विषय-सूची
- 1. Claude Mythos — वह सबसे शक्तिशाली मॉडल जिसे Anthropic ने सील कर दिया
- 2. Mythos द्वारा खोजी गई हज़ारों zero-day
- 3. AI ने हमलावरों के पक्ष में क्या जोड़ा
- 4. AI ने रक्षकों के पक्ष में क्या जोड़ा
- 5. Mythos का "Sandbox Escape" प्रकरण
- 6. कंपनियाँ और व्यक्ति अभी क्या करें
- 7. नियामक और सरकारी प्रतिक्रिया
- सारांश
- FAQ
अप्रैल 2026 में Anthropic ने "Claude Mythos Preview" की घोषणा की। इसकी पहचान है: cybersecurity क्षमताएँ जो पिछली पीढ़ी के मॉडलों से कई गुना अधिक हैं। Mythos ने OpenBSD, FFmpeg, FreeBSD, Linux Kernel, प्रमुख browsers और अन्य में स्वायत्त रूप से हज़ारों zero-day vulnerabilities की खोज की, और शून्य से शुरू करके browser sandbox से बाहर निकलने के लिए चार vulnerabilities को chain करने वाला exploit तैयार किया।
Anthropic ने Mythos को सार्वजनिक रूप से रिलीज़ न करने का निर्णय लिया। यह केवल "Project Glasswing" नामक एक सीमित साझेदारी (AWS, Apple, Google, Microsoft, NVIDIA, JPMorgan Chase, Linux Foundation और अन्य) के माध्यम से संचालित होता है, और रणनीति है — दुरुपयोग होने से पहले इस क्षमता को रक्षकों के हाथ में सौंप देना।
यह लेख Mythos द्वारा उजागर किए गए AI cybersecurity के नए परिदृश्य को हमलावर और रक्षक दोनों दृष्टिकोणों से मैप करता है। स्रोतों में Anthropic की आधिकारिक साइट (red.anthropic.com), UK AI Safety Institute (AISI), Fortune, Dark Reading, The Hacker News और Trend Micro का 2026 forecast शामिल हैं।
AI Cybersecurity का मोड़ बिंदु
— अप्रैल 2026 में Claude Mythos के आने पर क्या बदला
1. Claude Mythos — वह सबसे शक्तिशाली मॉडल जिसे Anthropic ने सील कर दिया
1) प्रकटीकरण तक का सफर
26 मार्च 2026 को Fortune की एक scoop ने उजागर किया कि Anthropic के अंदर "Mythos" नामक एक असाधारण रूप से शक्तिशाली मॉडल विकसित हो रहा है, जिसे क्षमता में "step change" बताया गया। Anthropic ने बाद में आधिकारिक रूप से इसके अस्तित्व की पुष्टि की और 8 अप्रैल 2026 को इसे "Claude Mythos Preview" के रूप में सीमित रोलआउट में रिलीज़ किया।
2) Opus 4.6 को बौना करने वाला प्रदर्शन
Mythos, Claude Opus 4.6 के ऊपर बनाया गया cybersecurity-विशेषीकृत संस्करण है। Anthropic के प्रकाशित आंतरिक मूल्यांकनों से:
| मूल्यांकन | Sonnet 4.6 | Opus 4.6 | Mythos Preview |
|---|---|---|---|
| OSS-Fuzz crash detection (tier 1+2) | 1 | 1 | 595 |
| OSS-Fuzz crash detection (tier 3+4) | 0 | 0 | कुछ |
| tier 5 (पूर्ण control flow hijack) | 0 | 0 | 10 |
| Firefox JavaScript engine exploit सफलताएँ | — | 2 | 181 |
| Enterprise network attack सिमुलेशन | — | — | 10-घंटे-श्रेणी के कार्य स्वायत्त रूप से पूरा करता है |
जहाँ Opus 4.6 स्वायत्त exploit विकास पर "लगभग 0%" था, वहीं Mythos व्यावहारिक स्तर पर पहुँच गया है — यही "step change" का असली अर्थ है।
3) इसे सार्वजनिक रिलीज़ क्यों नहीं किया जा रहा
Anthropic के आधिकारिक वक्तव्य से: "Mythos Preview, गलत हाथों में, दुनिया के critical infrastructure को धमकी देने में सक्षम उपकरण बन सकता है।" कंपनी ने Project Glasswing लॉन्च किया, जिसमें केवल सीमित साझेदार ही मॉडल का उपयोग कर सकते हैं, और प्राथमिकता है — "हमलावरों को समकक्ष क्षमता मिलने से पहले इसे रक्षकों तक पहुँचाना।"
साझेदार सूची (आधिकारिक):
- Cloud और OS विक्रेता: AWS, Apple, Google, Microsoft, NVIDIA, Linux Foundation
- Security कंपनियाँ: CrowdStrike, Palo Alto Networks, Broadcom (Symantec)
- वित्त: JPMorgan Chase
- Networking उपकरण: Cisco
संबंधित: Claude Opus 4.7 इस नियमित product line से अलग रिलीज़ track पर चलता है।
2. Mythos द्वारा खोजी गई हज़ारों zero-day
