Anthropic का Claude Mythos, DeFi सुरक्षा पर फिर से ध्यान
एक मिथोस-क्लास मॉडल जिसे व्यापक उपयोग के लिए बनाया गया था, क्लॉड फेबल 5, बाद में एक अमेरिकी सरकारी निर्देश के बाद निलंबित कर दिया गया।
Anthropic के Claude Mythos-क्लास साइबरसिक्योरिटी मॉडल AI के DeFi शोषणों को तेज करने या रक्षा मानकों को बढ़ाने पर बहस को फिर से जीवित कर रहे हैं। अधिक व्यापार योग्य निहितार्थ यह है कि कमजोरियों की खोज और पैच तैनाती के बीच की दौड़ अधिक तंग हो रही है, न कि एक साफ 'AI DeFi को कमजोर करता है' कथा।
मुख्य निष्कर्ष
- Claude Mythos को साइबरसिक्योरिटी के लिए Anthropic का सबसे उन्नत AI सिस्टम के रूप में स्थापित किया गया है, जो सामान्य सहायक कार्यों के बजाय जटिल सुरक्षा कार्यों के लिए बनाया गया है।
- एक Mythos-क्लास मॉडल जिसे व्यापक उपयोग के लिए डिज़ाइन किया गया था, Claude Fable 5, बाद में एक अमेरिकी सरकारी निर्देश के बाद पहुंच निलंबित कर दी गई।
- DeFi ने हाल के वर्षों में हैक, शोषण और प्रोटोकॉल विफलताओं के कारण अरबों डॉलर खो दिए हैं।
- AI कमजोरियों की खोज को तेज कर सकता है, लेकिन एक दोष को सफल चोरी में परिवर्तित करने के लिए आमतौर पर कोड समीक्षा से परे जटिल निष्पादन की आवश्यकता होती है।
Claude Mythos DeFi सुरक्षा चर्चा में प्रवेश करता है
Anthropic ने Claude Mythos-क्लास मॉडल पेश किए हैं जो जटिल सुरक्षा कार्यों के लिए डिज़ाइन किया गया एक साइबरसिक्योरिटी-केंद्रित AI सिस्टम है, न कि सामान्य प्रयोजन सहायता। यह स्थिति DeFi में महत्वपूर्ण है क्योंकिस्मार्ट कॉन्ट्रैक्ट्ससार्वजनिक होते हैं, अक्सर Solidity जैसी संरचित भाषाओं में लिखे जाते हैं, और सीधे धन का प्रबंधन और स्थानांतरित कर सकते हैं।
मिथोस-क्लास लाइनअप में क्लॉड फैबल 5 भी शामिल था, जिसे व्यापक उपयोग के लिए निर्धारित किया गया था। एक अमेरिकी सरकारी निर्देश के बाद पहुंच को बाद में निलंबित कर दिया गया, जिसमें समय या दायरे के विवरण प्रदान नहीं किए गए। यह प्रतिबंध अब बाजार की अनिश्चितता का हिस्सा है: उन्नत उपकरणों का प्रसार केवल मांग का कार्य नहीं है, इसे नीति द्वारा नियंत्रित किया जा सकता है।
इस विशेषता का ढांचा जानबूझकर गैर-द्विआधारी है। "उत्तर उत्साह और चिंता के बीच कहीं है," यह बताता है, यह तर्क करते हुए कि वास्तविक परिणाम एक अपराध और रक्षा हथियारों की दौड़ है न कि DeFi सुरक्षा का एकतरफा गिरावट।
क्यों तेज़ कमजोरियों की खोज खामियों की खिड़की को बदलती है
DeFi का हानि इतिहास पहले से ही हैक, शोषण और प्रोटोकॉल विफलताओं से "अरबों डॉलर" में मापा गया है, और हमले की सतह अच्छी तरह से जानी जाती है: फ्लैश-लोन हमले,क्रॉस-चेन ब्रिजशोषण, शासन हमले, और स्मार्ट कॉन्ट्रैक्ट बग। मजबूत सुरक्षा मॉडल के साथ जो बदलता है वह है कमजोर बिंदुओं को खोजने और प्राथमिकता देने की गति।
लेख का तर्क है कि AI कमजोरियों के शोध समय को संकुचित कर सकता है, यह सुझाव देते हुए कि ऐसा कार्य जो हफ्तों में हो सकता है उसे घंटों या उससे कम में कम किया जा सकता है, हालांकि यह कोई बेंचमार्क डेटा प्रदान नहीं करता। व्यापारियों और जोखिम प्रबंधकों के लिए, क्रियाशील चर शोषण-खिड़की की अवधि है। यदि खोज पैचिंग की तुलना में तेजी से होती है, तो पूंछ जोखिम उन प्रोटोकॉल में संकेंद्रित हो जाता है जिनकी रिलीज प्रक्रिया धीमी होती है, कमजोर निगरानी होती है, या नाजुक अपग्रेड पथ होते हैं।
वही संकुचन दूसरी दिशा में भी काम कर सकता है। यदि रक्षकों ने CI पाइपलाइनों और निगरानी में AI को कार्यान्वित किया, तो खोज से पैच तक की खिड़की सिकुड़ सकती है, जिससे ज्ञात समस्या के शोषण योग्य रहने का समय कम हो जाता है।
क्यों "एक बग ढूंढना" अभी भी धन चुराने के समान नहीं है
