंत्रण बहस में फंस गया है जिसने उद्योग को तीन दशकों से परेशान कर रखा है। कुछ न्यायक्षेत्रों के बाहर मॉडल की उपलब्धता को प्रतिबंधित करने का कंपनी का निर्णय 1990 के दशक के असफल एन्क्रिप्शन युद्धों और स्पाइवेयर टूल्स को शामिल करने के लिए चल रहे संघर्ष को प्रतिबिंबित करता है। सुरक्षा विशेषज्ञ सवाल कर रहे हैं कि क्या एआई-संचालित सुरक्षा उपकरणों तक पहुंच सीमित करने से किसी की सुरक्षा होगी या बस विरोधियों को अपना विकल्प बनाने के लिए प्रेरित किया जाएगा।
anthropic यह शर्त लगाई जा रही है कि निर्यात नियंत्रण में इसकी नवीनतम रचना, मिथोस, एक बड़ा भाषा मॉडल शामिल हो सकता है जो विशेष रूप से कमजोरियों की पहचान करने, मैलवेयर का विश्लेषण करने और सुरक्षा पेशेवरों की सहायता करने के लिए प्रशिक्षित है। लेकिन अगर इतिहास कोई मार्गदर्शक है, तो वह दांव विफल होने की संभावना है।
सैन फ्रांसिस्को स्थित एआई कंपनी ने इस सप्ताह घोषणा की कि वह मॉडल के राज्य-प्रायोजित हैकिंग समूहों या साइबर आपराधिक संगठनों के हाथों में पड़ने की चिंताओं का हवाला देते हुए सहयोगी देशों में उपयोगकर्ताओं तक मिथोस की पहुंच को प्रतिबंधित कर देगी। यह एक परिचित कहावत है जो 1991 की याद दिलाती है, जब फिल ज़िम्मरमैन ने प्रिटी गुड प्राइवेसी (पीजीपी) एन्क्रिप्शन सॉफ्टवेयर जारी किया था और खुद को हथियार निर्यात कानूनों के उल्लंघन के लिए आपराधिक जांच के तहत पाया था।
उस समय, अमेरिकी सरकार ने मजबूत एन्क्रिप्शन को युद्ध सामग्री के रूप में वर्गीकृत किया था, जो मिसाइलों और टैंकों के समान नियंत्रण के अधीन था। परिणाम रोकथाम नहीं बल्कि अराजकता थी। ज़िम्मरमैन का कोड वैसे भी विश्व स्तर पर फैल गया – कार्यकर्ताओं ने फर्स्ट अमेंडमेंट अधिकारों द्वारा संरक्षित पुस्तकों में स्रोत कोड मुद्रित किया, और विदेशी डेवलपर्स ने अपने स्वयं के कार्यान्वयन का निर्माण किया। 2000 में जब क्लिंटन प्रशासन ने प्रतिबंधों में ढील दी, तब तक नुकसान हो चुका था। अमेरिकी कंपनियों ने अंतरराष्ट्रीय प्रतिस्पर्धियों के हाथों बाजार हिस्सेदारी खो दी थी, जबकि एन्क्रिप्शन का उपयोग करने का दृढ़ निश्चय करने वाले किसी भी व्यक्ति के पास यह पहले से ही था।
लुटा सिक्योरिटी के संस्थापक और माइक्रोसॉफ्ट की सुरक्षा प्रतिक्रिया टीम के अनुभवी केटी मौसोरिस कहते हैं, “हमने यह फिल्म पहले देखी है, और यह हमेशा उसी तरह समाप्त होती है।” “आप सॉफ़्टवेयर के साथ जिन्न को वापस बोतल में नहीं डाल सकते हैं, और आप निश्चित रूप से एआई मॉडल के साथ ऐसा नहीं कर सकते हैं, जिसे दोहराने के लिए दर्जनों अनुसंधान प्रयोगशालाएँ दौड़ रही हैं।”
आक्रामक सुरक्षा उपकरणों के साथ यही पैटर्न दोहराया गया। जब सरकारों ने पैठ परीक्षण ढांचे के निर्यात को नियंत्रित करने और विकास किटों का फायदा उठाने की कोशिश की, तो शोधकर्ताओं ने तकनीकों को अकादमिक पत्रों में प्रकाशित किया और उन्हें ओपन-सोर्स परियोजनाओं के रूप में फिर से बनाया। मेटास्प्लोइटजो अब सबसे व्यापक रूप से उपयोग किए जाने वाले सुरक्षा परीक्षण ढांचे में से एक है, विशेष रूप से उन क्षमताओं को लोकतांत्रिक बनाने के लिए एक ओपन-सोर्स प्रोजेक्ट के रूप में शुरू किया गया था जो पहले प्रतिबंधित थे।
