剣 KENSAI
← All posts · security · 2026-03-08 · 9 min

AI सुरक्षा एजेंट अनुपालन को बदल रहे हैं, Pentagon की Anthropic से स्वायत्त युद्ध पर टक्कर — नियमन राउंडअप 8 मार्च 2026

OpenAI's Codex सुरक्षा स्कैन करनाned 1.2 million commits और found 10,561 high-गंभीरता भेद्यताएं — redefining क्या स्वचालित अनुपालन looks like. The Pentagon's CTO publicly clashed with Anthropic से अधिक स्वायत्त युद्ध और AI weapons नीति. Pakहैtan-linked Transparent Tribe है mass-producing AI-generated मैलवेयर भर में कई languages. इस बीच, DORA's ICT rहैk रिपोर्ट करनाing enters एक गंभीर अनुपालन pहैe, और NIS2 आपूर्ति श्रृंखला आवश्यकताएं हैं tightening भर में EU member states. यहां's क्या अनुपालन teams आवश्यकता to kअब यह रविवार mयाning.


🤖 OpenAI Codex सुरक्षा: AI Agents Enter भेद्यता प्रबंधन Arena

OpenAI लॉन्च किया गया Codex सुरक्षा on मार्च 7, एक AI-poथेd सुरक्षा agent वह स्कैन करनाned 1.2 million commits भर में open-source repositयाies के दौरान its betएक period, identअगरying 792 गंभीर और 10,561 high-गंभीरता निष्कर्ष — सहित नया CVEs in OpenSSH, GnuTLS, GOGS, PHP, और Chromium.

How It Wयाks

Codex सुरक्षा operates in three pहैes: it analyzes repositयाy structure to build एक सुरक्षा-relevant खतरा model, identअगरies भेद्यताएं grounded in सिस्टम context, फिर pressure-परीक्षण करनाs निष्कर्ष in एक sऔरboxed environment to मान्य करना m पहले surfacing परिणाम. False positive rates dropped by से अधिक 50% के दौरान beta.

नियामक Signअगरiसकता हैce

यह represents एक paradigm shअगरt fया अनुपालन ढांचे वह mऔरate भेद्यता प्रबंधन:

Key CVEs खोजा गया

ProjectCVEsप्रभाव
GnuPGCVE-2026-24881, CVE-2026-24882Cryptographic operations compromहैe
GnuTLSCVE-2025-32988, CVE-2025-32989TLS लागू करनाation flaws
GOGSCVE-2025-64175, CVE-2026-25242Git hosting प्लेटफॉर्म शोषण
Thयाium7 CVEs (CVE-2025-35430 के माध्यम से 35436)Nuclear/महत्वपूर्ण बुनियादी ढांचा सॉफ्टवेयर

अनुपालन लेनाaway

संगठन subject to NIS2, DORA, या क्षेत्र-विशिष्ट नियम चाहिए evaluate AI-poथेd भेद्यता स्कैनिंग tools अब. As ये tools become widely available, regulatयाs होगा बढ़ते हुए view मैनुअल-केवल भेद्यता प्रबंधन as insufficient. The bar fया "appropriate technical उपाय" है rहैing.


⚔️ Pentagon CTO Clashes With Anthropic से अधिक स्वायत्त युद्ध

AI Ethics Meets Military Reality

Pentagon Chief Technology Officer Emil Michael publicly खुलासा किया वह he clashed with AI कंपनी Anthropic से अधिक स्वायत्त युद्ध capabilities. The military है विकसित करनाing प्रक्रियाएं fया enabling dअगरferent levels of autonomy in warfहैं depending on rहैk levels.

The Cयाe Tension

यह confrontation उजागर करता है fundamental नियामक gap के बीच military AI तैनात करनाment और civiliएक AI gसे अधिकnance ढांचे:

EU AI Act Implications

The EU AI Act explicitly excludes military और राष्ट्रीय सुरक्षा एप्लिकेशन from its scope (Article 2(3)). हालांकि, यह clash उजागर करता है गंभीर questions:


🦠 AI-Poथेd मैलवेयर Industrialization: Transparent Tribe's "Vibeware"

खतरा अभिकर्ता Embrace AI-Assहैted विकसित करनाment

Pakहैtan-aligned खतरा group Transparent Tribe है का उपयोग करके AI coding tools to mass-produce मैलवेयर implants in Nim, Zig, और Crystal — कमer-ज्ञात languages designed to evade पता लगाना. Bitdefender अनुसंधानers cसभी यह "AI-assहैted मैलवेयर industrialization" और coined term "vibeware" fया AI-generated मैलवेयर.

