La কৃত্রিম বুদ্ধিমত্তা-সহায়তাপ্রাপ্ত প্রোগ্রামিং এটি এখন আর ভবিষ্যতের প্রতিশ্রুতি নয় এবং হাজার হাজার উন্নয়ন দলের জন্য দৈনন্দিন বাস্তবতা হয়ে উঠেছে। কয়েক সেকেন্ডের মধ্যে, একজন AI সহকারী সম্পূর্ণ ফাংশন, স্ক্রিপ্ট এবং এমনকি সম্পূর্ণ অ্যাপ্লিকেশন তৈরি করতে পারে এবং এটি উৎপাদনশীলতা বৃদ্ধি করছে, তবে ঝুঁকিও বৃদ্ধি করছে।
অনেক প্রতিষ্ঠান এখনও যা বুঝতে ব্যর্থ হয়েছে তা হল AI কোনও দায়িত্ব গ্রহণ করে নাযখন কোড ব্যর্থ হয়, তখন কারিগরি দলকেই সঙ্গীতের মুখোমুখি হতে হয়। এবং সমস্যাটি কেবল এই নয় যে কোডটি খারাপভাবে ডিজাইন করা হয়েছে বা রক্ষণাবেক্ষণ করা কঠিন হতে পারে; আসল চ্যালেঞ্জ হল, বিপুল সংখ্যক ক্ষেত্রে, এটি গুরুতর নিরাপত্তা দুর্বলতা নিয়ে উৎপাদনে পৌঁছায়।
এআই-জেনারেটেড কোড: রেকর্ড উৎপাদনশীলতা এবং আক্রমণের পৃষ্ঠ
খুব অল্প সময়ের মধ্যেই আমরা এমন এক পরিস্থিতিতে চলে এসেছি যেখানে উৎপাদন কোডের একটি খুব উচ্চ শতাংশ ইতিমধ্যেই এআই মডেল থেকে উদ্ভূত।গবেষণায় দেখা গেছে যে এক তৃতীয়াংশ ডেভেলপার স্বীকার করেন যে তারা যা লেখেন তার ৬০% এরও বেশি বুদ্ধিমান সহকারীদের কাছ থেকে আসে এবং কোম্পানিগুলি ইতিমধ্যেই তথাকথিত "ভাইব কোডিং", প্রম্পট-ভিত্তিক প্রোগ্রামিংয়ের কারণে অসাধারণ উৎপাদনশীলতা বৃদ্ধি দেখতে পাচ্ছে।
মুদ্রার উল্টো পিঠটি হলো স্বয়ংক্রিয়ভাবে তৈরি হওয়া কোডের প্রায় অর্ধেকেরই কিছু দুর্বলতা রয়েছে।এগুলোর মধ্যে রয়েছে SQL ইনজেকশন থেকে শুরু করে ক্রিপ্টোগ্রাফিক ত্রুটি এবং খারাপভাবে ডিজাইন করা অ্যাক্সেস নিয়ন্ত্রণ। কিছু ভাষায়, যেমন জাভা, দেখা গেছে যে AI দ্বারা প্রস্তাবিত কোডের 70% এরও বেশি নিরাপত্তা ত্রুটি রয়েছে।
এই পরিস্থিতির সৃষ্টি হচ্ছে অনেক প্রতিষ্ঠান এমন সফটওয়্যার উৎপাদনে পাঠায় যা তারা ইতিমধ্যেই সন্দেহ করে যে এটি নিখুঁত নয়।এমন রিপোর্ট রয়েছে যে ৮০% এরও বেশি দল স্বীকার করেছে যে তারা কোডটি পুরোপুরি পরিপক্ক নয় জেনেও ব্যবহার করেছে, এবং প্রায় সকলেই উক্ত কোডের দুর্বলতার সাথে সম্পর্কিত কিছু সাইবার নিরাপত্তা ঘটনার সম্মুখীন হয়েছে।