यहां तक कि वासेनार व्यवस्था के तहत आक्रामक निर्यात नियंत्रण के बावजूद, वाणिज्यिक स्पाइवेयर का बेतहाशा प्रसार हुआ। इजरायली निर्यात लाइसेंसिंग आवश्यकताओं के बावजूद, एनएसओ समूह का पेगासस स्पाइवेयर सऊदी अरब से हंगरी तक सत्तावादी शासन के हाथों में पहुंच गया। सिटीजन लैब शोधकर्ताओं ने 45 से अधिक देशों में पेगासस संक्रमण का दस्तावेजीकरण किया है, उनमें से कई प्रतिबंधित सूची में हैं।
एन्थ्रोपिकस का मिथोस और भी कठिन चुनौती प्रस्तुत करता है। संकलित सॉफ़्टवेयर या भौतिक उपकरणों के विपरीत, AI मॉडल अनिवार्य रूप से गणितीय भार और आर्किटेक्चर हैं। साइबर सुरक्षा-केंद्रित मॉडल बनाने का तरीका बताने वाले शोध पत्र पहले से ही सार्वजनिक हैं। कई अकादमिक टीमों ने भेद्यता खोज, मैलवेयर विश्लेषण और शोषण पीढ़ी के लिए बड़े भाषा मॉडल का उपयोग करने पर काम प्रकाशित किया है।
इंस्टीट्यूट फॉर सिक्योरिटी एंड टेक्नोलॉजी के मुख्य रणनीति अधिकारी डॉ. मेगन स्टिफ़ेल के अनुसार, “मौलिक शोध वहाँ मौजूद है।” “एक कंपनी के कार्यान्वयन तक पहुंच को प्रतिबंधित करना चीन, रूस या उत्तर कोरिया को सार्वजनिक रूप से उपलब्ध सुरक्षा डेटासेट पर अपने स्वयं के मॉडल को प्रशिक्षित करने से नहीं रोकता है।”
एन्थ्रोपिकस ने वाणिज्य विभाग के उद्योग और सुरक्षा ब्यूरो के साथ चल रही चर्चा का हवाला देते हुए, इस बारे में विशिष्ट विवरण देने से इनकार कर दिया कि किन देशों को मिथोस तक पहुंचने से प्रतिबंधित किया जाएगा। कंपनी ने पुष्टि की कि मॉडल को भेद्यता डेटाबेस, मैलवेयर नमूने और सुरक्षा शोध पत्रों के विशाल संग्रह पर प्रशिक्षित किया गया था – जिनमें से अधिकांश राष्ट्रीय भेद्यता डेटाबेस और अकादमिक रिपॉजिटरी जैसे स्रोतों के माध्यम से पहले से ही सार्वजनिक रूप से पहुंच योग्य है।
व्यापक एआई हथियारों की होड़ को देखते हुए समय विशेष रूप से अजीब है। ओपनएआई, गूगलऔर माइक्रोसॉफ्ट सभी ने कोड में सुरक्षा कमजोरियों का पता लगाने में सक्षम एआई सिस्टम का प्रदर्शन किया है। गूगल का प्रोजेक्ट ज़ीरो टीम ने मानव शोधकर्ताओं की तुलना में शून्य-दिन के कारनामों को तेजी से खोजने के लिए मशीन लर्निंग का उपयोग किया है। जब प्रतिस्पर्धी समान उपकरण विकसित कर रहे हों तो माइथोस को प्रतिबंधित करना, प्रतिकूल क्षमताओं को सार्थक रूप से धीमा किए बिना प्रतिस्पर्धात्मक नुकसान पैदा करता है।
सवाल यह भी है कि ये प्रतिबंध वास्तव में किसकी रक्षा करते हैं। उभरते बाजारों में विश्वविद्यालयों, स्टार्टअप और संगठनों की सुरक्षा टीमों में अक्सर प्रमुख तकनीकी कंपनियों के संसाधनों की कमी होती है। यह मानते हुए कि विरोधी समकक्ष क्षमताएं विकसित नहीं करेंगे, उन्हें अत्याधुनिक रक्षात्मक उपकरणों तक पहुंच से वंचित करना तर्क की तुलना में मिसाल पर आधारित नीति जैसा लगता है।
कुछ साइबर सुरक्षा दिग्गज आगे बढ़ने का एक अलग रास्ता देखते हैं। प्रौद्योगिकी को ही सीमित करने के बजाय, वे व्यवहार और परिणामों पर ध्यान केंद्रित करने का तर्क देते हैं। आख़िरकार, भेद्यता स्कैनर महज़ एक उपकरण है—महत्वपूर्ण यह है कि इसका उपयोग सिस्टम को पैच करने या उनका शोषण करने के लिए किया जाता है।
