महँगो पर्यो ‘एआई गर्लफ्रेन्ड’ सँगको रोमान्स, करोडौं प्रयोगकर्ताका गोप्य डेटा ह्याकरको पहुँचमा
चैत ७, २०८२ १५:१४
काठमाडौँ । आत्मीयता र प्रेमका लागि आर्टिफिसियल इन्टेलिजेन्स (एआई) को प्रयोग गर्ने लाखौं मानिस अहिले साइबर सुरक्षाको जोखिममा परेका छन् । अनुसन्धानकर्ताले अधिकांश लोकप्रिय ‘एआई गर्लफ्रेन्ड’ र कम्प्यानियन (भर्चुअल साथी) एपमा सुरक्षा कमजोरी फेला पारेका हुन् । यसले गर्दा प्रयोगकर्ताका अति गोप्य र अन्तरंग विवरण ह्याकरको पहुँचमा पुगेको खुलासा भएको छ ।
साइबर सुरक्षा फर्म ‘ओभरसेक्योर्ड’ले गरेको अध्ययन अनुसार गुगल प्ले स्टोरमा रहेका १७ ओटा एआई कम्प्यानियन एपमा १४ अति गम्भीर र ३११ उच्च जोखिमयुक्त सुरक्षा कमजोरी फेला परेका छन् । यी एपहरू सामूहिक रूपमा १५ करोडभन्दा बढी पटक डाउनलोड भइसकेका छन् ।
अनुसन्धानका अनुसार कम्तीमा ६ ओटा एआई गर्लफ्रेन्ड एपबाट ह्याकरले प्रयोगकर्ताका कुराकानी (च्याट) सजिलै ह्याक गर्नसक्ने अवस्था छ । यी कुराकानी नितान्त व्यक्तिगत, अश्लील र सबैभन्दा चिन्ताजनक कुरा- प्रयोगकर्ताको वास्तविक पहिचानसँग जोडिएका छन् ।
एआईलाई आफ्नो रोमान्टिक साथी मानेर प्रयोगकर्ताले आफ्ना यौन कल्पना, अनैतिक सम्बन्धका विवरण, आफ्नै पहिचानका द्विविधा र कतिपय अवस्थामा आत्महत्या गर्ने सोच जस्ता अति संवेदनशील कुरा शेयर गरिरहेका छन् । अध्ययन गरिएका १७ मध्ये १० ओटा एपमा यस्ता कमजोरी भेटिएका छन्, जसले एआई बटसँग गरिएका कुराकानीसम्म पुग्ने बाटो ह्याकरलाई खुला गरिदिएको छ । यसको अर्थ प्रयोगकर्ताहरूले सामान्य मेसेजिङ एपभन्दा पनि कमजोर सुरक्षा भएको सिस्टममा आफ्ना सबैभन्दा गहिरा र गोप्य रहस्य सुम्पिरहेका छन् ।
जेन-जी र मिलेनियल पुस्ताका पुरुषमा गरिएको एक सर्वेक्षण अनुसार ४३ प्रतिशत पुरुष वास्तविक डेटिङलाई आर्थिक रूपमा बोझिलो मान्छन् । अर्कोतर्फ करिब २० प्रतिशत (५ मध्ये १) पुरुषले एआईसँग ‘फ्लर्ट’ गरेको स्वीकार गरेका छन् भने ४७ प्रतिशत पुरुषको बुझाइमा भर्चुअल एआई डेटिङले उनीहरूको भावनात्मक आवश्यकता पूरा गर्न सक्छ । दैनिक जीवनका हरेक क्षेत्रमा एआईको प्रवेश भइरहँदा मानिसको व्यक्तिगत जीवनमा पनि यसको प्रभाव बढ्नु स्वाभाविक देखिएको छ ।
कसरी भइरहेको छ डेटा चोरी ?
