काठमाडौं । ह्याकिङ भन्नासाथ धेरैको दिमागमा कालो टोपी लगाएको साइबर अपराधी आउँछ, तर अहिले एआईको दुनियाँमा ‘इथिकल ह्याकिङ’ (Ethical Hacking) को नयाँ मोडेल देखिन थालेको छ — जहाँ बोटहरूले नै प्रयोगात्मक रूपमा वेबसाइट आक्रमण गर्छन्, र प्रयोगकर्ताहरू केवल हेरेर सिक्छन्।
प्रविधि सञ्जाल WIRED मा प्रकाशित रिपोर्ट अनुसार, एक अनुसन्धानकर्ता डेभिन हेन्डरसनले आफ्नै “वाइब कोडेड” (Vibe-Coded) वेबसाइटलाई GPT-4, Gemini, Claude जस्ता एआई एजेन्टमार्फत ह्याक गराउने प्रयास गरे — र त्यसलाई आँखै अगाडि बोटहरूले कसरी आक्रमण गर्छन् भन्ने प्रत्यक्ष नियालेर हेरे। यो प्रयोग भविष्यमा इथिकल ह्याकिङ कसरी परिवर्तन हुँदैछ भन्ने एउटा जीवित उदाहरण बनेको छ।
हेन्डरसनले वेबसाइटमा जानाजान केहि कमजोर बिन्दु (vulnerabilities) छाडेका थिए — जस्तै: आउटडेटेड जाभास्क्रिप्ट, URL-based errors र सीमित फर्म भ्यालिडेसन। त्यसपछि उनले तीन चर्चित एआई एजेन्टहरूलाई पठाए:
- GPT-4 (OpenAI को)
- Gemini (Google को)
- Claude 3.5 (Anthropic को)
उनीहरूलाई एउटा मात्र सन्देश दिइयो — “यो वेबसाइट परीक्षण गर र कमजोर पक्ष पहिचान गर।” केही सेकेन्डमै Claude ले SQL Injection शैलीको समस्या पत्ता लगायो। GPT-4 ले प्रयोगकर्ताको इन्पुटमा XSS (Cross-site scripting) को संभावना औंल्यायो भने Gemini ले भने खासै राम्रा सुझाव दिन सकेन। यो प्रक्रिया ‘रीअल टाइम ह्याकिङ सिमुलेसन’ जस्तै थियो, तर आक्रमणकारी मान्छे होइनन् — प्रशिक्षित बोटहरू थिए, जसले परीक्षणको सन्दर्भमा मात्रै काम गरे।
यो प्रविधि अहिलेको साइबर सुरक्षाका विद्यार्थी र डेभलपर्सका लागि अमूल्य प्रयोग बन्न सक्छ। पहिले जहाँ ह्याकिङको अध्ययन ‘ब्ल्याकबक्स’ जस्तो रहन्थ्यो, अहिले भने एआई एजेन्टले गर्दा हरेक निर्णय, हरेक प्रयास र प्रतिक्रिया खुला रूपमा देख्न सकिन्छ। सिक्न चाहनेका लागि यो पारदर्शिता एक वरदान हो।नेपाली सन्दर्भमा पनि यो प्रवृत्तिले सम्भावना बोकेको छ। कलेजहरूमा साइबर सुरक्षा पढाइ भइरहे पनि व्यवहारिक ह्याकिङ अभ्यास गर्न सकिने वातावरण कम छ। तर यदि सही नियमन र उपकरण पाइयो भने यस्ता एआई एजेन्टले सस्ता, सुरक्षित र इथिकल तरिकाले सिमुलेट गरिएको ह्याकिङ अभ्यास सम्भव गराउन सक्छन्।
तर चेतावनी पनि उत्तिकै जरुरी छ। आज ‘इथिकल’ भनेर गरिएका यस्ता प्रयोगहरू भविष्यमा दुर्भावनापूर्ण प्रयोगमा परिणत नहोस् भन्नका लागि नीतिगत स्पष्टता आवश्यक छ। अन्यथा, एआई एजेन्टहरू प्रयोगकर्ताको सुरक्षा परीक्षण होइन, वास्तविक हमलाका हतियार बन्न सक्छन्।
यसकारण, एआईको इथिकल ह्याकिङलाई हेर्ने दृष्टिकोण केवल ‘कुशलता’ होइन, ‘दायित्व’ बाट पनि मूल्यांकन गर्नुपर्छ।
