इंसानों की काम करने की रफ़्तार, काम के घंटे और दुनिया भर में प्रोफेशनल हमलावरों की कमी के कारण, पिछले 20 सालों से फाइनेंशियल संस्थानों पर साइबर हमलों के लिए ट्रेंड इंसानी ऑपरेटरों की ज़रूरत पड़ती रही है। AI लैब्स की मौजूदा क्षमताओं को देखते हुए लगता है कि यह पाबंदी अब कम हो रही है।
एन्थ्रोपिक (Anthropic) ने अप्रैल 2026 में ‘क्लाउड माइथोस प्रीव्यू’ (Claude Mythos Preview) पेश किया। कंपनी के अनुसार, यह मॉडल सॉफ्टवेयर की कमियों (vulnerabilities) को इतनी बड़े पैमाने पर ढूंढ सकता है और उन्हें ठीक करने में मदद कर सकता है, जितना इंसानी टीमें नहीं कर सकतीं।
शुरुआती टेस्टिंग के दौरान माइथोस ने OpenBSD में एक ऐसी सिक्योरिटी कमी का पता लगाया, जिस पर 27 सालों से किसी का ध्यान नहीं गया था। हैरानी की बात यह है कि मॉडल के एक पुराने वर्शन ने अपने सैंडबॉक्स (सुरक्षित दायरे) से बाहर निकलकर, बिना इजाज़त इंटरनेट कनेक्शन हासिल किया और इंटरनल सेफ्टी टेस्टिंग के दौरान अपनी सफलता की जानकारी देने के लिए सुपरवाइज़िंग रिसर्चर से संपर्क किया। ऐसी गतिविधि न तो चाही गई थी और न ही इसकी उम्मीद थी।
एन्थ्रोपिक ने ‘प्रोजेक्ट ग्लासविंग’ (Project Glasswing) के साथ ‘माइथोस’ का भी खुलासा किया। ग्लासविंग एक डिफेंसिव प्रोजेक्ट है जिसमें AWS, Apple, Cisco, JPMorgan Chase, Microsoft और Palo Alto Networks समेत 15 से ज़्यादा देशों के लगभग 150 संगठन शामिल हैं। कंपनी ने 9 जून को ‘क्लाउड फेबल 5’ (Claude Fable 5) नाम का एक पब्लिक वर्शन लॉन्च किया, जिसकी क्षमताएं सीमित थीं।
सीमाएं हमेशा बदलती रहती हैं। मई 2026 में Microsoft ने MDASH का खुलासा किया, जो एक मल्टी-एजेंट सिस्टम है। इसने Windows की 16 ऐसी कमियों का पता लगाया जिनकी पहले पहचान नहीं हुई थी और CyberGym बेंचमार्क जीता। OpenAI ने भी ‘डेब्रेक’ (Daybreak) नाम का ऐसा ही सॉफ्टवेयर जारी किया है। किसी भी रेगुलेटर की सोच यह होती है कि सॉफ्टवेयर की कमियों को अपने-आप पहचानने और उनका फ़ायदा उठाने वाले टूल्स की क्षमता और उपलब्धता बढ़ती रहेगी, और आखिरकार ये बुरे इरादे वाले लोगों (malicious actors) तक पहुँच जाएंगे।
इस मामले में बांग्लादेश ने काफ़ी तरक्की की है। बांग्लादेश बैंक का ‘साइबरसिक्योरिटी फ्रेमवर्क, वर्शन 1.0 (2026)’ अभी बैंकों, NBFI और पेमेंट ऑपरेटरों के लिए ज़्यादा सख़्त और ज़रूरी नियम तय करता है, जिन्हें 2026 के आखिर तक लागू किए जाने की उम्मीद है। बैंक की ICT सिक्योरिटी गाइडलाइन ने ऑडिट, पैचिंग और घटना के समय की गई कार्रवाई (incident response) के लिए बुनियादी मानक तय किए हैं। अब सवाल यह नहीं है कि बांग्लादेश में नियम हैं या नहीं, बल्कि यह है कि क्या AI से बने ख़तरनाक माहौल के हिसाब से उन्हें तेज़ी से बदला जा सकता है।
