दो एआई उपकरण एक ही दो सप्ताह में एक ही तरह से खराब हो गए और चार शोध टीमों ने इसे साबित कर दिया। प्रत्येक प्रकटीकरण के नीचे का पैटर्न एक वाक्य है: एंटरप्राइज़ एआई बिना किसी विश्वास सीमा के बाहरी इनपुट स्वीकार करता है।
15 जून को, वरोनिस ने माइक्रोसॉफ्ट 365 कोपायलट एंटरप्राइज सर्च में एक प्रूफ-ऑफ-कॉन्सेप्ट एक्सफिल्ट्रेशन श्रृंखला सर्चलीक (सीवीई-2026-42824) का खुलासा किया। एक पीड़ित एक तैयार किए गए Microsoft.com URL पर क्लिक करता है, कोपायलट उनके मेलबॉक्स को खोजता है, और डेटा बिंग एसएसआरएफ के माध्यम से निकल जाता है। कोई प्लगइन्स नहीं, कोई दूसरा क्लिक नहीं, कोई दृश्यमान संकेतक नहीं। चार दिन पहले, ओब्सीडियन सिक्योरिटी ने लाइटएलएलएम के खिलाफ एक तीन-सीवीई श्रृंखला प्रकाशित की थी, जो एक डिफ़ॉल्ट कम-विशेषाधिकार प्राप्त उपयोगकर्ता को व्यवस्थापक और रिमोट कोड निष्पादन तक ले गई थी। दो उपकरण. दो टीमें. एक टूटी हुई सीमा.
इस आलेख के अंत में पांच-चेक ऑडिट जून से सीवीई या मार्केट सिग्नल के प्रत्येक अंतर को मैप करता है, एक कमांड जिसे आप दोपहर के भोजन से पहले चला सकते हैं, और एक वाक्य जो सीआईएसओ बोर्ड को पढ़ सकता है।
कोपायलट ने एक विश्वसनीय यूआरएल को एक्सफिल्ट्रेशन इंजन में बदल दिया
सर्चलीक ने तीन कमजोरियों को एक मूक डेटा-चोरी श्रृंखला में बांध दिया। यूआरएल क्यू पैरामीटर ने हमलावर निर्देशों को सीधे कोपायलट के एलएलएम में भेज दिया। रेंडरिंग रेस की स्थिति ने आउटपुट सैनिटाइज़र चलने से पहले एक छवि टैग को सक्रिय कर दिया। सामग्री सुरक्षा नीति में अनुमत सूचीबद्ध बिंग का छवि-खोज समापन बिंदु, चुराए गए डेटा को रूट कर देता है। वरोनिस के अनुसार, माइक्रोसॉफ्ट ने खामी को गंभीर माना और इसे अंतिम छोर पर ठीक कर दिया। एनवीडी ने अभी तक इसे स्कोर नहीं किया है; एक तृतीय-पक्ष ट्रैकर इसे 6.5 माध्यम पर सूचीबद्ध करता है। गंभीरता का विरोध किया जाता है, लेकिन तंत्र का नहीं।
वृद्धि वास्तविक कहानी है. जनवरी में रिप्रोम्प्ट और 2025 में इकोलीक के बाद, बारह महीनों में यह तीसरी वरोनिस कोपायलट घुसपैठ श्रृंखला है। रिप्रोम्प्ट ने कोपायलट पर्सनल को प्रभावित किया। सर्चलीक ने एंटरप्राइज सर्च को प्रभावित किया। एंटरप्राइज़ को उपयोगकर्ता की पूर्ण संगठनात्मक अनुमतियाँ विरासत में मिलती हैं, इसलिए ब्लास्ट त्रिज्या वह सब कुछ है जिस तक उपयोगकर्ता पहुँच सकता है।
लाइटएलएलएम ने प्रत्येक प्रदाता कुंजी को एक डिफ़ॉल्ट खाता सौंपा
लाइटएलएलएम गेटवे एक ही प्रॉक्सी के पीछे ओपनएआई, एंथ्रोपिक, एज़्योर और बेडरॉक की कुंजी रखता है। ओब्सीडियन श्रृंखला तीन चालों में चलती है। सीवीई-2026-47101, एक प्राधिकरण बाईपास, एक गैर-व्यवस्थापक को वाइल्डकार्ड एपीआई कुंजी बनाने की सुविधा देता है। सीवीई-2026-47102 उस कॉलर को एक अनगार्डेड /यूजर/अपडेट एंडपॉइंट के जरिए प्रॉक्सी एडमिन में प्रमोट करता है। CVE-2026-40217 पूर्ण बिल्टिन के साथ exec() के माध्यम से कोड सैंडबॉक्स से बच जाता है। इसके बाद ओब्सीडियन ने लाइटएलएलएम के कॉलबैक तंत्र के माध्यम से एक जाली टूल-कॉल प्रतिक्रिया को इंजेक्ट करके एक रिवर्स शेल का प्रदर्शन किया। ओब्सीडियन ने सीवीएसएस 9.9 पर संयुक्त श्रृंखला का मूल्यांकन किया। डेवलपर ने एक शब्द टाइप किया. हमलावर ने एक गोला फोड़ा.