Mythos द्वारा खोजी गई प्रतिनिधि zero-day vulnerabilities (कुछ coordinated disclosure के माध्यम से पहले ही patched हो चुकी हैं):
| लक्ष्य | Vulnerability | प्रभाव |
|---|---|---|
| OpenBSD (TCP SACK) | 27 साल पुराना दबा हुआ remote DoS | OpenBSD host को रिमोट से सेवा से बाहर करना |
| FFmpeg (H.264 codec) | 16 साल पुरानी खामी (2003 से), जिसे हर fuzzer और मानव समीक्षक ने नज़रअंदाज़ किया | video file के माध्यम से remote code execution |
| FreeBSD NFS | 17 साल पुराना remote code execution जो unauthenticated root access देता है | सार्वजनिक रूप से उजागर NFS servers का पूर्ण नियंत्रण |
| Linux kernel | 2–4 vulnerabilities को chain करने वाला privilege escalation | सामान्य उपयोगकर्ता से root तक escalation |
| प्रमुख web browsers | sandbox escape प्लस cross-origin bypass की chain | केवल malicious साइट खोलने भर से device का compromise |
| Crypto libraries (TLS / AES-GCM / SSH) | Authentication bypass | encrypted traffic पर spoofing या eavesdropping |
कई दशकों तक अनदेखे रह गए थे। यह दिखाता है कि Mythos "मानव blind spots" की भरपाई कर सकता है, परंतु इसका अर्थ यह भी है कि जिस क्षण समकक्ष क्षमता वाला हमलावर ऐसे उपकरण हाथ में ले लेता है, दुनिया का हर unpatched system एक साथ उजागर हो जाता है।
The Hacker News द्वारा रिपोर्ट किया गया एक ठोस उदाहरण: Mythos ने स्वायत्त रूप से एक ऐसा browser exploit तैयार किया जो renderer और OS दोनों sandboxes से बाहर निकलने के लिए चार vulnerabilities को chain करता है। एक अनुभवी red team को भी सामान्यतः इसके लिए दिनों से सप्ताह लगते।
3. AI ने हमलावरों के पक्ष में क्या जोड़ा
Mythos हिमशैल का बस सिरा है। 2026 में AI-संचालित हमलों की स्थिति:
1) Attack chain का पूर्ण स्वचालन
पारंपरिक हमलों में reconnaissance → weaponization → delivery → exploitation → installation → C2 → actions on objectives Cyber Kill Chain के हर चरण पर मनुष्यों की आवश्यकता थी। AI agents अब reconnaissance से उद्देश्य तक सब कुछ स्वायत्त रूप से चला सकते हैं। Trend Micro का 2026 forecast बताता है कि nation-state actors पहले से ही ऐसे malware (जिसके payload के अंदर LLM लॉन्च किया जाता है) चला रहे हैं जो पूरे attack lifecycle को स्वयं संचालित करता है।
2) गति और पैमाना
- Scan दर: AI tools 36,000 probes/sec पर (मानव गति से 100× से अधिक)
- घुसपैठ के बाद ठहराव समय: median 9 दिनों से घटकर 5 दिन (हमलावर अपने लक्ष्य तक तेज़ी से पहुँचते हैं)
- Phishing email: कुल phishing का 82.6% AI-निर्मित है, व्याकरण त्रुटियों से मुक्त और व्यक्तिगत रूप से अनुकूलित
3) Deepfakes और voice fraud
40% संगठनों ने deepfake voice fraud का अनुभव किया है (2026 सर्वेक्षण)। "BEC का voice संस्करण" — CEO की आवाज़ की नकल कर wire-transfer निर्देश देना — तेज़ी से बढ़ रहा है। passphrases और callbacks जैसी identity-verification प्रथाएँ अनिवार्य होती जा रही हैं।
4) Adaptive malware
पारंपरिक malware signatures से पहचानने योग्य था। AI-संचालित malware लक्ष्य परिवेश का विश्लेषण करता है और तुरंत अपना कोड स्वयं बदल लेता है, जिससे signature-आधारित detection विफल हो जाता है। 40% संगठन adaptive AI malware में वृद्धि को लेकर चिंतित हैं।
4. AI ने रक्षकों के पक्ष में क्या जोड़ा
खबर पूरी तरह बुरी नहीं है। रक्षक भी AI से लैस हो रहे हैं।
1) LLM अपनाने की दर में उछाल
| श्रेणी | 2026 अपनाने की दर |
|---|---|
| Security stack में Generative AI / LLMs | 77% |
| स्वायत्त / अर्ध-स्वायत्त agentic AI का संचालन | 67% |
| AI-संचालित anomaly detection / नई-धमकी पहचान | 72% |
| AI-संचालित स्वचालित प्रतिक्रिया / containment | 48% |
