বছর ধরে সাইবার নিরাপত্তা শিল্প সতর্ক করেছিল যে এআই-সহায়িত হ্যাকিং আসছে। এটি এখন এখানে। গুগলের থ্রেট ইন্টেলিজেন্স গ্রুপ (GTIG) প্রথম প্রমাণিত কেসটি নিশ্চিত করেছে যে একটি জিরো-ডে এক্সপ্লয়িটকে কৃত্রিম বুদ্ধিমত্তার সাহায্যে তৈরি করা হয়েছে, যা একটি প্রচলিত ওপেন-সোর্স ওয়েব অ্যাডমিনিস্ট্রেশন টুলের হার্ডকোডড ট্রাস্ট ফ্লাউ ব্যবহার করে দুই-ফ্যাক্টর অথেনটিকেশনকে বাইপাস করে।
২০২৬ সালের ১১ মে প্রকাশিত এই আবিষ্কারটি সুরক্ষা গবেষক এবং হুমকি সৃষ্টিকারীদের মধ্যে ক্যাট-অ্যান্ড-মাউস গেমের একটি অর্থপূর্ণ উত্থান প্রতিনিধিত্ব করে। এবং যারা ক্রিপ্টোতে 2FA-কে একটি সুরক্ষা আবরণ হিসেবে ব্যবহার করেন, তাদের জন্য এটি একটি সতর্কবার্তা, যা মনোযোগ দিয়ে শোনা উচিত।
জিটিআইজি কী পেয়েছে, এবং এটি কেন ভিন্ন
এই দুর্বলতা একটি পাইথন স্ক্রিপ্ট যা একটি অনির্দিষ্ট কিন্তু প্রচুর পরিমাণে ব্যবহৃত ওপেন-সোর্স ওয়েব অ্যাডমিন টুলের লজিক দুর্বলতাকে লক্ষ্য করে 2FA সুরক্ষা পারিতোষিক করার জন্য ডিজাইন করা হয়েছে। ইংরেজিতে: টুলটির নির্দিষ্ট অথেনটিকেশন অনুরোধগুলির প্রতি বিশ্বাস করার পদ্ধতিতে একটি দুর্বলতা ছিল, এবং স্ক্রিপ্টটি ঠিক সেই দুর্বলতাকে দুর্বৃত্তভাবে ব্যবহার করার জন্য তৈরি করা হয়েছিল।
এই কেসকে অনন্য করে তোলে শুধু এক্সপ্লয়িটটাই নয়, বরং এর পিছনে রেখে যাওয়া স্বাক্ষরগুলি।
GTIG গবেষকদের স্ক্রিপ্টের মধ্যে কয়েকটি এআই-উত্পাদিত কোডের চিহ্ন শনাক্ত করেছে। পরিষ্কার ANSI রং ক্লাসগুলি, সংগঠিত শিক্ষামূলক প্রম্পট, একটি প্রতারণামূলক CVSS স্কোর (শিল্প-মানক গুরুত্ব রেটিং), এবং বিস্তারিত সহায়তা মেনুগুলি সবই উপস্থিত ছিল। এগুলি হাতে লেখা এক্সপ্লয়িটগুলিতে প্রায় কখনই দেখা যায় না।
এটাকে এমন একটি চুরির টুল কিট হিসেবে ভাবুন যেখানে প্রতিটি টুলের উপর নির্দেশনা এবং ফাংশন অনুযায়ী রঙের কোডিং করা আছে। মানুষের হ্যাকাররা সাধারণত এই ধরনের পোলিশের সাথে ব্যস্ত হয় না। অন্যদিকে, বড় ভাষা মডেলগুলি সহায়ক এবং সংগঠিত হওয়ার জন্য প্রশিক্ষিত, যদিও আউটপুটটি ক্ষতিকারক হয়।
GTIG-এর বিশ্লেষণে দেখা গেছে যে কোডের কাঠামো বড় ভাষা মডেলগুলির প্রশিক্ষণ ডেটা প্যাটার্নের সাথে ঘনিষ্ঠভাবে মিলে যায়। গোষ্ঠীটি গুগলের নিজস্ব Gemini মডেলকে সম্পৃক্ততা থেকে বাদ দিতে সক্ষম হয়েছে, যার অর্থ হল হুমকি দাতারা ভেদ্যতা আবিষ্কার এবং কার্যকরী এক্সপ্লয়িট প্রস্তুত করতে একটি ভিন্ন AI সিস্টেম ব্যবহার করেছে।
গুগলের হস্তক্ষেপ একটি বৃহৎ দুর্নীতি অভিযানকে বন্ধ করে দেয়
এটা শুধু একটি শিক্ষামূলক অনুশীলন বা কোনো অন্ধকার ওয়েব ফোরামে সঞ্চিত প্রুফ-অফ-কনসেপ্ট ছিল না। GTIG নির্ধারণ করেছে যে হুমকির কর্মীদের ব্যাপক দুর্বলতা উপযোগের পরিকল্পনা ছিল, অর্থাৎ তারা দুর্বল টুল চালানো সিস্টেমগুলির বিরুদ্ধে স্কেলের উপর দুর্বলতা ব্যবহার করার ইচ্ছা রাখত।
গুগল এই অভিযান চালু হওয়ার আগে সরাসরি ভেন্ডরের সাথে কাজ করে একটি প্যাচ বাস্তবায়ন করে। সময়সূচীটি বোঝায় যে GTIG এই ঘটনার ব্যবহারের চক্রের তুলনামূলকভাবে শীঘ্রই এটি ধরে ফেলেছিল, যা এই ধরনের একটি ঘটনার জন্য সেরা পরিস্থিতি।