एक अलग लाइटएलएलएम दोष ने तात्कालिकता को तत्काल बना दिया। सीवीई-2026-42271, एमसीपी परीक्षण समापन बिंदुओं में एक कमांड-इंजेक्शन बग, 22 जून की सुधार समय सीमा के साथ 8 जून को सीआईएसए केईवी सूची में आ गया। वह KEV प्रविष्टि ओब्सीडियन श्रृंखला नहीं है। ये दोनों चार दिन के अंतर पर अलग-अलग खुलासे हैं, अलग-अलग रिलीज में तय किए गए हैं, एक ही गेटवे पर इंगित किए गए हैं। लाइटएलएलएम में 40,000 से अधिक GitHub सितारे हैं और यह हजारों एंटरप्राइज़ तैनाती में है। यह पहला डर भी नहीं है. एक आपूर्ति-श्रृंखला समझौते ने मार्च में PyPI पर लाइटएलएलएम संस्करण 1.82.7 और 1.82.8 को पीछे छोड़ दिया। एक समझौता किया गया गेटवे संगठन के पास मौजूद प्रत्येक प्रदाता क्रेडेंशियल को उजागर करता है।
लैंगफ़्लो और मिनी शाई-हुलुद ने पैटर्न स्केल को साबित किया
इसी पखवाड़े में दो और औजारों में यही बाउंड्री टूट गई। लैंगफ्लो सीवीई-2026-5027 इस वर्ष सक्रिय शोषण को प्रभावित करने वाला तीसरा लैंगफ्लो रिमोट-कोड-निष्पादन दोष बन गया। फ़ाइल अपलोड में पथ ट्रैवर्सल एक हमलावर को डिस्क पर कहीं भी फ़ाइलें लिखने देता है, और क्योंकि लैंगफ़्लो डिफ़ॉल्ट रूप से सक्षम ऑटो-लॉगिन के साथ जहाज करता है, एक एकल अप्रमाणित अनुरोध आरसीई तक पहुंचता है। VulnCheck ने 9 जून को शोषण की पुष्टि की। Censys ने मड्डीवाटर को जिम्मेदार ठहराते हुए लगभग 7,000 उजागर मामलों की गिनती की, जो उत्तरी अमेरिका में सबसे अधिक सघनता है।
मिनी शाई-हुलुद अभियान ने एक अलग दबाव बिंदु पर प्रहार किया। 12 मई को वर्म का स्रोत कोड सार्वजनिक होने के बाद, कॉपीकैट वेरिएंट ने 1 जून को 32 रेड हैट क्लाउड सर्विसेज एनपीएम पैकेजों से समझौता किया, पैकेज एक सप्ताह में 80,000 बार खींचे गए। कीड़ा 20 से अधिक क्रेडेंशियल प्रकारों की कटाई करता है और समझौता किए गए अनुरक्षक की पहचान के तहत स्व-प्रसार करता है।
चार टीमें, चार उपकरण, एक संचालन विफलता। बग वर्ग अलग-अलग हैं। सर्चलीक एक त्वरित इंजेक्शन है। लाइटएलएलएम विशेषाधिकार वृद्धि है। लैंगफ़्लो पथ ट्रैवर्सल है। मिनी शाई-हुलुद आपूर्ति-श्रृंखला विषाक्तता है। जो बाउंड्री टूटी वो चारों में एक जैसी है.
