फ्रांस की राष्ट्रीय साइबर सुरक्षा एजेंसी ANSSI ने 4 फरवरी 2026 को एक व्यापक 12 पृष्ठों की खतरा संश्लेषण रिपोर्ट जारी की, जिसमें बताया गया है कि जनरेटिव आर्टिफिशियल इंटेलिजेंस का उपयोग साइबर अपराधियों और राज्य-प्रायोजित हैकरों द्वारा हथियार के रूप में किया जा रहा है, साथ ही यह स्वयं परिष्कृत हमलों का लक्ष्य बन रहा है। जनरेटिव AI और साइबर हमले शीर्षक वाली रिपोर्ट 2025 में देखे गए खतरों का आकलन प्रदान करती है और परिदृश्य के तेजी से विकास के साथ निरंतर सतर्कता का आह्वान करती है।
ANSSI रिपोर्ट के अनुसार, आज तक फ्रांसीसी संस्थाओं के खिलाफ आर्टिफिशियल इंटेलिजेंस का उपयोग करते हुए कोई साइबर हमला रिपोर्ट नहीं किया गया है, और किसी भी AI सिस्टम ने साइबर हमले के सभी चरणों को स्वायत्त रूप से निष्पादित करने की क्षमता प्रदर्शित नहीं की है। हालांकि, एजेंसी चेतावनी देती है कि जनरेटिव AI हमलों के स्तर, मात्रा, विविधता और प्रभावशीलता में काफी सुधार करता है, विशेष रूप से खराब सुरक्षित वातावरण के खिलाफ। ईरान, चीन, उत्तर कोरिया और रूस के राज्य-प्रायोजित खतरा अभिनेताओं की पहचान की गई है जो टोही, फ़िशिंग सामग्री निर्माण और मैलवेयर विकास के लिए Google Gemini जैसी वाणिज्यिक AI सेवाओं का उपयोग करते हैं।
रिपोर्ट AI-संचालित आक्रामक उपकरणों में कई चिंताजनक विकासों की पहचान करती है। Google ने Promptflux का पता लगाया, एक पॉलीमॉर्फिक मैलवेयर जो पहचान से बचने के लिए हर घंटे अपने सोर्स कोड को पूरी तरह से फिर से लिखने के लिए Gemini API का उपयोग करता है। न्यूयॉर्क विश्वविद्यालय के शोधकर्ताओं ने PromptLock विकसित किया, एक प्रूफ-ऑफ-कॉन्सेप्ट रैनसमवेयर जो रनटाइम पर गतिशील रूप से हमला स्क्रिप्ट उत्पन्न करता है। आपराधिक बाज़ार अब EscapeGPT और LoopGPT जैसे जेलब्रेक-ऐज़-ए-सर्विस प्लेटफॉर्म प्रदान करते हैं, जबकि WormGPT 4 जैसे अप्रतिबंधित AI मॉडल सीधे दुर्भावनापूर्ण कोड और फ़िशिंग टेम्प्लेट पर लगभग सौ डॉलर प्रति माह में प्रशिक्षित होते हैं।
ANSSI यह भी उजागर करती है कि AI सिस्टम स्वयं उच्च-मूल्य के लक्ष्य बन रहे हैं। UK AI Security Institute और Alan Turing Institute के शोध ने प्रदर्शित किया कि डेटाबेस के आकार की परवाह किए बिना किसी भी जनरेटिव AI मॉडल को दूषित करने के लिए केवल 250 विषाक्त दस्तावेज़ पर्याप्त हैं। हमलावर AI सिस्टम द्वारा भ्रमित काल्पनिक सॉफ़्टवेयर पैकेज नामों की पहचान करके और सॉफ़्टवेयर आपूर्ति श्रृंखलाओं को विषाक्त करने के लिए उन नामों के साथ वास्तविक मैलवेयर बनाकर स्लॉपस्क्वाटिंग का शोषण करते हैं। 2022 और 2023 के बीच, 100,000 से अधिक ChatGPT उपयोगकर्ता खातों को Rhadamanthys जैसे इन्फोस्टीलर के माध्यम से समझौता किया गया और आपराधिक मंचों पर बेचा गया।
एजेंसी संगठनों को LLM समाधान लागू करते समय जनरेटिव AI सिस्टम के लिए सुरक्षा अनुशंसाओं पर ANSSI गाइड से परामर्श करने की सिफारिश करती है। रिपोर्ट इस बात पर जोर देती है कि जबकि उन्नत अभिनेता प्रदर्शन लाभ और संचालन को बढ़ाने के लिए AI का उपयोग करते हैं, कम अनुभवी हमलावर इसे सीखने के उपकरण के रूप में उपयोग करते हैं। सभी मामलों में, जनरेटिव AI दुर्भावनापूर्ण अभिनेताओं को तेज़ी से और बड़े पैमाने पर संचालित करने में सक्षम बनाता है।
--- ANSSI रिपोर्ट के मुख्य बिंदु ---
हमले के उपकरण के रूप में AI: 42 समूहों (10 ईरान, 20 चीन, 9 उत्तर कोरिया, 3 रूस) के राज्य अभिनेताओं ने Google Gemini का उपयोग किया। AI का उपयोग सोशल इंजीनियरिंग, नकली प्रोफाइल, फ़िशिंग सामग्री, मैलवेयर विकास और निकाले गए डेटा के विश्लेषण के लिए किया जाता है। आपराधिक AI सेवाओं की लागत लगभग $100/माह है।
लक्ष्य के रूप में AI: केवल 250 दुर्भावनापूर्ण दस्तावेज़ किसी भी AI मॉडल को विषाक्त कर सकते हैं। 100,000 से अधिक ChatGPT खाते इन्फोस्टीलर के माध्यम से चुराए गए। Samsung कर्मचारियों ने 2023 में ChatGPT के माध्यम से गलती से सेमीकंडक्टर रहस्य लीक किए।
सिफारिशें: सख्त डेटा विभाजन लागू करें। AI-संबंधित खतरों का नियमित रूप से पुनर्मूल्यांकन करें। जनरेटिव AI परिनियोजन के लिए ANSSI सुरक्षा दिशानिर्देशों का पालन करें।
टिप्पणियाँ