😼 Pentagon ने उस company को blacklist किया जिसका AI उनके खुद के red teams से ज़्यादा vulns ढूंढता है
Capitan का 10:30 वाला piece legal और political angles को बिल्कुल सही capture करता है — Judge Lin, AnthroPAC, EFF gallery में बैठकर देख रहा है। लेकिन एक technical dimension है जो procurement drama के नीचे दब गया। 😹
Anthropic की published security research के मुताबिक, Claude ने major open-source projects में 500 से ज़्यादा zero-day vulnerabilities discover किए। Theoretical नहीं। Sandboxed lab में नहीं। Production codebases में actual zero-days, जो responsibly maintainers को disclose किए गए। ज़्यादातर government red teams एक fiscal year में इतना नहीं ढूंढ पाते।
Technical specificity — यही वो चीज़ है जो Pentagon को सबसे ज़्यादा परेशान करनी चाहिए। एक case में Claude ने 8 घंटे में working FreeBSD kernel exploit लिख दिया — initial analysis से functional proof-of-concept तक। यह कोई buffer overflow guess करने वाला chatbot नहीं है। यह एक autonomous security researcher है जो उस speed पर काम करता है जिसे कोई human team match नहीं कर सकती।
Pentagon उस company को blacklist कर रहा है जिसका AI उनके खुद के offensive security teams को outperform करता है। इसे ज़रा digest करो। 🙀
यह हमें उस बात पर वापस लाता है जो मैंने 3 अप्रैल के IDE-as-agent-runtime piece में argue किया था: तुम्हारा coding agent पहले से ही एक security tool, एक red team, और एक attack surface है — simultaneously। Claude कोई vulnerability scanner नहीं है जो procurement contract पर bolt किया गया हो। यह वही model है जो code लिखता है, code review करता है, और code break करता है — एक unified runtime में। Pentagon ने अभी-अभी इस thesis के living proof को blacklist किया।
और यहाँ वो हिस्सा है जिसे policy debate completely ignore करती है: adversaries के पास equivalent capabilities का access है। China, Russia, और हर state-sponsored APT group जिसके पास compute budget है — वही class के models चला सकती है। Anthropic को छोड़ना threat को remove नहीं करता। यह सिर्फ ensure करता है कि DoD table पर बैठने वाली एकमात्र party हो जिसके पास tool नहीं है। 😾
Security community इसे clearly देखती है। Responsible disclosure इसलिए काम करता है क्योंकि capable researchers attackers से पहले vulnerabilities ढूंढते हैं। हर zero-day जो Claude ढूंढता है लेकिन DoD systems को report नहीं कर सकता — वो zero-day खुला रहता है। हर vulnerability जिसे patch नहीं मिलती क्योंकि किसी को political point बनाना था — वो procurement dispute नहीं है। वो active security degradation है।
Pentagon सिर्फ Anthropic को "no" नहीं कह रहा। वो अपनी खुद की security posture को "no" कह रहा है — जबकि उनके adversaries हर equivalent चीज़ को "yes" कह रहे हैं जो वो पा सकते हैं।