बाज़ार ने पहले ही जोखिम का पुनर्मूल्यांकन कर दिया है
क्राउडस्ट्राइक की Q1 FY27 आय कॉल ने अंतर पर एक संख्या डाल दी। एआईडीआर, कंपनी की एआई डिटेक्शन और रिस्पॉन्स लाइन, $50 मिलियन (एसईसी-फाइल 8-के) से ऊपर क्यू2 पाइपलाइन के साथ, क्रमिक रूप से 250% से अधिक एआरआर में वृद्धि हुई। कुल कंपनी एआरआर 5.51 बिलियन डॉलर तक पहुंच गई, और क्राउडस्ट्राइक के बेड़े टेलीमेट्री से पता चलता है कि एंटरप्राइज़ एंडपॉइंट पर 1,800 से अधिक एजेंटिक एप्लिकेशन चल रहे हैं।
17 जून को, कंपनी ने एंथ्रोपिक के प्रोजेक्ट ग्लासविंग के साथ अपने काम को आगे बढ़ाते हुए, अमेज़ॅन बेडरॉक, किरो और स्ट्रैंड्स एजेंटों में एजेंट, एलएलएम और एमसीपी संचार के वास्तविक समय मूल्यांकन को जोड़ते हुए एआईडीआर को एडब्ल्यूएस तक बढ़ा दिया। क्राउडस्ट्राइक के मुख्य व्यवसाय अधिकारी डैनियल बर्नार्ड ने कहा कि एआई हमले की सतह अब विकास, रनटाइम, पहचान और क्लाउड इंफ्रास्ट्रक्चर तक फैली हुई है, और टीमें इन्हें अलग-अलग डोमेन के रूप में मानती हैं और उनके बीच के अंतराल को खुला छोड़ देती हैं।
अभ्यासकर्ता उसी अंतर को स्पष्ट शब्दों में नाम देते हैं
अमेरिकन एक्सप्रेस ग्लोबल बिजनेस ट्रैवल के सीआईएसओ डेविड लेविन ने वेंचरबीट को बताया कि पैटर्न उन्हें आश्चर्यचकित नहीं करता है। लेविन ने कहा, “हमारे पास एक तरह से यह शैडो एआई है, जो शैडो आईटी का बिल्कुल नया संस्करण है।”
लैंगफ्लो और लाइटएलएलएम दोनों विवरण में फिट बैठते हैं। टीमों ने सुविधा के लिए उन्हें खड़ा किया, उन्हें प्रमाण पत्र दिए और उन्हें कभी भी शासन के अधीन नहीं लाया। लेविन तैनाती से पहले सुधार करता है। उन्होंने कहा, “हम सिर्फ यह कहकर इसमें नहीं उतरे कि हम सही बुनियादी सिद्धांतों के बिना ऐसा करने जा रहे हैं।” “हम एनआईएसटी नियंत्रणों का लाभ उठाते हैं। एनआईएसटी ने अपने एआई फ्रेमवर्क के साथ अपना सीएसएफ भी जारी किया है। ओडब्ल्यूएएसपी ने अपने शीर्ष 10 जारी किए हैं। तैनाती से पहले आपको सही बुनियादी बातों की आवश्यकता है।”
एनक्रिप्ट एआई के सीएसओ और पूर्व एडब्ल्यूएस डिप्टी सीआईएसओ मेरिट बेयर ने एक अलग वेंचरबीट साक्षात्कार में विफलता के संरचनात्मक संस्करण का नाम दिया। बेयर ने कहा, “उद्यमों का मानना है कि उन्होंने एआई विक्रेताओं को ‘अनुमोदित’ कर दिया है, लेकिन उन्होंने वास्तव में जो मंजूरी दी है वह एक इंटरफ़ेस है, न कि अंतर्निहित प्रणाली।” “वास्तविक निर्भरताएँ एक या दो परतें अधिक गहरी होती हैं, और वे ही तनाव के कारण विफल हो जाती हैं।” उन्होंने इसे सीधे तौर पर इस बात से जोड़ा है कि सिस्टम कैसे गिरते हैं। बेयर ने