বিষয়টিকে আরও খারাপ করে তোলে, এর ঘটনাটি ছায়া এআইকর্মীরা সাংগঠনিক তদারকি ছাড়াই জেনারেটিভ এআই টুল ব্যবহার করে, কোড স্নিপেট কপি এবং পেস্ট করে এমনকি সংবেদনশীল তথ্য প্রম্পটে পেস্ট করে। এটি ডেটা ফাঁস এবং অনিরাপদ উপাদানগুলির নীরব বিস্তারের দরজা খুলে দেয়, যা পরে সনাক্ত করা অসম্ভব।
এই ঝুঁকিগুলির অনেকগুলিই বৃদ্ধি পায় কারণ "নাগরিক বিকাশকারীদের" বিশাল আগমনসফটওয়্যার ইঞ্জিনিয়ারিংয়ে ভালো অভিজ্ঞতা না থাকা কর্মীরা অটোমেশন, ছোট অভ্যন্তরীণ অ্যাপ বা ইন্টিগ্রেশন তৈরির জন্য AI-এর উপর নির্ভর করেন। কোডটি কার্যকরী ফলাফল তৈরি করে, কিন্তু প্রায়শই এতে নিরাপত্তা এবং মানের সবচেয়ে মৌলিক গ্যারান্টিরও অভাব থাকে।
এআই-জেনারেটেড কোডের প্রধান নিরাপত্তা ঝুঁকি
সফটওয়্যার ডেভেলপমেন্টে AI-এর উত্থান নতুন দুর্বলতা আবিষ্কার করেনি, বরং পুরনো দুর্বলতাগুলির উপস্থিতির গতি এবং আয়তন বহুগুণ বৃদ্ধি করেছেবেশ কিছু সাইবার নিরাপত্তা কোম্পানির বিশ্লেষকরা যখন দলটি জেনারেটিভ টুলের উপর খুব বেশি নির্ভর করে তখন বেশ কিছু বিশেষভাবে গুরুত্বপূর্ণ ঝুঁকির বিষয়ে একমত হন।
সবচেয়ে দৃশ্যমান একটি হল "ভাইব কোডিং" কোনও পরীক্ষা বা গুরুতর পর্যালোচনা ছাড়াইসম্পূর্ণ ফাংশন বা পরিষেবাগুলি একটি প্রম্পটের বিন্দুতে তৈরি করা হয়, "কাজ" নিশ্চিত করার জন্য উপরিভাগে পরীক্ষা করা হয় এবং তারপর নিরাপত্তা পরীক্ষা, পিয়ার পর্যালোচনা বা স্বয়ংক্রিয় বিশ্লেষণ ছাড়াই একত্রিত করা হয়। এটি মৌলিক দুর্বলতাগুলিকে এড়িয়ে যাওয়ার অনুমতি দেয়, যে দুর্বলতাগুলি যেকোনো ন্যূনতম কঠোর নিরীক্ষা সনাক্ত করতে পারত।
এছাড়াও উদ্বেগের বিষয় হল ataques a la cadena de suministro de softwareসাধারণ সমস্যা সমাধানের জন্য AI মডেলগুলি তৃতীয় পক্ষের নির্ভরতা সুপারিশ করে। যদি এই নির্ভরতাগুলি সফ্টওয়্যার কম্পোজিশন অ্যানালাইসিস (SCA) সরঞ্জামগুলির সাহায্যে পর্যবেক্ষণ এবং বিশ্লেষণ না করা হয়, তবে এটি একক পদক্ষেপের মাধ্যমে হাজার হাজার প্রকল্পে ক্ষতিকারক লাইব্রেরি বা আপোস করা সংস্করণ প্রবর্তনের দরজা খুলে দেয়।
La বহিরাগত প্যাকেজগুলির ক্রমাগত পর্যবেক্ষণ এবং নিরীক্ষণের অভাব এটি অস্পষ্ট কোড বা সন্দেহজনক আচরণ সহ মডিউলগুলিকে সতর্কতা ছাড়াই সিস্টেমের মধ্যে চালানোর অনুমতি দেয়। যখন AI এই উপাদানগুলিকে এত সহজেই পরামর্শ দেয় এবং সংহত করে, তখন "নিরাপদ" লাইব্রেরির ছদ্মবেশে ম্যালওয়্যারের ঝুঁকি আকাশচুম্বী হয়ে ওঠে।
