एआईले निम्त्यायो नयाँ खतरा: बिना ज्ञानका ह्याकर पनि शक्तिशाली बन्दै

काठमाडौं – आर्टिफिसियल इन्टेलिजेन्स (Artificial intelligence) दुईधारे तरवार जस्तै हो। एकातर्फ यसले मानिसहरूलाई आफ्नो काम छिटो र राम्रोसँग गर्न मद्दत गर्छ भने अर्कोतर्फ खराब नियत भएका मानिसहरूलाई स्क्यामर (scammer), ह्याक्टिभिस्ट (hacktivist) र साइबर अपराधी बन्न सजिलो बनाउँछ।

साइबर अपराधको धन्दा निकै फाइदाजनक छ। तर पहिला यो उन्नत प्राविधिक ज्ञान भएका मानिसहरूका लागि मात्र सम्भव थियो। सिस्टम (system) र सफ्टवेयर (software), नेटवर्किङ (networking), प्रोग्रामिङ (programming), क्रिप्टोग्राफी (cryptography), साइबर सुरक्षा जस्ता धेरै प्राविधिक विषयमा गहिरो ज्ञान र अनुभव भएको व्यक्तिले मात्र मालवेयर (malware) बनाउन, कमजोरीहरू पत्ता लगाउन र साइबर सुरक्षाका उपायहरूलाई छल्दै सिस्टमहरूमा आक्रमण गर्न सक्थ्यो।

तर, एआई (AI) आएपछि यो अवरोध धेरै कम भएको छ। ह्याकिङ (hacking) को अनुभव वा प्राविधिक ज्ञान नभएका मानिसहरूले पनि एआई (AI) को प्रयोग गरेर विभिन्न कम्पनी तथा संस्थाहरूमा आक्रमण गर्न सक्छन्।

धेरै ठूला भाषा मोडेलहरू (Large Language Models- LLMs) मा सुरक्षाका लागि निश्चित नियमहरू बनाइएका हुन्छन्। यसले एआई (AI) मोडेलहरूको व्यवहारलाई सुरक्षित दायरामा राख्न मद्दत गर्छ। अर्थात्, एआई गार्डरेल्स (AI guardrails) ले खराब जानकारी वा आदेशहरू चिन्न सक्छ र अपराधीहरूलाई गैरकानुनी गतिविधिहरूका लागि यसको दुरुपयोग गर्नबाट रोक्छ।

दुर्भाग्यवश, यी सुरक्षा नियमहरू पूर्ण रूपमा भरपर्दो छैनन्। क्याटो सीटीआरएल (Cato CTRL) को अनुसन्धानले देखाएको छ कि मालवेयर (malware) कोडिङ (coding) को कुनै अनुभव नभएको व्यक्तिले पनि ओपनएआई (OpenAI) को च्याटजीपीटी (ChatGPT), माइक्रोसफ्ट कोपाइलट (Microsoft Copilot) र डीपसीक (DeepSeek) जस्ता एलएलएम (LLM) हरूलाई झुक्याएर यी सुरक्षा नियमहरूलाई तोड्न र इन्फोस्टिलर (infostealer) मालवेयर (malware) बनाउने जस्ता खराब कामहरू गर्न सक्छन्।

क्याटो सीटीआरएल (Cato CTRL) ले यो नयाँ तरिकालाई “इमर्सिभ वर्ल्ड” (Immersive World) भनेको छ। यो एक प्रकारको कथा बनाउने तरिका हो जसमा प्रयोगकर्ताले एलएलएम (LLM) लाई यस्तो वातावरणको कल्पना गर्न लगाउँछ जहाँ प्रतिबन्धित कार्यहरू सामान्य हुन्छन्। उदाहरणका लागि, अनुसन्धानकर्ताहरूले एलएलएम (LLM) लाई “भेलोरा” (Velora) नामक काल्पनिक संसार बनाउन भने जहाँ मालवेयर (malware) बनाउनुलाई राम्रो मानिन्थ्यो र कुनै कानुनी रोकटोक वा परिणाम थिएन। त्यसपछि अनुसन्धानकर्ताहरूले काल्पनिक पात्रहरू बनाए र उनीहरूलाई विभिन्न काम र जिम्मेवारी दिए। लगातारको प्रतिक्रिया, सहभागिता र सुधारपछि उनीहरूले गुगल क्रोमबाट गोप्य जानकारी चोर्न सक्ने इन्फोस्टिलर (infostealer) बनाउन सफल भए।