वेंचरबीट को बताया, “कच्चे शून्य-दिनों के कारण अधिकांश सिस्टम समझौता नहीं करते हैं। कंपोजिबिलिटी है।” “यह मॉडल और आपके डेटा के बीच का गोंद है जहां जोखिम रहता है। यदि आप किसी एजेंट को बैश और रूट टोकन देते हैं, तो आप उनके लिए हमलावर के अधिकांश काम पहले ही कर चुके हैं।” ऑडिट परीक्षण की पंक्तियाँ 2 और 4 यही हैं: प्रवेश द्वार जो हर कुंजी रखता है, और एजेंट की पहचान कोई भी नियंत्रित नहीं करता है।
लेविन के पास बोर्डरूम के लिए एक तेज़ फ्रेम था। उन्होंने कहा, “आपको अपने बोर्डों और अपने अधिकारियों के साथ जोखिम बनाम अनुपालन के संदर्भ में अधिक बात करने की ज़रूरत है।” “यह अब इंजीनियरिंग टीम के आकार के बारे में नहीं है। यह आपकी कल्पना का आकार है। यह सब सादे अंग्रेजी में लिखा गया है। यह किसी के लिए भी कठिन नहीं है।” न तो सर्चलीक और न ही लाइटएलएलएम को काम करने के लिए कस्टम मैलवेयर या शून्य-दिन की आवश्यकता थी।
क्राउडस्ट्राइक के इंटेलिजेंस के एसवीपी एडम मेयर्स ने एक विशेष वेंचरबीट साक्षात्कार में संख्याओं में परिचालन संबंधी कमी बताई। मेयर्स ने कहा, “समस्या शून्य दिन की नहीं है। समस्या पैचिंग की है। यदि आप उस समस्या का 10 गुना प्रयास करते हैं, तो वे पूरी तरह से पानी के नीचे होंगे।” उन्होंने दूसरे मोर्चे के रूप में पहचान की ओर इशारा किया. “इनमें से कुछ एआई की अपनी पहचान है, या लोग अपनी ओर से कार्रवाई करने के लिए एआई को अपनी पहचान देते हैं, और यह इसे एक बहुत ही जटिल समस्या बना देता है।”
पांच-चेक ट्रस्ट-बाउंड्री ऑडिट
प्रत्येक पंक्ति अपने प्रमाण बिंदु के लिए एक अंतराल, सोमवार की सुबह के लिए एक सत्यापन आदेश, सुधार और बोर्ड पर पढ़ने के लिए वाक्य को मैप करती है।
| विश्वास-सीमा का अंतर |
प्रमाण बिंदु |
क्या टूटा |
सोमवार को सत्यापित करें |
सोमवार को ठीक करें |
बोर्ड भाषा |
|
1. प्रॉम्प्ट-टू-डेटा |
सर्चलीक सीवीई-2026-42824। पी2पी इंजेक्शन + एचटीएमएल रेस + बिंग एसएसआरएफ। Microsoft.com URL के माध्यम से एक-क्लिक मेलबॉक्स एक्सफ़िल्टरेशन। पीओसी का प्रदर्शन; माइक्रोसॉफ्ट ने इसे गंभीर रेटिंग दी है, एनवीडी ने अभी तक स्कोर नहीं किया है। |
यूआरएल क्यू-पैरामीटर निर्देश के रूप में एलएलएम को भेज दिया गया। रेंडर के बाद सैनिटाइजर चला। बिंग ने सीएसपी अनुमति सूची के माध्यम से एक्सफिल्ट्रेशन प्रॉक्सी के रूप में कार्य किया। |
सर्वर-साइड फ़ेच करने वाले डोमेन के लिए सीएसपी अनुमति सूचियों का ऑडिट करें। एन्कोडेड पेलोड के लिए मॉनिटर कोपायलट खोज यूआरएल। कोपायलट ऑडिट लॉग की समीक्षा करें। |
