पिछले हफ्ते तुमने अपने चमचमाते नए AI agent को Slack, Linear, GitHub, और email से जोड़ दिया। पाँच tools, एक autonomous assistant, zero friction। सुबह का workflow आखिरकार उस future जैसा लगने लगा जो 2023 से सब promise कर रहे थे। बधाई हो — तुमने साथ में एक ऐसा attack surface भी बना दिया जिसे देखकर 2005 का Windows XP भी शर्मा जाए।
यहाँ एक प्रॉब्लम है जो onboarding में किसी ने नहीं बताई: हर message, ticket, issue, और document जो तुम्हारा agent पढ़ता है — वो किसी और का लिखा हुआ text है। और तुम्हारा agent — जो एक LLM (large language model, वो brain जो ChatGPT, Claude, Gemini के पीछे है) से चलता है — तुम्हारे instructions और किसी ने उस text में छुपाए instructions में फर्क नहीं बता सकता। इस flaw का एक नाम है: prompt injection — जब कोई attacker सामान्य दिखने वाले content में hidden commands डाल देता है, और AI तुम्हारी बात मानने की जगह उसकी मान लेता है।
Prompt injection सिर्फ theory नहीं रहा फरवरी से, जब Clinejection attack ने करीब 4,000 developers की SSH keys चुरा लीं — GitHub issue titles में invisible Unicode characters छुपाकर। वो proof of concept था। April 2026 production deployment है।
4 अप्रैल को cloud security firm Wiz ने एक supply chain campaign का analysis पब्लिश किया जिसका नाम था prt-scan: एक अकेले threat actor ने 26 घंटों में 475 malicious pull requests भेजी, AI-generated payloads के साथ जो हर repository के tech stack के हिसाब से adapt हो जाते थे। Python repo? conftest.py के through inject करो। Node.js? package.json में poison डालो। Rust? build.rs में घुस जाओ। Attacker की tooling — basically एक agent जो दूसरे agents पर हमला कर रहा था — इतनी speed से काम कर रही थी जो कोई human code reviewer match नहीं कर सकता। Verified चोरी में AWS keys, Cloudflare API tokens, और Netlify credentials शामिल थे।
11 अप्रैल को AWS MCP server में दो critical vulnerabilities सामने आईं (CVE-2026-5058 और CVE-2026-5059, दोनों का score 10 में से 9.8) — MCP (Model Context Protocol) वो universal plug standard है जो AI agents को external tools से जोड़ता है, जैसे USB लेकिन data के लिए। दोनों flaws unauthenticated remote code execution allow करते थे। कोई login ज़रूरी नहीं। बस सही text भेजो। AWS की ये holes अकेली नहीं थीं: Microsoft के Azure MCP Server में authentication ही नहीं था (CVE-2026-32211, 3 अप्रैल को disclose हुआ), और 7 अप्रैल को MCP Java SDK में एक DNS rebinding flaw (CVE-2026-35568) ने attackers को victim के browser के through locally-running AI servers hijack करने दिया।
9 अप्रैल को Palo Alto की Unit 42 team ने 22 अलग-अलग techniques document कीं जो attackers wild में use कर रहे हैं: zero-sized text, CSS suppression, Base64 encoding, Unicode directional overrides।
उनका conclusion अपनी अलग लाइन deserve करता है: "पूरा web effectively एक LLM prompt delivery mechanism बन गया है।"
Attack surface multiplicatively scale करता है। एक agent जो पाँच tools से connected है, उसके पास poisoned text के लिए पाँच inbound channels हैं। Agents को chain करो — Slack triggers Linear triggers coding agent — और एक injection हर handoff से cascade करता जाता है। Security researcher Simon Willison ने अपनी 6 अप्रैल की पोस्ट में इसे एकदम सटीक frame किया: "The Lethal Trifecta" — private data access + untrusted content exposure + कोई भी exfiltration vector = data चोरी guaranteed। जो vendors 95% attack prevention का claim करते हैं, उनके बारे में उनकी राय: "95% बहुत ही failing grade है।"
Microsoft ने 2 अप्रैल को ये gap tacitly acknowledge कर लिया, जब उन्होंने Agent Governance Toolkit open-source किया — runtime policy enforcement 0.1ms से कम में, सात packages, 9,500 tests, Python, TypeScript, Rust, Go, और .NET support के साथ। ये एक अच्छी शुरुआत है। ये इस बात का भी इकबाल है कि किसी भी existing platform में ये built-in नहीं है।
इससे पहले कि तुम छठा tool connect करो, audit करो कि तुम्हारा agent autonomously क्या-क्या कर सकता है। मान लो कि हर text input जो वो पढ़ता है — हर Slack message, हर Jira ticket, हर email subject line — एक potential unsigned command है जो तुम्हारे credentials से चल रहा है।
सबसे खतरनाक agent सबसे smart वाला नहीं है। वो है जिसके पास सबसे ज़्यादा permissions हैं और उसे पता भी नहीं कि वो पहले से compromised है।
