OpenAI की साइबर सुरक्षा पहल क्रिप्टो उद्योग के लिए सबक प्रदान करती है

OpenAI ने 11 मई को एक नया साइबर सुरक्षा पहल, डे ब्रेक, शुरू किया, जिसका उद्देश्य हमलावरों के द्वारा उनका दुरुपयोग किए जाने से पहले सॉफ्टवेयर की कमियों को ढूंढना, मान्यता देना और उन्हें ठीक करने में मदद करना है।

कंपनी इस दृष्टिकोण को "डिज़ाइन द्वारा लचीला" सॉफ्टवेयर बनाने के रूप में वर्णित करती है, जिसमें AI-सहायता वाली कोड समीक्षा, खतरा मॉडलिंग, पैच सत्यापन और निर्भरता विश्लेषण के माध्यम से सुरक्षा को बिल्ड साइकिल में पहले लाया जाता है।

क्रिप्टो के लिए, जहां एक सॉफ्टवेयर विफलता एक ही ब्लॉक के भीतर तुरंत पूंजी का नुकसान हो सकता है, तत्कालता स्पष्ट है।

क्रिप्टो उद्योग में मानक पैटर्न प्रतिक्रियाशील होता है, जिसमें प्री-लॉन्च ऑडिट, पोस्ट-डिप्लॉयमेंट मॉनिटरिंग, फंड्स के चले जाने पर प्रतिक्रिया, a post-mortem on the method, वल्नरेबिलिटी पैचिंग, प्रतिक्षेप बातचीत और गवर्नेंस बहस शामिल होती है।

उस मॉडल में कमजोरी यह है कि दोष केवल तभी सामने आता है जब पूंजी पहले ही स्थानांतरित हो चुकी हो। डिप्लॉयमेंट और दुरुपयोग के बीच का समय वह समय होता है जब जोखिम सबसे अधिक होता है, और रक्षा सबसे कमजोर होती है।

TRM Labs' 2026 क्रिप्टो अपराध रिपोर्ट में दिखाया गया कि 2025 में अवैध दलों ने लगभग 150 हैक्स और दुरुपयोगों के माध्यम से $2.87 बिलियन चुरा लिया। संक्रमित कुंजियों, वॉलेट इन्फ्रास्ट्रक्चर, प्राविलेज्ड एक्सेस, फ्रंट-एंड सतहों और कंट्रोल प्लेन के माध्यम से हुए इन्फ्रास्ट्रक्चर हमलों ने इस कुल राशि का $2.2 बिलियन हिस्सा दिया।

कोड दुरुपयोग, जिस श्रेणी को अधिकांश ऑडिट सीधे संबोधित करते हैं, ने $350 मिलियन, यानी 12.1% का योगदान दिया।

हैकेन के पहले तिमाही के डेटा से पता चलता है कि ऑडिट-केंद्रित सुरक्षा की वास्तविक सीमाएँ हैं, क्योंकि वेब3 ने एक ही तिमाही में 44 घटनाओं के दौरान $482 मिलियन खो दिए। इनमें से छह घटनाओं में ऑडिट किए गए प्रोटोकॉल शामिल थे, जिनमें से एक को 18 अलग-अलग ऑडिट मिल चुके थे।

282 मिलियन डॉलर की चोरी में कोड दुरुपयोग शामिल नहीं था, जिसमें हमलावर ने कॉन्ट्रैक्ट परत को पूरी तरह से बाईपास किया और इसके चारों ओर की संचालन और सामाजिक बुनियादी ढांचे को संक्रमित कर दिया।

CertiK की हालिया व्रेंच-अटैक रिपोर्ट में यह नोट किया गया कि जनवरी और अप्रैल 2026 के बीच वैश्विक स्तर पर 34 प्रमाणित शारीरिक जबरदस्ती की घटनाएं हुईं, जो 2025 के इसी अवधि की तुलना में 41% अधिक हैं, और उन चार महीनों में अनुमानित नुकसान लगभग $101 मिलियन था।

उस दिशा में, सर्टिक का अनुमान है कि 2026 का समापन लगभग 130 घटनाओं के साथ हो सकता है। हमले का वेक्टर अब कुंजी रखने वाला व्यक्ति, मल्टिसिग में हस्ताक्षरकर्ता, और क्लाउड कंसोल एक्सेस वाला इंजीनियर है।