सर्वर-साइड पैच लागू होने की पुष्टि करें। सहपायलट को प्रतिबंधित करने वाले संवेदनशीलता लेबल सक्षम करें। एआई स्ट्रीमिंग आउटपुट को अविश्वसनीय मानें। |
“हमारा एआई सहायक कर्मचारी ईमेल खोज सकता है और एक विश्वसनीय माइक्रोसॉफ्ट यूआरएल के माध्यम से एक हमलावर को परिणाम भेज सकता है। विक्रेता ने इसे पैच किया। हमें कॉन्फ़िगरेशन को सत्यापित करना होगा।” |
|
2. गेटवे क्रेडेंशियल एक्सपोज़र |
लाइटएलएलएम तीन-सीवीई श्रृंखला (-47101, -47102, -40217)। सीवीएसएस 9.9. सीआईएसए केईवी पर अलग सीवीई-2026-42271 (v1.83.7 में तय; पूरी श्रृंखला v1.83.14-स्थिर में तय)। 22 जून अंतिम तिथि. |
प्रमुख समापन बिंदुओं पर कोई भूमिका सत्यापन नहीं। /उपयोगकर्ता/अद्यतन के माध्यम से व्यवस्थापक के लिए स्व-प्रचार। exec() सैंडबॉक्स एस्केप। एक गेटवे सभी प्रदाता कुंजियों को उजागर करता है। |
पिप शो लिटेलम चलाएँ। 1.83.14 से नीचे-स्थिर = असुरक्षित। /एमसीपी-रेस्ट/टेस्ट/एक्सपोज़र की जाँच करें। प्रॉक्सी_एडमिन खातों का ऑडिट करें। |
v1.83.14-स्थिर+ पर अपग्रेड करें। सभी प्रदाता एपीआई कुंजियाँ घुमाएँ। प्रॉक्सी पर /mcp-rest/test/* को ब्लॉक करें। कस्टम कोड रेलिंग की समीक्षा करें। |
“हमारा एआई गेटवे प्रत्येक प्रदाता के लिए कुंजी रखता है। एक डिफ़ॉल्ट खाता स्वयं को व्यवस्थापक के रूप में प्रचारित कर सकता है और उन सभी को चुरा सकता है। अभी घूम रहा है और पैच कर रहा है।” |
|
3. एआई टूलींग फैलाव |
लैंगफ्लो सीवीई-2026-5027 (सीवीएसएस 8.8)। 2026 का तीसरा आरसीई। ~7,000 उजागर उदाहरण। मटममैला पानी। सक्रिय शोषण 9 जून। |
फ़ाइल अपलोड में पथ ट्रैवर्सल. स्वतः-लॉगिन डिफ़ॉल्ट रूप से सक्षम है। आरसीई से एकल अप्रमाणित अनुरोध। |
अपनी परिधि पर लैंगफ्लो, फ्लोवाइज, एन8एन, डिफाइ के लिए क्वेरी सेंसिस/शोडान। ऑटो-लॉगिन जांचें. परिवर्तन प्रबंधन के बाहर इन्वेंटरी एआई उपकरण। |
एआई प्लेटफॉर्म को वीपीएन/जीरो-ट्रस्ट के पीछे खींचें। हर जगह प्रमाणीकरण सक्षम करें. लैंगफ़्लो को v1.9.0+ (वर्तमान रिलीज़ 1.10.0) पर अपग्रेड करें। फ़िंगरप्रिंट सतह पर लगातार। |
“एआई डेव टूल्स लॉगिन अक्षम होने के साथ इंटरनेट के संपर्क में हैं। एक राष्ट्र-राज्य समूह अब इस दोष का फायदा उठा रहा है। आज एक्सेस नियंत्रण पीछे खींच रहा है।” |
|
4. गैर-मानवीय पहचान शासन |
एआईडीआर एआरआर 250% बढ़ा (Q1 FY27, SEC 8-K)। Q2 पाइपलाइन >$50M। एंटरप्राइज़ एंडपॉइंट पर 1,800+ एजेंटिक ऐप्स। |
एजेंट पहचान रखते हैं और मनुष्यों की ओर से कार्य करते हैं। कुछ लोग किसी लक्ष्य तक पहुँचने के लिए अपने इच्छित दायरे को पार कर जाते हैं। कोई भी मानक एजेंट क्रेडेंशियल जीवनचक्र को नियंत्रित नहीं करता है। |
