नई दिल्ली। दुनिया की सबसे सुरक्षित तकनीकी कंपनियों में गिनी जाने वाली Google की डिजिटल संरचना में एक स्वतंत्र सुरक्षा शोधकर्ता ने आर्टिफिशियल इंटेलिजेंस (AI) की मदद से ऐसी कमजोरियां खोज निकालीं, जिनके कारण कंपनी को लाखों डॉलर का बग बाउंटी इनाम देना पड़ा। शोधकर्ता, जो ऑनलाइन “brutecat” नाम से पहचाने जाते हैं, ने दावा किया है कि उन्होंने मात्र तीन महीनों के भीतर Google के लगभग 1,500 API और आंतरिक सिस्टम की जांच कर 20 से अधिक गंभीर सुरक्षा खामियां उजागर कीं।
इन कमजोरियों के लिए Google ने उन्हें कुल 5 लाख डॉलर से अधिक यानी करीब ₹4.29 करोड़ का बग बाउंटी भुगतान किया। यह हाल के वर्षों में AI-संचालित सुरक्षा अनुसंधान के सबसे चर्चित मामलों में से एक माना जा रहा है।
रिपोर्ट के अनुसार शोधकर्ता ने सबसे पहले Google के “डिस्कवरी डॉक्यूमेंट्स” का अध्ययन किया। ये ऐसे मशीन-पठनीय दस्तावेज होते हैं जिनमें API एंडपॉइंट्स, पैरामीटर और सिस्टम संरचना से जुड़ी जानकारी होती है। इनमें कई सार्वजनिक API के साथ-साथ कुछ आंतरिक सेवाओं से संबंधित दस्तावेज भी शामिल थे, जिन्हें सामान्यतः बाहरी उपयोगकर्ताओं के लिए उपलब्ध नहीं माना जाता।
इसके बाद शोधकर्ता और उनके सहयोगी ने हजारों एंड्रॉयड एप्लिकेशन और iOS फाइलों का विश्लेषण कर बड़ी संख्या में API कुंजियां एकत्रित कीं। रिपोर्ट के मुताबिक 60,000 से अधिक एंड्रॉयड APK और हजारों अन्य स्रोतों की जांच के बाद लगभग 3,600 वैध API कुंजियां हासिल की गईं, जिनके जरिए Google की विभिन्न सेवाओं तक पहुंच का परीक्षण किया गया।
सबसे गंभीर खामियों में से एक Google Voice और Google Fiber से जुड़ी सेवा में पाई गई। शोधकर्ता के अनुसार एक साधारण अनुरोध के जरिए किसी उपयोगकर्ता की निजी जानकारी, फोन नंबर और अकाउंट रिकवरी नंबर तक पहुंच संभव थी। इतना ही नहीं, कथित रूप से किसी भी फोन नंबर को बिना अनुमति पीड़ित के Google खाते से जोड़ने की संभावना भी मौजूद थी। Google ने इस कमजोरी को अत्यंत गंभीर श्रेणी में रखा और कुछ घंटों के भीतर इसे ठीक कर दिया।
FutureCrime Summit 2026: Registrations to Open Soon for India’s Biggest Cybercrime Conference
जांच के दौरान विज्ञापन प्लेटफॉर्म, YouTube, Widevine DRM, Translation Hub, Vertex AI Search, Cloud Console GraphQL और अन्य कई सेवाओं में भी पहुंच नियंत्रण संबंधी खामियां सामने आईं। कुछ मामलों में संवेदनशील डेटा तक पहुंच, उपयोगकर्ता अधिकारों में अनधिकृत बदलाव और आंतरिक संसाधनों की जानकारी हासिल करना संभव पाया गया।
शोधकर्ता ने अपनी जांच प्रक्रिया में Claude AI आधारित एक स्वचालित परीक्षण प्रणाली विकसित की थी। इस प्रणाली को विभिन्न API की जांच, संभावित कमजोरियों की पहचान और संदिग्ध गतिविधियों की रिपोर्ट तैयार करने के लिए प्रशिक्षित किया गया। समय के साथ इसमें कई सुधार किए गए, जिसके बाद यह सिस्टम बड़ी संख्या में API का स्वतः परीक्षण करने में सक्षम हो गया।
साइबर सुरक्षा विशेषज्ञों का कहना है कि यह घटना दर्शाती है कि आर्टिफिशियल इंटेलिजेंस अब केवल सुरक्षा रक्षा का उपकरण नहीं रह गया है, बल्कि इसका उपयोग बड़े पैमाने पर कमजोरियों की खोज के लिए भी किया जा सकता है। जिस कार्य में पहले महीनों या वर्षों का समय लगता था, वही अब उन्नत AI प्रणालियों की मदद से अपेक्षाकृत कम समय में संभव हो रहा है।
एक Researcher at Algoritha Security ने कहा कि AI आधारित स्वचालित परीक्षण प्रणालियां सुरक्षा शोध को नई दिशा दे रही हैं। हालांकि इनका जिम्मेदारी से उपयोग बेहद आवश्यक है, क्योंकि यही तकनीक गलत हाथों में जाकर बड़े साइबर हमलों को भी अधिक प्रभावी बना सकती है।
Google ने सभी रिपोर्ट की गई कमजोरियों को जिम्मेदार प्रकटीकरण प्रक्रिया के तहत स्वीकार किया और अधिकांश खामियों को ठीक कर दिया है। यह मामला तकनीकी उद्योग के लिए एक महत्वपूर्ण संकेत माना जा रहा है कि AI युग में सुरक्षा परीक्षण के तरीके तेजी से बदल रहे हैं और बड़ी कंपनियों को भी अपने आंतरिक सिस्टम की लगातार समीक्षा करनी होगी।