तीनों डेटासेट मिलकर एक खतरे का वर्णन करते हैं जो स्मार्ट कॉन्ट्रैक्ट से काफी ऊपर चला गया है।

क्रिप्टो में डे ब्रेक की तर्कशक्ति, प्रोटोकॉल जीवनचक्र के माध्यम से लगातार चलने वाली सुरक्षा स्थिति की ओर इशारा करती है।

OpenAI ऐसे AI का वर्णन करता है जो पूरे कोडबेस के भर में तर्क कर सकता है, सूक्ष्म वुल्नरेबिलिटीज की पहचान कर सकता है, सत्यापित कर सकता है कि ठीक करने से वास्तविक रूप से मूल समस्या हल हो गई है, और इस क्षमता को दैनिक बिल्ड-एंड-डिप्लॉय वर्कफ़्लो में एक निरंतर कार्य के रूप में शामिल कर सकता है।

क्रिप्टो के लिए, यह पूरे स्टैक पर विशिष्ट संचालन आवश्यकताओं में अनुवादित होता है जहाँ हानियाँ अब केंद्रित हैं।

डिप्लॉयमेंट से पहले और उसके दौरान AI-सहायता वाली सुरक्षित कोड समीक्षा मेननेट तक पहुँचने से पहले लॉजिक त्रुटियों, एक्सेस-नियंत्रण अंतराल और असुरक्षित मान्यताओं को पकड़ लेगी। प्रोटोकॉल अपग्रेड के दौरान निरंतर खतरा मॉडलिंग प्रत्येक आर्किटेक्चर अपडेट, ऑरेकल निर्भरता, ब्रिज डिज़ाइन या गवर्नेंस तंत्र द्वारा नए हमले के सतह खोले जाने का मूल्यांकन करेगी।

निर्भरता और ऑरेकल जोखिम विश्लेषण तब चेतावनी देगा जब तीसरे पक्ष का एकीकरण उस प्रोटोकॉल के सुरक्षा मॉडल को कमजोर कर दे जिस पर वह निर्भर करता है।

प्रशासनिक कार्रवाई से पहले पैच की वैधता की जांच करके यह पुष्टि की जाएगी कि प्रस्तावित ठीक करने वाले उपाय दुर्बलता को बंद कर देते हैं और ये ठीक करने वाले उपाय विरोधी परिस्थितियों के अधीन भी सुरक्षित हैं।

मल्टीसिग, साइनर्स, फ्रंट-एंड डिप्लॉयमेंट्स और कस्टडी सिस्टम्स के लिए प्रिविलेज्ड-एक्सेस समीक्षा मानक संचालन प्रक्रियाओं के हिस्से के रूप में नियमित अंतराल पर चलाई जाएगी। धन निकलने से पहले असामान्य व्यवहार को पकड़ने वाली निगरानी, पता लगाने और प्रतिक्रिया के बीच के समय को संकुचित कर देगी।

व्यापक ऑडिट रिकॉर्ड वाले क्रिप्टो प्रोटोकॉल में अभी भी अनुपलब्ध फ्रंट-एंड डिप्लॉयमेंट या गलत कॉन्फ़िगर्ड मल्टिसिग हो सकते हैं, जिससे वे एक ऑपरेशनल ब्लाइंड स्पॉट में रह जाते हैं, जहाँ 2025 के सबसे बड़े नुकसान हुए।

OpenAI ने कहा कि खराब एक्टर्स विस्तारित साइबर क्षमता का दुरुपयोग कर सकते हैं, और Daybreak अपने रक्षात्मक उपकरणों को प्रमाणीकरण, सीमित एक्सेस, सुरक्षा उपाय, दुरुपयोग निगरानी और मजबूत खाता नियंत्रण के साथ जोड़ता है।

वही AI क्षमताएँ जो रक्षकों को कोड समीक्षा, पैच की पुष्टि और खतरों का मॉडलिंग करने में मदद करती हैं, वे हमलावरों को फिशिंग को तेज करने, विश्वसनीय झूठे फ्रंट एंड बनाने, कानूनी प्रोटोकॉल को क्लोन करने, उपयोगयोग्य कमजोरियों के लिए निर्भरता श्रृंखला का विश्लेषण करने और संग्राहकों, हस्ताक्षरकर्ताओं और समर्थन चैनलों के बीच सामाजिक इंजीनियरिंग को मापक पैमाने पर बढ़ाने में मदद कर सकती हैं।

