Cisco ने AI बग हंट: 180 करोड़ लाइन कोड को 8 हफ़्तों में स्कैन किया, लेकिन खामियों का आंकड़ा नहीं बताया

Cisco की घोषणा के समय, इनमें से कोई भी मॉडल आम जनता के लिए उपलब्ध नहीं था। Anthropic ने Claude Mythos Preview को बिना रोक-टोक के जारी करने के लिए बहुत खतरनाक माना था, विशेष रूप से उसकी आक्रामक साइबर क्षमताओं के कारण। कंपनी ने इसे कड़ी निगरानी में केवल चुनिंदा उद्योग भागीदारों को प्रदान करने का फैसला किया । OpenAI का डेब्रेक के साथ दृष्टिकोण थोड़ा व्यापक था—इसमें टियर-आधारित पहुंच थी, जिसमें एक प्रतिबंधित "GPT-5.5-Cyber" टियर केवल रेड-टीम (आक्रामक परीक्षण) के उपयोग के लिए आरक्षित था। लेकिन सबसे शक्तिशाली क्षमताएं Cisco, CrowdStrike और सरकारी एजेंसियों जैसे सत्यापित संगठनों तक ही सीमित रहीं ।

Cisco ने इन मॉडलों को चलाने के लिए अपना आंतरिक ढांचा विकसित किया, जिसे 'Cisco Foundry Security Spec' कहा जाता है, और यह सुनिश्चित करने के लिए छह अलग-अलग अग्रणी AI मॉडलों पर इसका परीक्षण किया कि यह मॉडल-स्वतंत्र रूप से काम कर सके। खुद Cisco के शब्दों में, "मॉडल गति बढ़ाने वाला ईंधन है; हार्नेस (ढांचा) इंजन है" ।

चार्टर साझेदारियां: प्रोजेक्ट ग्लासविंग और डेब्रेक

Cisco दोनों प्रमुख उद्योग प्रयासों का संस्थापक चार्टर सदस्य है, जो रक्षात्मक साइबर सुरक्षा के लिए अग्रणी AI का इस्तेमाल कर रहे हैं।

Anthropic का प्रोजेक्ट ग्लासविंग: अप्रैल 2026 में लॉन्च किया गया यह प्रोजेक्ट, सावधानीपूर्वक चुने गए भागीदारों के समूह को सख्त शर्तों के तहत Claude Mythos Preview तक पहुंच प्रदान करता है। इसका लक्ष्य है कि हमलावरों से पहले महत्वपूर्ण सॉफ्टवेयर में खामियों को ढूंढकर पैच किया जाए। चार्टर प्रतिभागियों में AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Linux Foundation और Cisco शामिल हैं । यह पहल एक समन्वित प्रकटीकरण ढांचे के माध्यम से संचालित होती है, जहां पहचानी गई खामियों की जिम्मेदारी से सॉफ्टवेयर अनुरक्षकों को रिपोर्ट की जाती है ।

OpenAI का डेब्रेक: 11 मई, 2026 को घोषित, डेब्रेक, प्रोजेक्ट ग्लासविंग को OpenAI का सीधा संस्थागत जवाब है। GPT-5.5 और Codex Security पर निर्मित, यह एक सुरक्षा-ट्यून्ड एजेंट ढांचे के पीछे तीन मॉडल टियर को बंडल करता है, जिसे बड़े पैमाने पर कोड समीक्षा और पैच सत्यापन को स्वचालित करने के लिए डिज़ाइन किया गया है। Cisco, Cloudflare, CrowdStrike और Palo Alto Networks के साथ एक चार्टर इकोसिस्टम पार्टनर के रूप में इसमें शामिल हुआ ।

ये दोनों पहल AI उद्योग में एक मौलिक दार्शनिक विभाजन का प्रतिनिधित्व करती हैं। Anthropic का तर्क है कि सबसे खतरनाक मॉडलों तक पहुंच को नियंत्रित करना वैश्विक साइबर सुरक्षा को बढ़ावा देने का सबसे अच्छा तरीका है। वहीं, OpenAI ने AI-सहायता प्राप्त रक्षकों के साथ क्षेत्र को भरने के लिए, सभी स्तरों की सरकारी एजेंसियों सहित, व्यापक, टियर-आधारित पहुंच पर जोर दिया है ।

परिचालन तर्क: रक्षात्मक तात्कालिकता

Cisco की बताई गई प्रेरणा सीधी-सादी थी: AI-संचालित हमले अब सैद्धांतिक नहीं हैं, और रक्षक मानवीय गति से आगे नहीं बढ़ सकते। जब Anthropic ने Claude Mythos Preview को रोककर रखने की घोषणा की, तो उसने साथ ही बताया कि मॉडल ने पहले ही इंटरनेट और व्यापक अर्थव्यवस्था की नींव वाले महत्वपूर्ण सॉफ्टवेयर इंफ्रास्ट्रक्चर में कमजोरियों की पहचान कर ली थी । इसका स्पष्ट मतलब था: अगर रक्षात्मक टीमों ने पहले इन मॉडलों का इस्तेमाल नहीं किया, तो विरोधी अंततः समान क्षमताओं तक पहुंच हासिल कर लेंगे।