शून्य ज्ञान भएका अपराधीहरूका लागि मालवेयर (malware) बनाउनु त सुरुवात मात्र हो। भविष्यमा अनुभव नभएका मानिसहरूले पनि सोफिस्टिकेटेड (sophisticated) सोशल इन्जिनियरिङ (social engineering) का योजनाहरू बनाउन, लक्षित वातावरणको विश्लेषण गर्न, कमजोरीहरू पत्ता लगाउन, आक्रमणका तरिकाहरू छनोट गर्न, धेरै चरणका आक्रमणहरू गर्न, लक्षित व्यक्ति वा संस्था छनोट र आक्रमणलाई स्वचालित बनाउन सक्नेछन्। एआई (AI) बोटहरूले आफ्नै कामको निगरानी गर्नेछन् र लक्षित व्यक्ति वा वातावरणबारे सिकेका कुराहरूका आधारमा आफ्ना रणनीतिहरू परिवर्तन गर्नेछन्।

संक्षेपमा भन्नुपर्दा, एआई (AI) को कारणले कम ज्ञान भएका अपराधीहरूको संख्या र उनीहरूको क्षमता धेरै बढ्ने देखिन्छ।

संस्थाहरूले कसरी सामना गर्ने?

शून्य ज्ञान भएका अपराधीहरूको उदय संस्थाहरूका लागि खतराको घण्टी हो। साइबर आक्रमणहरू झन् चलाख, राम्रो र बारम्बार हुनेछन्। यसबाट बच्नका लागि केही सुझावहरू यहाँ दिइएका छन्:

1. कर्मचारीहरूलाई जानकारी गराउने: एआई (AI) द्वारा सञ्चालित अपराधीहरूको बढ्दो खतराहरूबारे कर्मचारीहरूलाई तालिम दिने। कर्मचारीहरूलाई सतर्क र सजग बनाउन एआई (AI) आक्रमणको अभ्यास गर्ने।
2. एआई रेड टिम (AI Red Teaming) गर्ने: यदि तपाईंको संस्थाले एआई (AI) उपकरणहरू प्रयोग वा निर्माण गर्छ भने, खराब तरिकाले प्रयोग गर्न खोज्नेहरूबाट बचाउन यी प्रणालीहरूको परीक्षण गर्नुहोस्। एआई (AI) आक्रमणहरूको अनुमान गर्न र त्यस्ता अवस्थामा प्रणालीहरूको परीक्षण गर्न समय र स्रोत लगानी गर्नुहोस्।
3. समग्र सुरक्षा लागू गर्ने: टुक्राटुक्रा उपकरणहरू प्रयोग गर्नुको सट्टा एसएএসই (SASE) जस्तो पूर्ण सुरक्षा प्रणाली प्रयोग गर्नुहोस् जसले सम्पूर्ण आईटी इन्फ्रास्ट्रक्चर (IT infrastructure) (प्रयोगकर्ता, क्लाउड, उपकरण, नेटवर्क) मा खराब गतिविधिहरूको निगरानी, पहिचान र विश्लेषण गर्छ।
4. सिस्टम र सफ्टवेयरलाई नियमित रूपमा अपडेट गर्ने: तपाईंको संस्थामा प्रयोग हुने उपकरण र सफ्टवेयरहरू नवीनतम संस्करणका छन् भनी सुनिश्चित गर्नुहोस्। यदि तपाईंले कमजोरीहरूलाई ठीक गर्नुभएन भने, एआई (AI) द्वारा सञ्चालित शत्रुहरूले पक्कै पनि तिनीहरूलाई खोजेर प्रयोग गर्नेछन्।
5. आक्रमणको लागि तयारी बढाउने: पहिले नै तयार गरिएको र अभ्यास गरिएको घटना प्रतिक्रिया योजनाले क्षति कम गर्नुका साथै एआई (AI) द्वारा सञ्चालित खतराहरूको अप्रत्याशितता विरुद्ध संस्थाको क्षमतालाई बलियो बनाउँछ।
6. सुरक्षा फ्रेमवर्कहरू (Security Frameworks) अपनाउने: एमआईटीआरई एटलस (MITRE ATLAS), ओडब्ल्युएएसपी टप १० फर एलएलएम एप्लिकेसन (OWASP Top 10 for LLM Applications) र गुगलको सुरक्षित एआई फ्रेमवर्क (SAIF) जस्ता स्थापित संस्थाहरूले सिफारिस गरेका उत्तम अभ्यासहरू पालना गर्नुहोस्।

एआई (AI) द्वारा सञ्चालित शून्य ज्ञान भएका अपराधीहरूको उदय साइबर अपराधको क्षेत्रमा एक महत्वपूर्ण परिवर्तन हो। अब सोफिस्टिकेटेड (sophisticated) आक्रमणहरू केवल दक्ष आक्रमणकारीहरूमा मात्र सीमित रहने छैनन्। रेड टिम (red teaming) अभ्यास गरेर, आक्रमणका सतहहरूमा पूर्ण नियन्त्रण र गहिरो जानकारी दिने समग्र सुरक्षा प्रणाली लागू गरेर र आक्रमणको लागि तयारी बढाएर संस्थाहरूले एआई (AI) द्वारा सञ्चालित साइबर अपराधको यो नयाँ युगमा वर्तमान र भविष्यका चुनौतीहरूको लागि तयारी सुनिश्चित गर्न सक्छन्।