আরেকটি সূক্ষ্ম দিক হলো ডাটাবেস এবং অভ্যন্তরীণ সিস্টেমের সাথে ভাষা মডেলের একীকরণপর্যাপ্ত নিয়ন্ত্রণ ছাড়াই কর্পোরেট তথ্যের সাথে একটি LLM সংযোগ স্থাপন করলে ইনজেকশন এবং বিষক্রিয়ার আক্রমণের দ্বার উন্মোচিত হয়: ডেটা বা বার্তাগুলিতে লুকানো ক্ষতিকারক নির্দেশাবলী যা মডেলটিকে গোপনীয়তা প্রকাশ করতে, নীতিগুলি এড়িয়ে যেতে বা অনুপযুক্ত কাজ করতে বাধ্য করে।
এছাড়াও, নিম্নলিখিতগুলি সনাক্ত করা হয়েছে: মডেলদের প্রশিক্ষণের জন্য ব্যবহৃত পাবলিক ডেটাসেটে হাজার হাজার সক্রিয় শংসাপত্র এবং গোপনীয়তা এআই থেকে। এপিআই কী, পাসওয়ার্ড এবং টোকেনগুলি রিপোজিটরি, ফোরাম বা কোড নমুনায় এমবেড করা হয় এবং একটি মডেলের প্রতিক্রিয়াগুলিতে পুনরায় উপস্থিত হতে পারে অথবা আক্রমণকারীদের দ্বারা সেই ডেটাসেটগুলি বিশ্লেষণ করে শোষিত হতে পারে।
আমাদের সমস্যার মূলটি ভুলে যাওয়া উচিত নয়: নকশা অনুসারে সুরক্ষা মূলত অনুপস্থিত রয়ে গেছেবেশিরভাগ ডেভেলপার স্বীকার করেন যে তারা ডিজাইন পর্বের নিরাপত্তা প্রয়োজনীয়তাগুলি অন্তর্ভুক্ত করার চেয়ে বাগগুলি ঠিক করার জন্য বেশি সময় ব্যয় করেন। যেখানে ডেলিভারির গতি সর্বাধিক, সেখানে ব্যবসায়িক চাপ ডেভেলপারদের "এখনই কার্যকারিতা ছেড়ে দিতে" এবং পরবর্তী সময়ের জন্য সুরক্ষা ছেড়ে দিতে বাধ্য করে... যদি সেই সময় কখনও আসে।
সিআইএসও, স্থপতি এবং বিশেষজ্ঞদের দৃষ্টিভঙ্গি: এআই গ্রহণ করুন, কিন্তু নিয়ন্ত্রণের সাথে
বিভিন্ন পেশাদার সভা এবং গোলটেবিল বৈঠকে, ব্যাংকিং, শিল্প, প্রযুক্তি পরামর্শদাতা এবং পরিষেবা সংস্থাগুলির সাইবার নিরাপত্তা ব্যবস্থাপকরা একমত হন যে কোড ডেভেলপমেন্টে AI আর ঐচ্ছিক নয়এটি ব্যাপকভাবে ব্যবহৃত হচ্ছে এবং কোনও বিচক্ষণ সিআইএসও এটিকে সরাসরি নিষিদ্ধ করার কথা বিবেচনা করবে না।
তারা যা বিবেচনা করছে তা হল উদ্ভাবনকে বাধা না দিয়ে কীভাবে ঝুঁকি কমানো যায়অনেকেই "বামে স্থানান্তর" পদ্ধতির উপর ভিত্তি করে সুরক্ষিত উন্নয়ন কৌশলগুলি প্রচার করছেন: সফ্টওয়্যার জীবনচক্রের প্রাথমিক পর্যায়ে সুরক্ষা পরীক্ষা, SAST বিশ্লেষণ এবং নির্ভরতা পর্যালোচনা নিয়ে আসা, ঠিক যখন বিকাশকারী - বা AI - প্রথম লাইনগুলি লিখছেন।