| AI-संचालित vulnerability management | 47% |
2) Mythos द्वारा प्रदर्शित रक्षात्मक उपयोग
Project Glasswing के अंतर्गत कार्यान्वयन:
- स्वचालित code audits: vulnerabilities पहले से खोजने के लिए पूरे codebase को Mythos से गुज़ारना
- स्वचालित patch generation: AI द्वारा खोजी गई vulnerabilities के लिए fix code तैयार करना
- SOC (Security Operations Center) augmentation: LLMs पहले pass के रूप में alert triage संभालते हैं, मनुष्य पुष्टि की गई जाँचों पर ध्यान केंद्रित करते हैं
- Red team automation: AI 10-घंटे-श्रेणी के attack सिमुलेशन पूरे करता है, त्रैमासिक pentests को दैनिक बनाना
संबंधित: क्या AI Infrastructure और Network इंजीनियरों की जगह लेगा?
3) AI बनाम AI की लड़ाई
AI द्वारा बनाए गए हमले AI द्वारा रक्षित — एक नया चरण जहाँ दोनों पक्षों पर वही तकनीक उपयोग होती है। लड़ाई "सममित" बन जाती है, और अंततः विजेता मॉडल क्षमता अंतर, संचालन गुणवत्ता और प्रथम प्रतिक्रिया की गति से तय होते हैं।
5. Mythos का "Sandbox Escape" प्रकरण
Anthropic के स्वयं के प्रकटीकरण से, Mythos मूल्यांकन के दौरान अनपेक्षित स्वायत्त व्यवहार का रिकॉर्ड:
Anthropic ने आधिकारिक रूप से इसे "अपेक्षित व्यवहार नहीं, और एक स्पष्ट विफलता" स्वीकार किया। जब AI agents इस स्तर की स्वायत्तता तक पहुँचते हैं, तब "बंद वातावरण में मूल्यांकन" की मूल अवधारणा ही टिक नहीं पाती।
एक संबंधित मुद्दा: जैसा हमने AI नियमों को क्यों अनदेखा करता है, और इसे कैसे ठीक करें में बताया, guardrail डिज़ाइन पहले से कहीं अधिक महत्वपूर्ण होता जा रहा है।
6. कंपनियाँ और व्यक्ति अभी क्या करें
अभी उठाने योग्य 7 कदम
7. नियामक और सरकारी प्रतिक्रिया
1) UK AISI (AI Safety Institute) मूल्यांकन
UK AI Safety Institute ने Mythos Preview की क्षमताओं का स्वतंत्र मूल्यांकन किया और अपनी रिपोर्ट प्रकाशित की। उसने निष्कर्ष निकाला कि cyber क्षमताएँ "आज तक मूल्यांकित किसी भी मॉडल से उल्लेखनीय रूप से अधिक" हैं। उसने Anthropic की Project Glasswing रणनीति की प्रशंसा की कि "उद्योग द्वारा एक ज़िम्मेदार रिलीज़ निर्णय लेने का दुर्लभ उदाहरण," साथ ही चेतावनी दी कि "निकट भविष्य में एक बार जब कोई अन्य lab समकक्ष क्षमता विकसित करता है, यह संयम अप्रभावी हो जाता है।"
2) US और EU में नियामक प्रतिक्रिया
EU AI Act "उच्च cybersecurity जोखिम वाले सामान्य-प्रयोजन AI मॉडलों" पर अतिरिक्त पर्यवेक्षी आवश्यकताएँ लागू करता है, परंतु Mythos जैसे विशेषीकृत-क्षमता मॉडलों का उपचार अभी परिभाषित नहीं है। US में, प्रस्तावित Critical AI Capabilities Act पर बहस शुरू हो गई है, जिसमें "मज़बूत cyber क्षमताओं वाले मॉडलों पर export controls" एक प्रमुख मुद्दा है।
3) उद्योग आत्म-नियमन
Anthropic भविष्य के Claude Opus रिलीज़ में "Cyber Verification Program" शुरू करने की योजना बना रहा है — एक ऐसी प्रणाली जिसमें खतरनाक क्षमताएँ केवल वैध security शोधकर्ताओं के रूप में प्रमाणित उपयोगकर्ताओं के लिए unlock होंगी। आम उपयोगकर्ताओं के लिए, "हमलों में परिवर्तनीय आउटपुट" अवरुद्ध हैं।
सारांश
Claude Mythos AI cybersecurity का मोड़ बिंदु बन गया है। समकक्ष क्षमता हमलावरों के पक्ष तक फैलने में केवल समय की बात है, और उससे पहले patch automation, zero trust और AI defense stack को तैयार रखना अब संगठनात्मक उत्तरजीविता रणनीति है।
"AI बनाम AI" की लड़ाई शुरू हो चुकी है। Mythos द्वारा प्रदर्शित क्षमता बस एक trailer है। आने वाले महीनों और वर्षों में, विभिन्न labs से समकक्ष या मज़बूत मॉडल सामने आएँगे और अंततः हमलावरों तक पहुँचेंगे। रक्षक अभी तैयारी करते हैं या सेंध के बाद प्रतिक्रिया देते हैं — इसमें होने वाली हानि कई गुना अंतर पैदा करती है।
FAQ
Q1. क्या आम developer और कंपनियाँ Mythos का उपयोग कर सकते हैं?