बांग्लादेश बैंक के नए ‘रिस्क-बेस्ड सुपरविज़न’ (जोखिम-आधारित निगरानी) तरीके के तहत, कोर बैंकिंग सिस्टम के वर्शन और पैच स्टेटस का एक सेंट्रलाइज़्ड रजिस्टर सुपरवाइज़रों को ऐसी जानकारी देगा जो उनके पास अभी नहीं है। जैसे-जैसे ऑटोमेटेड ट्रेडिंग और मोबाइल-आधारित एक्सेस से हमले का दायरा बढ़ रहा है, BSEC के रेगुलेटरी दायरे – जिसमें एक्सचेंज, सेंट्रल डिपॉजिटरी और ब्रोकर-डीलर शामिल हैं – को भी वैसी ही साइबर सुरक्षा की ज़रूरत है।
यह तीन संरचनात्मक वजहों से बहुत ज़रूरी है। सुरक्षा में एक भी चूक के राष्ट्रीय स्तर पर गंभीर नतीजे हो सकते हैं, जैसा कि 2016 में बांग्लादेश बैंक के फेडरल रिज़र्व अकाउंट से 81 मिलियन डॉलर की चोरी से पता चला था; यह चोरी महीनों की इंसानी योजना के बाद धोखाधड़ी वाले SWIFT निर्देशों का इस्तेमाल करके की गई थी। ऑटोमेटेड टूल्स अब इस तरह की टोह लेने की प्रक्रिया को बहुत तेज़ बना देते हैं।
दूसरा, बांग्लादेश के मुख्य बैंकिंग सिस्टम की उम्र और कॉन्फ़िगरेशन अलग-अलग हैं; कई संस्थान पुराने सिस्टम पर चल रहे हैं जिनमें नए मॉड्यूल जोड़े गए हैं, और अब कोई भी उनके पूरे स्ट्रक्चर को पूरी तरह से नहीं समझता है। ऑटोमेटेड स्कैनिंग टेक्नोलॉजी ठीक इसी स्थिति का फ़ायदा उठाती हैं। तीसरा, फाइनेंशियल सिस्टम में शेड्यूल्ड बैंकों के अलावा MFS प्रोवाइडर, माइक्रोफाइनेंस संगठन और कैपिटल मार्केट के मध्यस्थ भी शामिल हैं; पूरे सिस्टम की सुरक्षा उतनी ही मज़बूत होती है जितना कि उसका सबसे कमज़ोर सदस्य (जिसके पास सबसे कम संसाधन हों)।
कई देशों में इसके लिए उपयोगी मॉडल मौजूद हैं। EU का ‘डिजिटल ऑपरेशनल रेजिलिएंस एक्ट’ किसी एक प्रोवाइडर पर बहुत ज़्यादा निर्भरता को रोकता है और इंटेलिजेंस-आधारित पेनेट्रेशन टेस्टिंग की मांग करता है। सिंगापुर में टेक्नोलॉजी से जुड़े जोखिम के लिए अलग-अलग स्तर के मानक हैं, जो संस्थान के आकार के हिसाब से उम्मीदें तय करते हैं।
जबकि अमेरिका ने CISA के ज़रिए कोऑर्डिनेशन सिस्टम और NIST के ज़रिए रिस्क फ्रेमवर्क बनाया है, बैंक ऑफ़ इंग्लैंड के CBEST ने थ्रेट-इंटेलिजेंस-आधारित रेड-टीमिंग की शुरुआत की। कोऑर्डिनेशन, जानकारी शेयर करना और खतरों के साथ बदलने वाले सही नियम तकनीकी के बजाय संस्थागत मामले हैं।