এই পরিবর্তন অনুমান করে যে সাইবার নিরাপত্তা দলগুলি আর শেষ পর্যন্ত পৌঁছায় না, যখন সবকিছুই বিকশিত এবং উৎপাদনে থাকে।কেবল এটিকে বাতিল করে পুনর্নির্মাণ করা দরকার বলার পরিবর্তে, তারা প্রথম কমিট থেকেই উন্নয়নকে সমর্থন করে, এমন সরঞ্জামগুলিকে একীভূত করে যা রিয়েল টাইমে কোড বিশ্লেষণ করে এবং তাৎক্ষণিক সুপারিশ প্রদান করে।
যেসব প্রতিষ্ঠানে উন্নয়ন আউটসোর্স করা হয় অথবা মালিকানাধীন কোডের পরিমাণ বিশাল নয়, সেখানে নিরাপত্তা ব্যবস্থাপকদের দাবি কোডটি কীভাবে তৈরি হয় তার দৃশ্যমানতাতারা এই নিশ্চয়তা চায় যে বিক্রেতারা নিরাপদ পদ্ধতি ব্যবহার করবেন, অন্ধভাবে এআই সহকারীর উপর নির্ভর করবেন না এবং ডেলিভারির আগে স্ক্যানার এবং আনুষ্ঠানিক পর্যালোচনার মাধ্যমে কোড রাখবেন না।
অন্যান্য CISO গুলি ডেভেলপারদেরকে এমনভাবে দেখতে শুরু করেছে AI যা তৈরি করে তার "যাচাইকারী"প্রতিটি লাইনের লেখক হিসেবে ভূমিকা বদলে যায়: এটি এখন আর কেবল কোড তৈরির বিষয় নয়, বরং এটি বোঝা, প্রশ্ন তোলা, পর্যালোচনা করা এবং মডেলের প্রস্তাবিত বিষয়গুলিকে উন্নত করার বিষয়, বিশেষ করে প্রমাণীকরণ, অনুমোদন, এনক্রিপশন বা ব্যক্তিগত তথ্য প্রক্রিয়াকরণের মতো সংবেদনশীল ক্ষেত্রে।
যেসব কোম্পানিতে প্রচুর পরিমাণে লিগ্যাসি সফটওয়্যার রয়েছে, সেখানে ফোকাস করা হয় তৃতীয় পক্ষের লাইব্রেরিতে প্রদর্শিত দুর্বলতাগুলি নিয়ন্ত্রণ করুন এবং এমন লেগ্যাসি স্তরগুলিতে যেখানে কেউ স্পর্শ করার সাহস করে না। এখানে, স্বয়ংক্রিয় বিশ্লেষণ সরঞ্জাম এবং নিরাপত্তায় বিশেষজ্ঞ AI এজেন্টরা ঝুঁকিগুলি ম্যাপ করতে এবং প্রথমে কী প্যাচ করা দরকার তা অগ্রাধিকার দিতে সাহায্য করতে শুরু করেছে।
একটি প্রতিরক্ষামূলক মিত্র হিসেবে AI: সনাক্তকরণ, অগ্রাধিকার নির্ধারণ এবং প্রতিক্রিয়া
যে প্রযুক্তির মাধ্যমে অনিরাপদ কোড লেখা সহজ হয়, সেই প্রযুক্তিই এর বিরুদ্ধে আমাদের প্রতিরক্ষার পদ্ধতিতেও আমূল পরিবর্তন আনছে। নিরাপত্তা অপারেশন সেন্টার (SOC), SIEM প্ল্যাটফর্ম এবং কোড বিশ্লেষণ সরঞ্জামগুলিতে, জেনারেটিভ এআই এবং ডিপ লার্নিং মডেলগুলি মূল উপাদান হয়ে উঠছে.