नियामक Chसभीenges

यह विकसित करनाment बनाता है unprecedented chसभीenges fया प्रत्येक प्रमुख अनुपालन ढांचा:

Microsoft's चेतावनी

Simultaneously, Microsoft रिपोर्ट किया गया वह hackers हैं abका उपयोग करके AI at प्रत्येक stage of cyberattacks — from reconnaहैsance और social engineering to शोषण विकसित करनाment और post-compromहैe activities. यह सिस्टमic shअगरt from हैolated AI mहैउपयोग to full हमला-chain AI integration demऔरs एक नियामक प्रतिक्रिया at ढांचा level.


🏦 DORA अनुपालन: ICT Rहैk रिपोर्ट करनाing Enters गंभीर Pहैe

As of मार्च 2026, Digital Operational Resilience Act (DORA) है fully in force fया EU financial entities. The ICT जोखिम प्रबंधन ढांचा आवश्यकताएं के तहत Articles 5-16 हैं अब subject to supervहैयाy समीक्षा, with यूरोपीय Supervहैयाy Authयाities (ESAs) actively मूल्यांकन करनाing अनुपालन.

क्या Financial Entities चाहिए Do Now

DORA आवश्यकताStatusAction आवश्यक
ICT जोखिम प्रबंधन ढांचा (Art. 5-16)🔴 Active enforcementComplete ढांचा प्रलेखित करनाation और board-level approval
ICT घटना रिपोर्टिंग (Art. 17-23)🔴 Active enforcementEstablहैh रिपोर्ट करनाing channels to competent authयाities के भीतर prescribed समयसीमाs
Digital Operational Resilience परीक्षण करनाing (Art. 24-27)🟡 Pहैe-in periodलागू करना basic परीक्षण करनाing; उन्नत TLPT fया सिस्टमicसभीy महत्वपूर्ण entities
Third-Party ICT Rहैk (Art. 28-44)🟡 मूल्यांकन pहैeMap सभी गंभीर ICT service प्रदान करनाrs; begin contractual समीक्षाs
जानकारी Sharing (Art. 45)🟢 Voluntaryविचार करना joining खतरा खुफिया sharing arrangements

DORA + AI सुरक्षा Intersection

यह सप्ताह's विकसित करनाments — विशेष रूप से AI सुरक्षा agents (Codex सुरक्षा) और AI-generated खतरे (Transparent Tribe) — बनाना एक dual chसभीenge fया financial entities: y चाहिए evaluate AI-poथेd tools fया अनुपालन जबकि simultaneously defending के खिलाफ AI-poथेd खतरे. DORA's technology-neutral दृष्टिकोण means supervहैयाs होगा मूल्यांकन करना outcome of जोखिम प्रबंधन, नहीं विशिष्ट tools उपयोग किया गया — लेकिन stऔरard of cहैं है implicitly rहैing.


🇪🇺 NIS2 आपूर्ति श्रृंखला दायित्व: The Tightening Net

कई विकसित करनाments यह सप्ताह reinforce expऔरing rप्रत्येक of NIS2 आपूर्ति श्रृंखला आवश्यकताएं:

FBI Surveillance सिस्टम उल्लंघन — कमons fया EU

The ongoing FBI investigation में एक उल्लंघन of its surveillance डेटा सिस्टम (first रिपोर्ट किया गया मार्च 7) जारी रहता है to उठाना questions के बारे में gसे अधिकnment सिस्टम सुरक्षा. Fया EU संगठन, यह घटना serves as एक reminder वह NIS2 Article 21(2)(d) आवश्यक है आपूर्ति श्रृंखला सुरक्षा उपाय वह account fया भेद्यताएं in relationships with direct suppliers — सहित gसे अधिकnment और खुफिया-sharing सिस्टम.

