Anthropic के Claude Mythos ने प्रमुख operating systems और browsers में हजारों zero-day vulnerabilities स्वायत्त रूप से खोजी हैं, बिना मानव मार्गदर्शन के 72.4% exploit development सफलता दर हासिल की। यह model एक CVE identifier और git commit hash ले सकता है, फिर घंटों में काम करने वाले exploits बना सकता है। यह AI-powered vulnerability research की बढ़ती सूची में शामिल होता है: Google के Big Sleep ने open source projects में 20 zero-days पाए, जबकि Sophos के OpenClaw ने आंतरिक परीक्षण में Active Directory reconnaissance को तीन दिन से तीन घंटे में संपीड़ित किया।
संख्याएं वास्तविक कहानी बताती हैं। Time-to-exploit 2024 में 61 दिन से गिरकर 2025 में 28.5 दिन हो गया है, disclosure से CISA की Known Exploited Vulnerabilities list तक की median time 8.5 से 5 दिन सिकुड़ गई। High-severity vulnerabilities का confirmed exploitation 2025 में दोगुना होकर 146 मामले हो गया। यह सिर्फ तेज़ research नहीं है—यह vulnerability discovery की economics में एक मौलिक बदलाव है जिसे defenders अभी तक नहीं पकड़ पाए हैं।
Security industry के response में capability gap की ईमानदार स्वीकृति गायब है। जबकि Rapid7 और CSA तेज़ी से patching पर ध्यान दे रहे हैं, Sophos वास्तव में इन tools को आंतरिक रूप से चला रहा है और प्रभाव को प्रत्यक्ष देख रहा है। उनके OpenClaw exercise ने एक single unprivileged account से Domain Admin escalation paths सहित 23 actionable findings उत्पन्न कीं। यह theoretical नहीं है—यह production-ready offense है।
AI systems बनाने वाले developers के लिए, इसका मतलब है कि security अब बाद की सोच नहीं हो सकती। आपको अब CI/CD pipelines में AI-powered security reviews की ज़रूरत है, अगली security audit के समय नहीं। यह पुराना assumption कि आपके पास vulnerabilities का जवाब देने के लिए हफ्ते हैं, मर गया है।