এআই-ভিত্তিক সনাক্তকরণ ইঞ্জিন তারা স্ট্যাটিক স্বাক্ষর বা প্যাটার্ন খোঁজার মধ্যেই নিজেদের সীমাবদ্ধ রাখে না।তারা কোড আচরণ, কার্যকরীকরণ প্রবাহ এবং ফাংশনগুলির মধ্যে শব্দার্থিক সম্পর্ক বিশ্লেষণ করতে সক্ষম। বিশাল সংগ্রহস্থল এবং বাস্তব-বিশ্বের হুমকির তথ্যের সাথে প্রশিক্ষিত, তারা দুর্বলতা এবং দূষিত যুক্তি সনাক্ত করে, এমনকি যখন কোডটি অপ্রচলিত শৈলীতে লেখা হয় বা ভাষার মিশ্রণ করা হয়।
তদুপরি, এই মডেলগুলি অফার করে হুমকির প্রেক্ষাপট এবং বুদ্ধিমান অগ্রাধিকার নির্ধারণসমস্ত দুর্বলতা একই প্রচেষ্টার দাবি রাখে না: ইন্টারনেটের সংস্পর্শে আসা একটি গুরুত্বপূর্ণ পরিষেবার একটি শোষণযোগ্য ত্রুটি একটি অভ্যন্তরীণ সরঞ্জামের বাগের চেয়ে অনেক বেশি ওজন বহন করে। AI সতর্কতাগুলিকে অগ্রাধিকার দেওয়ার জন্য এবং দলকে সত্যিকার অর্থে বিপজ্জনক কী তা ফোকাস করার জন্য এক্সপোজার তথ্য, সম্পদের সমালোচনা, শোষণের ইতিহাস এবং প্রকৃত কনফিগারেশনকে ক্রস-রেফারেন্স করতে পারে।
আরেকটি দৃ point় বিষয় হল ক্রমাগত শেখা এবং অভিযোজন দক্ষতাআক্রমণকারীদের কৌশল বিকশিত হওয়ার সাথে সাথে এবং কোডিং স্টাইল পরিবর্তিত হওয়ার সাথে সাথে, মডেলগুলি সামঞ্জস্য করা হয়, বাস্তব-বিশ্বের ঘটনা থেকে সংগৃহীত নতুন আক্রমণ ভেক্টর এবং নিয়মগুলিকে অন্তর্ভুক্ত করে। এটি প্রতিরক্ষাকে একটি জীবন্ত জীবে পরিণত করে যা সফ্টওয়্যার ইকোসিস্টেমের পাশাপাশি বৃদ্ধি পায়।
ঘটনার প্রতিক্রিয়ার ক্ষেত্রে, জেনারেটিভ এআই সক্ষম করে প্রাথমিক ক্রিয়াগুলির একটি বড় অংশ স্বয়ংক্রিয় করুনইভেন্ট শ্রেণীবদ্ধকরণ, প্রতিক্রিয়া স্ক্রিপ্ট তৈরি, প্রভাবিত সিস্টেমগুলিকে বিচ্ছিন্ন করা, প্রশমন সুপারিশ এবং প্রযুক্তিগত এবং ব্যবস্থাপনা দলগুলির জন্য স্পষ্ট প্রতিবেদন তৈরি করা। এই সমস্ত প্রতিক্রিয়ার সময় হ্রাস করে, ত্রুটি প্রতিরোধ করে এবং বিশ্লেষকদের পুনরাবৃত্তিমূলক কাজের হাত থেকে মুক্তি দেয়।
জেনারেটিভ মডেলগুলিও ব্যবহার করা হচ্ছে সাইবার আক্রমণের অনুকরণ করা এবং দলগুলিকে প্রশিক্ষণ দেওয়া বাস্তবসম্মত পরিস্থিতি সহ। AI সম্ভাব্য ফিশিং প্রচারণা, জটিল আক্রমণের ক্রম, অথবা অস্বাভাবিক আচরণের ধরণ তৈরি করে যা বিশ্লেষকদের চাপের মধ্যে প্রতিক্রিয়া জানাতে এবং তাদের সিদ্ধান্ত গ্রহণের ক্ষমতা উন্নত করতে বাধ্য করে।