चुनौती बांग्लादेश की नींव को मज़बूत करने की है, जो पहले से मौजूद है। बांग्लादेश बैंक और BSEC के सुपरवाइजरी फ्रेमवर्क को AI से जुड़े खतरों को मापने योग्य ज़रूरतों में बदलना होगा; जब हमलावर मशीन की गति से काम करते हैं, तो पैच टाइमटेबल बहुत महत्वपूर्ण हो जाते हैं।
सिंगापुर की FS-ISAC सदस्यता के आधार पर, अच्छी नीयत से भाग लेने वाली संस्थाओं के लिए कानूनी सुरक्षा के साथ एक औपचारिक, रियल-टाइम थ्रेट-शेयरिंग सिस्टम, एक संस्था में खतरे के सामने आने और दूसरी संस्थाओं द्वारा कार्रवाई करने के बीच लगने वाले समय को कम करेगा।
बांग्लादेश बैंक के नए रिस्क-बेस्ड सुपरविज़न अप्रोच के तहत, कोर बैंकिंग सिस्टम वर्शन और पैच स्टेटस का एक सेंट्रलाइज़्ड रजिस्टर सुपरवाइज़र को ऐसी जानकारी देगा जो उनके पास अभी नहीं है।
जैसे-जैसे ऑटोमेटेड ट्रेडिंग और मोबाइल-आधारित एक्सेस अटैक सरफेस को बढ़ाते हैं, BSEC के रेगुलेटरी दायरे – जिसमें एक्सचेंज, सेंट्रल डिपॉजिटरी और ब्रोकर-डीलर शामिल हैं – को भी इसी तरह के साइबर सुरक्षा ध्यान की आवश्यकता है।
यह देखते हुए कि उद्योग का कितना हार्डवेयर और सॉफ्टवेयर विदेशी आपूर्तिकर्ताओं पर निर्भर है, सप्लाई-चेन रिस्क के लिए भी सामान्य बहिष्करण के बजाय व्यवस्थित मूल्यांकन की आवश्यकता है। इसके अलावा, पर्सनल डेटा प्रोटेक्शन एक्ट 2026 के डेटा-लोकलाइज़ेशन आदेश को वित्तीय उद्योग में लागू करना होगा, जिसमें यह तय करना शामिल है कि कौन से सिस्टम मुख्य सूचना बुनियादी ढांचे के रूप में योग्य हैं और किन पर ऑडिट आवश्यकताएं लागू होती हैं।
घबराने की कोई ज़रूरत नहीं है। मौजूदा कंट्रोल बेकार नहीं हैं; उन्हें बस कम समय में उच्च मानक को पूरा करने की आवश्यकता है। बांग्लादेश बैंक, BSEC, बांग्लादेश ई-गवर्नमेंट कंप्यूटर इंसिडेंट रिस्पॉन्स टीम और वित्त मंत्रालय के बीच एक अंतर-एजेंसी ब्रीफिंग पहला तार्किक कदम होगा। इसके बाद AI-युग के खतरों पर एक सुपरवाइजरी नोट, एक थ्रेट-शेयरिंग मैकेनिज्म, एक CBS वर्शन रजिस्ट्री और एक संरचित वेंडर-रिस्क प्रक्रिया होगी, जो सभी मौजूदा कानूनी अधिकार के तहत संभव हैं।
2016 की SWIFT चोरी के परिणामस्वरूप बांग्लादेश को 81 मिलियन डॉलर की चोरी हुई धनराशि और वर्षों की प्रतिष्ठा बहाली का नुकसान उठाना पड़ा। इसके विपरीत, क्षेत्र की साइबर स्थिति को बेहतर बनाने के लिए कई वर्षों का, मापा-जोखा दृष्टिकोण काफी कम खर्चीला है। अगली घटना का इंतज़ार करके एजेंडा तय करना कोई रणनीति नहीं है, और बांग्लादेश के पास अभी भी जल्दी कदम उठाने या बाद में प्रतिक्रिया देने का विकल्प है।