हैकेन के डेटा ने फिशिंग को प्रमुख हमला वेक्टर्स में से एक के रूप में रैंक किया, और सर्टिक के शारीरिक जबरदस्ती पर डेटा ने दर्शाया कि हमलावर प्रत्यक्ष रूप से लोगों को टारगेट कर रहे हैं। दोनों श्रेणियों में सामाजिक और संचालनात्मक हेरफेर शामिल है, और एआई दोनों में स्केल पर काम करता है।

बुल केस यह है कि “डिज़ाइन द्वारा लचीला” एक प्रतिस्पर्धी मानक बन जाता है।

प्रोटोकॉल अपने पूरे लाइफसाइकिल के दौरान निरंतर कोड समीक्षा, सिग्नर-नीति ऑडिट, निर्भरता जांच, फ्रंट-एंड अखंडता निगरानी और शासन-कार्यान्वयन प्रमाणीकरण को मानक आवश्यकताओं के रूप में मानने लगते हैं।

उस मॉडल में, ऑडिट प्रमाणीकरण के स्थान पर हस्ताक्षरकर्ताओं, अपग्रेड, निर्भरताओं और एक्सेस नियंत्रणों का पूरा संचालन स्टैक कार्यान्वयन से पहले लचीलापन साबित करता है।

ओपनएआई की अपनी दृष्टिकोण, अधिक क्षमतावान उपकरणों को मजबूत सत्यापन और प्रक्रिया नियंत्रणों के साथ जोड़ना, उस दिशा के लिए एक बाहरी प्रतिरूप है।

TRM के डेटा के अनुसार, यदि 76% क्षति बुनियादी ढांचे से आती है, तो अगला सुरक्षा मानक उसी क्षेत्र में कार्य करना चाहिए। ऐसे प्रोटोकॉल जो निरंतर संचालनात्मक स्थिरता को साबित कर सकें, बस ऑडिट प्रमाणपत्रों का ढेर प्रस्तुत करने वालों की तुलना में नियामक और संस्थागत आवंटनकर्ताओं के सामने अपना मामला आसानी से रख पाएंगे।

बेयर केस यह है कि AI-सहायता वाली सुरक्षा केवल एक मार्केटिंग परत बनी रहेगी।

प्रोटोकॉल अपने दस्तावेज़ों में एआई-सक्षम सुरक्षा भाषा जोड़ते हैं, और नीचे का संचालन मॉडल प्री-लॉन्च ऑडिट और पोस्ट-एक्सप्लॉइट पोस्ट-मॉर्टम में स्थिर रहता है।

हमलावर फ़िशिंग को बढ़ाने, क्लोन फ्रंट एंड्स को तेज़ी से बनाने और सपोर्ट चैनल्स को अधिक विश्वसनीय ढंग से दुरुपयोग करने के लिए उनी उपकरणों का उपयोग करते हैं जिनका रक्षक अपनी प्रक्रियाओं में सुधार के लिए करते हैं।

हैकेन की खोज के अनुसार, एक हमलावर ने किसी भी कॉन्ट्रैक्ट कोड की एक लाइन को छूए बिना $282 मिलियन चुरा लिए, जो दर्शाता है कि हमले का क्षेत्र कॉन्ट्रैक्ट स्तर से आगे फैला हुआ है, और उद्योग का वर्तमान सुरक्षा ढांचा इसका केवल एक हिस्सा ही कवर करता है।

क्रिप्टो उद्योग ने अपनी सुरक्षा मॉडल को पोस्ट-एक्सप्लॉइट प्रतिक्रिया और समय-बिंदु समीक्षा पर केंद्रित किया है, और हमले का क्षेत्र इस संदर्भ से काफी आगे बढ़ चुका है।

पोस्ट OpenAI का नया साइबर सुरक्षा प्रयास क्रिप्टो के लिए एक सबक रखता है: हैक का इंतजार बंद कर दें सबसे पहले CryptoSlate पर प्रकाशित हुई।