কিন্তু এটি এতটাই এগিয়ে গেল যে, একটি এআই মডেল শুধু একটি স্ক্রিপ্ট লেখার জন্য নয়, বরং আগে অজানা একটি দুর্বলতা শনাক্ত করেছে এবং তারপর 2FA-এর চারপাশে একটি কার্যকরী বাইপাস তৈরি করেছে, যা আক্রমণাত্মক সাইবার নিরাপত্তার একটি নতুন অধ্যায়ের শুরু করেছে। উন্নত দুর্বলতা বিকাশের জন্য প্রবেশের বাধা এখন উল্লেখযোগ্যভাবে কমে গেছে।
আগে, একটি জিরো-ডে তৈরি করতে রিভার্স ইঞ্জিনিয়ারিং, ভালনারেবিলিটি গবেষণা এবং এক্সপ্লয়িট ডেভেলপমেন্টে গভীর দক্ষতা প্রয়োজন হত। এগুলি হল সেই দক্ষতা যা বিকাশ করতে বছর লাগে। একটি এআই মডেল এই প্রক্রিয়ার অনেকটাই ঘণ্টার মধ্যে সংকুচিত করে দিতে পারে, যা সম্ভাব্য আক্রমণকারীদের জন্য দক্ষতার নীচের সীমা কমিয়ে দেয় এবং অভিজ্ঞ হ্যাকারদের কাছে কী অর্জন করা যায় তার উপরের সীমা বাড়িয়ে দেয়।
কেন ক্রিপ্টোকে মনোযোগ দেওয়া উচিত
এই নির্দিষ্ট দুর্বলতার সাথে কোনো নির্দিষ্ট ক্রিপ্টোকারেন্সি প্ল্যাটফর্ম লিঙ্ক করা হয়নি। তবে ক্রিপ্টো শিল্পের জন্য এর প্রভাব উপেক্ষা করা যায় না।
দুই-ফ্যাক্টর অথেন্টিকেশন প্রায় প্রতিটি প্রধান ক্রিপ্টোকারেন্সি এক্সচেঞ্জ, ওয়ালেট প্রদানকারী এবং DeFi প্ল্যাটফর্মের একটি মৌলিক নিরাপত্তা স্তর। এই সেবাগুলির অনেকগুলি ওপেন-সোর্স ওয়েব প্রশাসনিক টুলসের উপর চলে বা এগুলির সাথে একীভূত হয়, যেটি ঠিক এই ক্যাটাগরির সফটওয়্যার।
এই দুর্বলতার কেন্দ্রে হার্ডকোডেড বিশ্বাসের ত্রুটি হল এমন একটি দুর্বলতা যা সদৃশ সফটওয়্যারের বিভিন্ন বাস্তবায়নে বিদ্যমান থাকতে পারে। যদি একটি ওপেন-সোর্স অ্যাডমিন টুলে এই সমস্যা থাকে, তবে অন্যান্যগুলিতেও তুলনীয় লজিক দুর্বলতা থাকার যুক্তিসঙ্গত সম্ভাবনা রয়েছে।
ক্রিপ্টো ব্যবহারকারীদের জন্য ব্যাবহারিক উপসংহার হলো যে 2FA প্রয়োজনীয় কিন্তু যথেষ্ট নয়। হার্ডওয়্যার সিকিউরিটি কী, উত্তোলন শ্বেত তালিকা এবং মাল্টি-সিগনেচার ওয়ালেট সেটআপ অতিরিক্ত স্তর প্রদান করে যা শুধুমাত্র 2FA বাইপাস দ্বারা ক্ষতিগ্রস্ত হবে না। শুধুমাত্র সফটওয়্যার-ভিত্তিক 2FA-কে তাদের প্রাথমিক প্রতিরক্ষা হিসেবে নির্ভর করা এক্সচেঞ্জ এবং কাস্টোডিয়ানদের এই আবিষ্কারের আলোকে তাদের সিকিউরিটি আর্কিটেকচার পুনর্মূল্যায়ন করা উচিত।
ব্যাপক চিন্তা হলো ত্বরণ বক্ররেখা। যদি এআই আজ একটি ওয়েব অ্যাডমিন টুলের লক্ষ্য করে একটি কার্যকরী জিরো-ডে তৈরি করতে পারে, তবে একই ধরনের পদ্ধতি স্মার্ট চুক্তির দুর্বলতা, ব্রাউজার এক্সটেনশন ওয়ালেট, বা ট্রেডিং প্ল্যাটফর্মগুলির দ্বারা ব্যবহৃত API অথেনটিকেশন সিস্টেমগুলিতে প্রয়োগ করা যায় বলে কল্পনা করা কঠিন নয়। ক্রিপ্টোতে আক্রমণের পৃষ্ঠতলটি ইতিমধ্যেই অত্যন্ত বিশাল। এআই-সহায়িত এক্সপ্লয়িট জেনারেশন এটিকে প্রতিরোধ করাকে সূচকীয়ভাবে অসম্ভব করে তোলে।
দেখুন, সাইবার নিরাপত্তার অস্ত্র প্রতিযোগিতা সবসময় যারা দ্রুত চলে তাদের পক্ষে ছিল। প্রথমবারের মতো, আক্রমণকারীদের একটি টুল আছে যা মেশিনের গতিতে দুর্বলতা খুঁজে বার করতে পারে। গুগল এটি ধরেছে। পরবর্তী AI-জেনারেটেড এক্সপ্লয়িটটি এতটাই সুবিধাজনক ফিঙ্গারপ্রিন্ট নিয়ে আসতে পারে না, এবং লক্ষ্যবস্তুর পরিধি পর্যবেক্ষণ করার জন্য এমন জিটিআইজি-পর্যায়ের দলও থাকতে পারে না।