यह विशेषता कमजोरियों की पहचान और चोरी के कार्यान्वयन के बीच एक कठोर रेखा खींचती है। "एक कमजोरी ढूंढना सफल शोषण की गारंटी नहीं देता," यह बताता है, यह जोर देते हुए कि वास्तविक हमलों के लिए अक्सर प्रोटोकॉल तंत्र को समझने, कई लेनदेन का समन्वय करने, तरलता को हेरफेर करने, शासन को नेविगेट करने और पहचान से बचने की आवश्यकता होती है।
यह वर्तमान मॉडल की सीमाओं को भी उजागर करता है जो संचालन के लिए महत्वपूर्ण हैं: गलत निष्कर्ष, छूटी हुई जानकारी, और गलत सकारात्मक। दिया गया उदाहरण सरल है। एक AI उपकरण 10 संभावित कमजोरियों को चिह्नित कर सकता है, लेकिन उनमें से केवल एक वैध है। यह मानव निगरानी को केंद्रीय बनाए रखता है और "AI-सहायता प्राप्त कोड समीक्षा" को वास्तविक शोषण आवृत्ति में स्वचालित चरण-कार्य वृद्धि के रूप में मानने के खिलाफ तर्क करता है।
रक्षा को भी उपकरण मिलते हैं: निरंतर ऑडिट, एआई पाइपलाइंस, और बड़े इनाम
रक्षात्मक तर्क स्पष्ट है: "यह दावा कि AI DeFi को कमजोर करेगा, में एक प्रमुख दोष यह है कि केवल हमलावर ही इन उपकरणों से लाभान्वित होंगे।" सुरक्षा कंपनियाँ, डेवलपर्स, और बग हंटर्स इसी श्रेणी के उपकरणों का उपयोग समीक्षा करने के लिए कर सकते हैं।ऑडिटरिपोर्ट बनाना, अनुमति त्रुटियों का पता लगाना, शोषण पथों का मॉडल बनाना, और स्मार्ट कॉन्ट्रैक्ट्स के बीच इंटरैक्शन का विश्लेषण करना।
सिफारिश की गई प्लेबुक प्रक्रिया-भारी है, न कि शीर्षक-भारी: स्वचालित सुरक्षा परीक्षण का विस्तार करें, निरंतर वास्तविक समय ऑडिट चलाएं, विकास पाइपलाइनों में AI-सहायता प्राप्त कोड विश्लेषण जोड़ें, बग बाउंटी बढ़ाएं, महत्वपूर्ण कोड के लिए औपचारिक सत्यापन का उपयोग करें, और खतरे की निगरानी और घटना प्रतिक्रिया में सुधार करें। इसका अर्थ यह है कि सुरक्षा स्थिति धीरे-धीरे कार्यप्रवाह की परिपक्वता और प्रतिक्रिया तत्परता द्वारा संकेतित की जाएगी, न कि एकल समय-विशिष्ट ऑडिट द्वारा।
आगे के संकेत अब कथाओं की तुलना में अधिक महत्वपूर्ण हैं। क्लॉड फैबल 5 निलंबन के पीछे अमेरिकी सरकार के निर्देश पर फॉलो-अप विवरण पर ध्यान दें, जिसमें यह भी शामिल है कि क्या यह अन्य मिथोस-क्लास एक्सेस को प्रभावित करता है। प्रमुख प्रोटोकॉल और सुरक्षा फर्मों से घोषणाओं पर नज़र रखें जो निरंतर या वास्तविक समय के ऑडिट को उत्पादन में लाते हैं। बग बाउंटी का आकार और जिम्मेदार प्रकटीकरण की आवृत्ति एक और संकेत है, क्योंकि टीमें शोधकर्ताओं को हमलावरों के कार्रवाई करने से पहले रिपोर्ट करने के लिए प्रोत्साहित करके समय खरीद सकती हैं। एक अंतिम संकेतक यह है कि क्या प्रमुख प्रोटोकॉल महत्वपूर्ण अनुबंधों के लिए औपचारिक सत्यापन के लिए सार्वजनिक रूप से प्रतिबद्ध होना शुरू करते हैं, जो एक AI-त्वरित आधार रेखा के रूप में है।
मार्कस हेल का विचार: पैच वेलॉसिटी एक व्यापार योग्य जोखिम चर बन जाती है
मैं इसे "AI DeFi को तोड़ता है" के रूप में नहीं देखता। मैं इसे घटना के समय में बाजार संरचना के बदलाव के रूप में देखता हूँ। यदि कमजोरियों की खोज सस्ती और तेज़ हो जाती है, तो महत्वपूर्ण सीमा यह है कि क्या टीमें पैचिंग और निगरानी को इतना तेज़ औद्योगिक बना सकती हैं कि शोषण की खिड़की चौड़ी न हो।
वास्तविक परीक्षण यह है कि क्या निरंतर ऑडिट, एआई-सहायता प्राप्त विश्लेषण, और बड़े इनाम शीर्ष प्रोटोकॉल में मानक संचालन प्रक्रिया के रूप में दिखाई देते हैं, न कि एक बार की ब्लॉग पोस्ट के रूप में। यदि वह अपनाना बना रहता है जबकि मिथोस-क्लास क्षमताओं तक पहुंच नीति प्रतिबंधों के कारण असमान रहती है, तो सेटअप संरचनात्मक लगने लगता है न कि कथा-प्रेरित, और पैच गति व्यापारियों के लिए प्रोटोकॉल-विशिष्ट पूंछ जोखिम को मूल्यांकित करने में एक व्यावहारिक इनपुट बन जाती है।