अनुसन्धानकर्ताका अनुसार एक करोडभन्दा बढी डाउनलोड भएको एउटा एपको कोडभित्रै ‘ओपनएआई एपीआई टोकन’ र ‘गुगल क्लाउड प्राइभेट की’ जस्ता अति महत्त्वपूर्ण पासवर्ड राखिएको पाइएको छ । यसलाई सामान्य रिभर्स इन्जिनियरिङबाटै निकाल्न सकिने विज्ञहरूले बताएका छन् ।
त्यसैगरी अर्को एउटा एपमा ‘क्रस-साइट स्क्रिप्टिङ’ (एक्सएसएस) को कमजोरी छ । यसले गर्दा ह्याकरले निजी च्याटभित्रै मालिसियस कोड पठाउन सक्छन् । यसबाट रियल-टाइम मेसेज हेर्ने, सेसन हाइज्याक गर्ने वा च्याटभित्रै नक्कली रिप्लाई पठाउने जस्ता काम गर्न सकिन्छ । तेस्रो कमजोरीका रूपमा अश्लील सामग्रीका लागि चिनिएको एउटा एपबाट ह्याकरले च्याट डेटाबेस, फोटो, भ्वाइस मेसेज र अथेन्टिकेसन टोकन नै चोर्न सक्ने अवस्था छ ।
त्यसैगरी पाँच करोड डाउनलोड भएको एउटा एपको विज्ञापन सफ्टवेयरमा कमजोरी भेटिएको छ । एउटा सामान्य मालिसियस विज्ञापनको भरमा प्रयोगकर्ताको च्याट स्टोर भएको डेटाबेसमा सिधै आक्रमण गर्न सकिने जोखिम देखिएको छ । अनुसन्धानकर्ताका अनुसार भर्खरै पत्ता लागेका यी धेरैजसो कमजोरी अझै समाधान गरिएका छैनन् ।
यति संवेदनशील डेटा शेयर भइरहे पनि यसको नियमन भने निकै पछाडि छ । एआई गर्लफ्रेन्ड वा कम्प्यानियन एपलाई स्वास्थ्य सेवा वा थेरापी उत्पादनको रूपमा वर्गीकरण गरिएको छैन । त्यसैले यसमा अस्पतालको रेकर्ड जोगाउने अमेरिकी ‘HIPAA’ जस्ता कानुनी प्रावधान लागु हुँदैनन् ।
ओभरसेक्योर्डका संस्थापक सर्गेई तोसिन भन्छन्, “यी एपहरूले थेरापी प्लेटफर्म जत्तिकै फरक तर अति संवेदनशील डेटा ह्यान्डल गर्छन् । तर यी एप यति छिटो लोकप्रिय भए कि सामान्य सुरक्षा मापदण्डलाई यसको निर्माण प्रक्रियामा कहिल्यै समावेश नै गरिएन ।”
धेरैजसो यस्ता एप केवल ‘र्यापर्स’ (Wrappers) हुन् । यसको अर्थ उनीहरूले ओपनएआई वा गुगल जस्ता थर्ड-पार्टी एआई मोडल प्रयोग गर्छन् र त्यसमा आफ्नो इन्टरफेस र पेमेन्ट सिस्टम मात्र थप्छन् । एआई प्रोभाइडरले मोडल मात्र सम्हाल्छ । तर, डेटा भण्डारण र सुरक्षा ‘र्यापर’ डेभलपरको जिम्मामा हुन्छ । अनुसन्धानमा भेटिएका सबै कमजोरी यही ‘र्यापर’ लेभलमा भेटिएका हुन्, जसको सुरक्षा ठुला एआई कम्पनीले गर्दैनन् ।
कारबाही र विगतका ठुला डेटा लिक
नियामक निकाय यो समस्याबारे विस्तारै जानकार हुँदैछन् । सन् २०२५ मा इटालीका नियामकले ‘रेप्लिका’ नामक एपको डेभलपरलाई प्रयोगकर्ताको डेटा गैरकानुनी रूपमा प्रशोधन गरेको, गोपनीयता सम्बन्धी जानकारी नदिएको र बालबालिकालाई रोक्ने संयन्त्र नराखेको भन्दै ५० लाख युरो जरिवाना तिराएका थिए ।
युरोपेली युनियनको ‘एआई एक्ट’ले च्याटबटलाई आफू एआई भएको खुलाउनुपर्ने र संवेदनशील प्रयोगकर्तालाई म्यानुपुलेट गर्न नपाउने नियम बनाएको छ । तर च्याटको सुरक्षा कसरी गर्ने भन्नेबारे यसले स्पष्ट बोलेको छैन ।
हाल पत्ता लागेका कमजोरी केवल सुरुवात मात्र हुन सक्ने विज्ञको चेतावनी छ । यसअघि नै ‘मुआह डट एआई’ (Muah.ai) नामक एआई गर्लफ्रेन्ड वेबसाइट ह्याक हुँदा प्रयोगकर्ताका यौन कल्पना र कस्टम बट सार्वजनिक भएका थिए ।
त्यसैगरी अनुसन्धानकर्ताले यसअघि ‘च्याटी च्याट’ (Chattee Chat) र ‘गिमे च्याट’ (GiMe Chat) एपबाट ४ लाख प्रयोगकर्ताका चार करोड ३० लाखभन्दा बढी मेसेज र ६ लाखभन्दा बढी तस्बिर तथा भिडिओ लिक भएको खुलासा गरेका थिए । लिक भएको उक्त डेटामा कतिपय मानिसले आफ्ना भर्चुअल पार्टनरका लागि हजारौं डलर खर्च गरेको ‘पर्चेज हिस्ट्री’ समेत बाहिरिएको थियो ।
पछिल्लो अध्यावधिक: चैत ७, २०८२ १५:३४