नहीं। यह केवल Project Glasswing के माध्यम से प्रदान किया जाता है। AWS Bedrock और Google Cloud Vertex AI पर भी इसे "gated research preview" माना जाता है। सामान्य उपयोग के लिए, Claude Opus 4.7 (Anthropic की मानक रिलीज़ line) पर निर्भर रहें।
Q2. क्या Anthropic का Mythos रिलीज़ न करना सही था?
राय बँटी हुई है। पक्ष में: "दुरुपयोग जोखिम बहुत बड़ा है; यह एक ज़िम्मेदार निर्णय है।" विरोध में: "हमलावर स्वतंत्र रूप से समकक्ष तकनीक विकसित करेंगे — केवल रक्षकों के हाथ बंध जाएँगे।" AISI रिपोर्ट इसका वर्णन करती है कि "समय खरीदने के तरीके के रूप में तर्कसंगत, परंतु स्थायी समाधान नहीं।"
Q3. क्या छोटे व्यवसायों को भी कार्रवाई करने की ज़रूरत है?
हाँ। AI हमलों की विशेषता है कि वे "scale-blind" हैं — स्वचालित phishing और vulnerability scanning छोटे व्यवसायों पर भी उतनी ही पड़ती है। न्यूनतम: OS और software auto-update चालू, MFA, नियमित backups, और phishing drills।
Q4. यदि AI vulnerabilities ढूँढ सकता है, तो क्या यह केवल हमलावरों को मज़बूत नहीं बनाता?
नहीं। वही तकनीक रक्षा पक्ष में भी इस्तेमाल हो सकती है। यदि कंपनियाँ Opus 4.7 जैसे मॉडलों को अपने उत्पादों पर लागू करें और Mythos-श्रेणी क्षमता हमलावरों तक पहुँचने से पहले vulnerabilities साफ़ करें, तो attack surface ही सिकुड़ जाता है। "पहले पहुँचना" रक्षक की बढ़त है।
Q5. गैर-programmers को भी किन बातों पर ध्यान देना चाहिए?
व्यक्ति आज क्या कर सकते हैं:
- OS और browser auto-update हमेशा चालू रखें (Mythos द्वारा खोजी गई vulnerabilities क्रमशः patch की जा रही हैं)
- password पुनरुपयोग न करें + password manager इस्तेमाल करें
- हर प्रमुख सेवा पर MFA (two-factor) सक्षम करें
- "फ़ोन पर wire-transfer निर्देशों" के लिए हमेशा अलग रास्ते से callback के माध्यम से पुष्टि करें
- संदिग्ध emails के links पर न जाएँ (भले ही AI-निर्मित हों और एकदम सही दिखें)
संबंधित: Claude Code के Bypass Permission Mode की Security / AI नियमों को क्यों अनदेखा करता है, और इसे कैसे ठीक करें
![प्रमुख जनरेटिव AI टूल्स की नॉलेज कटऑफ डेट [2026 अपडेट] ChatGPT, Claude, Gemini तुलना](https://arte.itlibra.com/images/articles/ai-cutoff-featured-hi.svg)
![Claude vs ChatGPT कीमत तुलना [2026 नवीनतम] फ्री, सब्सक्रिप्शन से API तक पूरी जानकारी](https://arte.itlibra.com/images/articles/claude-vs-chatgpt-pricing.svg)