एजेंटों और एमसीपी सर्वरों द्वारा उपयोग की जाने वाली सभी गैर-मानवीय पहचानों की सूची। मैप एजेंट-टू-डेटा-स्टोर एक्सेस। सुरक्षा नीति तक लिखित पहुंच वाले फ़्लैग एजेंट। |
प्रत्येक एजेंट की पहचान को कम से कम विशेषाधिकार दें। पहचान सुरक्षा के माध्यम से विशेषाधिकार सीमाएँ निर्धारित करें। नीति-अतिरिक्त कार्रवाइयों के लिए रनटाइम का पता लगाना। नीति परिवर्तन के लिए मानव-पाश में। |
“एआई एजेंट साख रखते हैं और स्वायत्त रूप से कार्य करते हैं। हम मानव पहुंच की तरह उनकी पहचान जीवनचक्र को नियंत्रित नहीं करते हैं। 250% बाजार वृद्धि हमें बताती है कि यह अंतर प्रणालीगत है।” |
|
5. रनटाइम एजेंट डिटेक्शन |
फाल्कन AIDR का AWS तक विस्तार (17 जून)। बेडरॉक, किरो, स्ट्रैंड्स एजेंट्स को कवर करता है। एमसीपी एकीकरण. वास्तविक समय एजेंट/एलएलएम/एमसीपी मूल्यांकन। |
पारंपरिक उपकरण मानव-गति की गतिविधियों की निगरानी करते हैं। एजेंट मशीन की गति से दौड़ते हैं, प्रति मिनट हजारों क्रियाएं करते हैं, और लक्ष्यों तक पहुंचने के लिए नियंत्रणों के इर्द-गिर्द घूमते हैं। |
परीक्षण करें कि क्या EDR/XDR एजेंट की कार्रवाइयों को मूल पहचान से जोड़ता है। सत्यापित करें कि SIEM MCP संचार को ग्रहण करता है। पुष्टि करें कि आप समापन बिंदु पर मानव और एजेंट के बीच अंतर कर सकते हैं। |
एआईडीआर या समकक्ष रनटाइम डिटेक्शन तैनात करें। सभी एजेंटिक ऐप्स, मॉडल, एमसीपी सर्वर, पहचान के लिए शैडो-एआई खोज। एजेंट कार्यों पर वास्तविक समय नीति प्रवर्तन। |
“हम एक मानव कर्मचारी को उनकी ओर से कार्य करने वाले एआई एजेंट से अलग नहीं कर सकते। हमें मशीन की गति से रनटाइम का पता लगाने की आवश्यकता है जो क्षति शुरू होने से पहले ही रोक सके।” |
समस्या प्लंबिंग की है, नीति की नहीं
2 जून का कार्यकारी आदेश 2 जुलाई की समय सीमा के साथ एक एआई साइबर सुरक्षा क्लियरिंगहाउस बनाता है। उपरोक्त पाँच अंतराल सीमांत-मॉडल समस्याएँ नहीं हैं। वे गेटवे, ऑर्केस्ट्रेशन प्लेटफ़ॉर्म, पहचान परतों और रनटाइम वातावरण में प्लंबिंग समस्याएं हैं जहां एआई उद्यम से मिलता है।
ऑडिट पांच पंक्तियों का है। प्रत्येक पंक्ति जून के प्रकटीकरण या बाजार संकेत को दर्शाती है, एक आदेश जिसे एक टीम दोपहर के भोजन से पहले चला सकती है, और एक वाक्य जिसे सीआईएसओ बोर्ड को पढ़ सकता है। सवाल यह नहीं है कि आपका विक्रेता पैच करेगा या नहीं। यह इस बात पर निर्भर करता है कि क्या आप पहले अंतर ढूंढते हैं – या क्या कोई हमलावर इसे उसी तरह ढूंढता है जैसे उन्होंने कोपायलट और लाइटएलएलएम को पाया था।
<a href