Cisco ने 180 करोड़ लाइन के कोड के स्कैन को उस अपरिहार्यता के खिलाफ एक दौड़ के रूप में पेश किया। कंपनी ने कहा, "अग्रणी मॉडल ऐसे पैमाने पर कमजोरियां ढूंढ रहे हैं जो पहले कभी हासिल नहीं किया गया, और यह एक बार का काम नहीं है। ये चीजें लगातार नई कमजोरियां खोजती रहेंगी" । अपने पूरे पोर्टफोलियो में स्कैन चलाकर, Cisco का लक्ष्य उन हमलावरों से आगे निकलना था जो समान कमजोरियों की पहचान करने के लिए समान मॉडलों का उपयोग कर सकते हैं—लेकिन दुर्भावनापूर्ण इरादे से।

अजीब चुप्पी: Cisco बग की संख्या नहीं बताएगा

गति और पैमाने के बारे में शेखी बघारने के बावजूद, Cisco ने व्यवस्थित रूप से सबसे महत्वपूर्ण प्रश्न का उत्तर देने से परहेज किया: मॉडलों ने वास्तव में कितनी कमजोरियां खोजीं? कई रिपोर्टें इस बात की पुष्टि करती हैं कि Cisco ने खोजी गई कमजोरियों की "कुल संख्या का खुलासा करने से इनकार कर दिया", और उसने कोई तालिका, गंभीरता का विवरण, या गंभीर या शोषण योग्य खोजों की संख्या भी नहीं दी ।

यह चुप्पी एक स्पष्ट विश्वसनीयता समस्या पैदा करती है। अगर मॉडलों ने हजारों गंभीर बग खोजे, तो उस संख्या का खुलासा करना पूरे अभ्यास को मान्य कर देता—लेकिन यह ग्राहकों और नियामकों को भी चिंतित कर सकता है। अगर उन्हें अपेक्षाकृत कम मिले, तो आठ-हफ्ते बनाम आठ-साल का दावा ध्वस्त हो जाता है। किसी भी तरह से, Cisco ने AI स्कैनिंग प्रयास की "परिवर्तनकारी शक्ति" की प्रशंसा करते हुए संख्या को गुप्त रखना चुना ।

नीति में बदलाव: AI-त्वरित दुनिया के लिए पूर्वानुमानित खुलासे

Cisco Live 2026 में एक ठोस, कार्रवाई योग्य बदलाव सामने आया: जुलाई से शुरू होकर, Cisco अपनी पिछली अनियमित भेद्यता प्रकटीकरण नीति को त्याग कर एक पूर्वानुमानित, अनुसूचित दृष्टिकोण अपना रहा है। कंपनी अब प्रत्येक महीने के पहले और तीसरे बुधवार को सुरक्षा परामर्श प्रकाशित करेगी, साथ ही सात दिन का अग्रिम नोटिस देगी जिसमें बताया जाएगा कि प्रत्येक रिलीज में कौन सी प्रौद्योगिकियां और प्लेटफॉर्म शामिल होंगे ।

इसका कारण सीधे AI स्कैनिंग कार्यक्रम से जुड़ा है। Cisco की उत्पाद सुरक्षा घटना प्रतिक्रिया टीम (PSIRT) को उम्मीद है कि AI-त्वरित भेद्यता खोज से निष्कर्षों की मात्रा नाटकीय रूप से बढ़ जाएगी, और महीने में दो बार की यह नियमितता उद्यम ग्राहकों को वह पूर्वानुमान क्षमता प्रदान करने के लिए डिज़ाइन की गई है जिसकी उन्हें आकस्मिक सलाहों के अनुसार प्रतिक्रिया देने के बजाय पैचिंग चक्रों की योजना बनाने के लिए आवश्यकता होगी । यदि किसी रिलीज विंडो के लिए कोई सुरक्षा प्रकाशन योजनाबद्ध नहीं है, तो Cisco इसकी भी सूचना देगा ।

UK मूल्यांकनकर्ताओं ने क्या पाया: क्षमता हर 4.7 महीने में दोगुनी हो रही है

जब Cisco अपने कोडबेस को स्कैन कर रहा था, उसी समय UK का AI सुरक्षा संस्थान (AISI) स्वतंत्र रूप से उन दो मॉडलों का मूल्यांकन कर रहा था जिनका Cisco ने उपयोग किया—और निष्कर्ष चिंताजनक थे। अप्रैल और जून 2026 के बीच प्रकाशित मूल्यांकनों की एक श्रृंखला में, AISI ने पाया :