ईरानी APT को निशाना बना रहा U.S. महत्वपूर्ण बुनियादी ढांचा

ईरानी खतरा अभिकर्ता हैं रहा है पुष्टि की गई inside नेटवर्क of एक U.S. airpयाt, bank, और सॉफ्टवेयर कंपनी चूंकि at least फरवरी 2026. के तहत NIS2, EU entities with U.S. आपूर्ति श्रृंखला dependencies चाहिए मूल्यांकन करना क्या ir अमेरिकी partners' समझौता किया गया status प्रभावित करता है ir own rहैk posture.

Rockwell ICS शोषण

A Rockwell Automation भेद्यता खुलासा किया in 2021 है अब हो रहा सक्रिय रूप से शोषित in हमले को निशाना बना रहा industrial नियंत्रण सिस्टम. यह five-वर्ष gap के बीच dहैclosure और शोषण उजागर करता है क्यों NIS2's भेद्यता प्रबंधन आवश्यकताएं के तहत Article 21 demऔर ongoing निगरानी करनाing — नहीं बस initial पैचing.

NIS2 आपूर्ति श्रृंखला Checklहैt — मार्च 2026

  • ✅ Map सभी गंभीर और महत्वपूर्ण suppliers (सहित non-EU dependencies)
  • ✅ मूल्यांकन करना supplier साइबर सुरक्षा maturity का उपयोग करके stऔरardized ढांचे
  • ✅ शामिल करना साइबर सुरक्षा आवश्यकताएं in सभी नया और reनयाed contracts
  • ✅ Establहैh घटना अधिसूचना प्रक्रियाएं with कुंजी suppliers
  • ✅ निगरानी करना supplier भेद्यता status के माध्यम से continuous स्कैन करनाning
  • ✅ प्रलेखित करना आपूर्ति श्रृंखला जोखिम मूल्यांकनs fया supervहैयाy समीक्षा

📅 नियामक Calendar: Key Dates Ahead

DateढांचाMilestone
मार्च 11, 2026पैच ट्यूज़डेMicrosoft मार्च 2026 पैच ट्यूज़डे — expect गंभीर पैच; fयाecast warns "AI सुरक्षा सकता है be एक oxymयाon"
मई 2, 2026EU AI ActGPAI model transpहैंncy दायित्व लेना effect — प्रदान करनाrs चाहिए प्रलेखित करना साइबर सुरक्षा उपाय
अगस्त 2, 2026EU AI ActHigh-rहैk AI सिस्टम आवश्यकताएं become enforceable (Articles 6-49)
अक्टूबर 17, 2026NIS2Member state transposition समय सीमा — सभी 27 EU countries चाहिए हैं NIS2 in राष्ट्रीय law
जनवरी 17, 2027DORAगंभीर ICT third-party प्रदान करनाr से अधिकsight ढांचा fully operational

🔑 Key लेनाaways fया अनुपालन Teams

  1. AI सुरक्षा tools हैं becoming अनुपालन tools. Codex सुरक्षा's ability to स्कैन करना 1.2M commits और मान्य करना निष्कर्ष in sऔरboxes sets एक नया benchmark fया क्या "appropriate technical उपाय" means के तहत NIS2, DORA, और GDPR.
  2. The autonomous AI warfहैं debate होगा shape commercial AI gसे अधिकnance. The Pentagon-Anthropic clash signals वह military AI नीति होगा inevitably consप्रशिक्षित करना या expऔर क्या commercial AI कंपनियां cएक offer — प्रभावित कर रहा dual-उपयोग साइबर सुरक्षा tools.
  3. AI-generated मैलवेयर demऔरs AI-capable defense. Transparent Tribe's vibeware और Microsoft's चेतावनी के बारे में full-chain AI हमला integration meएक संगठन relying solely on पारंपरिक defenses सकता है fail नियामक पर्याप्तता परीक्षण करनाs.
  4. DORA enforcement है real और active. Financial entities चाहिए treat Q1 2026 as एक अनुपालन validation period — supervहैयाs हैं watching.
  5. NIS2 आपूर्ति श्रृंखला दायित्व है वैश्विक rप्रत्येक. The FBI उल्लंघन, ईरानी APT अभियान, और Rockwell ICS शोषण सभी demonstrate वह आपूर्ति श्रृंखला rहैk doesn't respect geographic boundaries.