पूर्व मुख्य सुरक्षा अधिकारी एलेक्स स्टैमोस का तर्क है, “हमें इस बात पर नज़र रखनी चाहिए कि इन उपकरणों का उपयोग कैसे किया जाता है, न कि उनके अस्तित्व को रोकने की कोशिश की जानी चाहिए।” फेसबुक और अब स्टैनफोर्ड इंटरनेट वेधशाला के निदेशक। “इसका मतलब है बेहतर एट्रिब्यूशन क्षमताएं, आक्रामक साइबर संचालन के खिलाफ मजबूत अंतरराष्ट्रीय मानदंड और दुरुपयोग के परिणाम।”
एन्क्रिप्शन युद्ध इसलिए समाप्त नहीं हुए क्योंकि निर्यात नियंत्रण काम कर गया बल्कि इसलिए क्योंकि वे तकनीकी रूप से अप्रासंगिक हो गए। एन्क्रिप्शन गणित को सीमाओं की परवाह नहीं है, और न ही AI को। साइबर सुरक्षा उपकरणों को प्रतिबंधित करने के हर प्रयास में एक ही बात सामने आई है: प्रारंभिक आशावाद, क्रमिक प्रसार, अंततः यह स्वीकारोक्ति कि प्रौद्योगिकी नियंत्रण से परे फैल गई है।
माइथोस पर एंथ्रोपिकस के निर्यात प्रतिबंध नियामक आवश्यकताओं को पूरा कर सकते हैं और अनुपालन उद्देश्यों के लिए एक पेपर ट्रेल बना सकते हैं। लेकिन ऐतिहासिक रिकॉर्ड से पता चलता है कि वे विरोधियों द्वारा एआई-संचालित साइबर सुरक्षा क्षमताओं के विकास को सार्थक रूप से धीमा नहीं करेंगे। शोध सार्वजनिक है, डेटासेट उपलब्ध हैं, और प्रतिस्पर्धी मॉडलों को प्रशिक्षित करने के लिए आवश्यक कम्प्यूटेशनल संसाधन तेजी से सुलभ हैं।
इस बार जो अलग है वह है गति। जहां पीजीपी को भूमिगत नेटवर्क और शैक्षणिक चैनलों के माध्यम से विश्व स्तर पर फैलने में वर्षों लग गए, वहीं एआई मॉडल को महीनों में दोहराया और तैनात किया जा सकता है। प्रवेश की बाधाएं कम हैं, अनुसंधान समुदाय अधिक वितरित है, और आक्रामक क्षमताओं को विकसित करने के लिए आर्थिक प्रोत्साहन कभी भी इतना अधिक नहीं रहा है।
एन्थ्रोपिस्क खुद को एक असंभव स्थिति में पाता है – अगर यह बिना किसी प्रतिबंध के शक्तिशाली सुरक्षा उपकरण जारी करता है, तो शापित है, अगर यह उन नियंत्रणों को लागू करता है जो इतिहास बताता है कि काम नहीं करेगा। कंपनी ने लगातार खुद को जिम्मेदार एआई डेवलपर के रूप में स्थापित किया है और बाजार में गति के बजाय सुरक्षा को प्राथमिकता दी है। लेकिन एआई युग में जिम्मेदारी के लिए यह स्वीकार करने की आवश्यकता हो सकती है कि कुछ क्षमताओं को नियंत्रित नहीं किया जा सकता है, केवल मानदंडों, पारदर्शिता और सामूहिक कार्रवाई के माध्यम से प्रबंधित किया जा सकता है।
मिथोस निर्यात नियंत्रण बहस वास्तव में इस बारे में नहीं है कि क्या एआई को शामिल किया जा सकता है – इतिहास ने पहले ही उस प्रश्न का उत्तर जोरदार ‘नहीं’ में दे दिया है। यह इस बारे में है कि क्या एआई उद्योग तीन दशकों की विफल साइबर नीति से सीखेगा या मशीन की गति से वही गलतियाँ दोहराएगा। दुनिया भर में सुरक्षा टीमों के लिए, चिंता यह नहीं है कि क्या विरोधियों को ये क्षमताएं मिलेंगी, बल्कि यह है कि क्या वैध रक्षकों को वास्तविकता के साथ नीति पकड़ने की प्रतीक्षा करते समय अक्षम कर दिया जाएगा। उपकरण बिना किसी परवाह के फैलेंगे। एकमात्र सवाल यह है कि क्या हम अगले बड़े उल्लंघन से पहले या बाद में अंतरराष्ट्रीय मानदंड और जवाबदेही ढांचे का निर्माण करेंगे, यह साबित करता है कि निर्यात नियंत्रण हमेशा सुरक्षा थिएटर थे।