• Claude Mythos Preview "साइबर अपराध में हमारे द्वारा पहले मूल्यांकन किए गए किसी भी मॉडल की तुलना में काफी अधिक सक्षम है।" UK सरकार ने इस निष्कर्ष को सीधे तौर पर अप्रैल 2026 में राज्य सचिव लिज़ केंडल और सुरक्षा मंत्री डैन जार्विस द्वारा सभी UK व्यापारिक नेताओं को लिखे एक खुले पत्र में उद्धृत किया, जिसमें बोर्डों से AI-संवर्धित साइबर जोखिम को प्रथम-क्रम का शासन उत्तरदायित्व मानने का आग्रह किया गया । मिथोस प्रीव्यू ने विशेषज्ञ-स्तरीय कैप्चर-द-फ्लैग (CTF) कार्यों पर 73% सफलता दर हासिल की—यह संस्थान द्वारा मूल्यांकित किसी भी मॉडल के लिए पहली बार था ।

• GPT-5.5 ने AISI के 32-चरणीय कॉर्पोरेट नेटवर्क हमले के सिमुलेशन को शुरू से अंत तक पूरा किया, एक ऐसा बेंचमार्क जिसे संस्थान का अनुमान है कि एक मानव विशेषज्ञ को लगभग 20 घंटे लगते। मॉडल ने AISI के 95 संकीर्ण कैप्चर-द-फ्लैग साइबर कार्यों में से कई को संतृप्त कर दिया, जिससे अग्रणी-मॉडल साइबर जोखिम को सार्थक रूप से मापने के लिए बुनियादी बेंचमार्क अपर्याप्त हो गए । GPT-5.5 ने विशेषज्ञ-स्तरीय उन्नत कार्यों पर लगभग 71% की औसत पास दर हासिल की, जबकि मिथोस प्रीव्यू के लिए यह लगभग 69% और पिछली पीढ़ी के GPT-5.4 के लिए लगभग 52% थी ।

• समग्र रुझान तेज हो रहा है: AISI ने पाया कि अग्रणी AI मॉडलों की स्वायत्त रूप से साइबर कार्यों को पूरा करने की क्षमता अब हर 4.7 महीने में दोगुनी हो रही है, जो नवंबर 2025 में संस्थान द्वारा दर्ज 8-महीने के दोगुना होने के अंतराल से तेजी से नीचे आ गया है। Claude Mythos Preview और GPT-5.5 दोनों ने इस तीव्र ट्रेंड लाइन को भी काफी हद तक पार कर लिया ।

4.7-महीने की दोगुनी दर के निहितार्थ स्पष्ट हैं। यदि यह रुझान जारी रहता है, तो लगभग डेढ़ साल के भीतर, AI सिस्टम स्वायत्त रूप से ऐसे साइबर कार्यों को पूरा कर सकते हैं जिनके लिए आज विशेषज्ञ मानव ऑपरेटरों की टीमों को हफ्तों या महीनों तक काम करने की आवश्यकता होती है। AISI ने उल्लेख किया कि दोनों मॉडलों के नए चेकपॉइंट्स ने मौजूदा 95-कार्य मूल्यांकन सूट को पहले ही संतृप्त कर दिया था, जिससे "अत्यधिक अनिश्चित समय सीमाएं" उत्पन्न हो गईं क्योंकि बेंचमार्क अब मॉडलों की क्षमताओं की पूर्ण सीमा को नहीं माप सकते थे ।

बड़ी तस्वीर: एक रक्षात्मक हथियारों की दौड़ का तर्क

Cisco की घोषणा, AISI के मूल्यांकनों के साथ मिलकर, एक ऐसे उद्योग की तस्वीर पेश करती है जिसने AI-ईंधन वाली रक्षात्मक हथियारों की दौड़ को स्वीकार कर लिया है—और सक्रिय रूप से उसमें भाग ले रहा है। वही अग्रणी मॉडल जो कमजोरियों के लिए 180 करोड़ लाइन कोड को स्कैन कर सकते हैं, सिद्धांत रूप में, हमलावरों द्वारा किसी भी मानव रेड टीम की तुलना में तेजी से उन्हीं कमजोरियों को खोजने और उनका फायदा उठाने के लिए इस्तेमाल किए जा सकते हैं।

प्रोजेक्ट ग्लासविंग और डेब्रेक दोनों का तर्क यह है कि सबसे अच्छा बचाव यह है कि सबसे सक्षम मॉडल पहले सबसे जिम्मेदार संगठनों को कड़े नियंत्रण में दिए जाएं, ताकि वे आक्रामक क्षमताओं के फैलने से पहले महत्वपूर्ण बुनियादी ढांचे को पैच कर सकें। Cisco का 180 करोड़ लाइन का स्कैन अब तक की उस थीसिस का सबसे बड़ा वास्तविक दुनिया का परीक्षण है। हालांकि, कंपनी का वास्तविक बग संख्या को छुपाने का निर्णय, शेष उद्योग को एक आकर्षक लेकिन अधूरा प्रूफ-ऑफ-कॉन्सेप्ट प्रदान करता है—और एक नई, AI-संचालित प्रकटीकरण नियमितता जो यह सुझाव देती है कि निष्कर्षों की मात्रा इतनी महत्वपूर्ण थी कि इसके लिए स्थायी परिचालन बदलाव की आवश्यकता थी।