ম্যালওয়্যার এবং এআই: প্রচারণা, বর্তমান সীমাবদ্ধতা এবং সম্ভাব্য বিবর্তন
প্রতিরক্ষামূলক AI-এর উত্থানের পাশাপাশি, অন্যান্য প্রযুক্তিরও উদ্ভব হয়েছে। ম্যালওয়্যার প্রোটোটাইপ যা ভাষা মডেলগুলিকে একীভূত করে অথবা এআই পরিষেবাগুলিকে গতিশীলভাবে পরিবর্তনের জন্য ব্যবহার করে। BlackMamba, EyeSpy, অথবা Morris II ওয়ার্মের মতো পরীক্ষাগুলি প্রমাণ করেছে যে রানটাইমে ক্ষতিকারক কোড তৈরি করতে, লক্ষ্যগুলি মূল্যায়ন করতে, অথবা ইনজেক্টেড নির্দেশাবলীর মাধ্যমে আক্রমণ প্রচার করতে LLM ব্যবহার করা প্রযুক্তিগতভাবে সম্ভব।
তবে, রিভার্স ইঞ্জিনিয়ারিং এবং রেড টিমিংয়ের বেশ কয়েকজন বিশেষজ্ঞ উল্লেখ করেছেন যে, আপাতত, এই উদাহরণগুলি অপ্রতিরোধ্য হুমকির চেয়ে প্রযুক্তিগত কৌতূহল বেশি।তারা যে ক্ষমতাগুলি প্রদর্শন করে — পলিমরফিজম, ইন-মেমরি এক্সিকিউশন, অস্পষ্টতা, বা লক্ষ্য নির্বাচন — ইতিমধ্যেই উন্নত ম্যালওয়্যারে বিদ্যমান ছিল এবং বর্তমান প্রতিরক্ষা ব্যবস্থার মাধ্যমে এখনও সনাক্ত করা যেতে পারে।
এর অন্যতম কারণ হ'ল পাবলিক ডেটার উপর প্রশিক্ষিত মডেলদের দ্বারা তৈরি কোডগুলি একজন বিশেষজ্ঞ আক্রমণকারীর দ্বারা কাস্টম-লিখিত কোডের তুলনায় কম পরিশীলিত হয়।এলএলএমগুলি শেখা প্যাটার্নের উপর নির্ভর করে; তারা সাধারণত শুরু থেকে সম্পূর্ণ নতুন ম্যালওয়্যার আর্কিটেকচার উদ্ভাবন করে না এবং প্রায়শই মাঝারি, অপ্রয়োজনীয়, অথবা সহজেই স্বাক্ষরিত টুকরো তৈরি করে।
উপরন্তু, এআই-ভিত্তিক ম্যালওয়্যারকে লাভজনক করার জন্য, এটিকে বিনিয়োগের উপর স্পষ্ট রিটার্ন প্রদান করতে হবে। যারা এটি তৈরি করেন তাদের জন্য। ঠিক যেমন র্যানসমওয়্যার বা ক্রিপ্টোজ্যাকিংয়ের ক্ষেত্রে ঘটেছে, আমরা নির্দিষ্ট কিছু কৌশলের ব্যাপক ব্যবহার দেখতে পাব না যতক্ষণ না সেগুলিকে বৈধ সফ্টওয়্যারের সাথে নির্বিঘ্নে একীভূত করা হয় এবং সেগুলিকে সমর্থন করার জন্য একটি পরিপক্ক অবকাঠামো বিদ্যমান থাকে।
তবে বিশেষজ্ঞরা একমত যে, যদি মডেলগুলি বর্তমান হারে উন্নতি করতে থাকেএমন একটি সময় আসবে যখন তারা আরও জটিল এবং অভিযোজিত হুমকি তৈরিতে সাহায্য করতে পারে। সেই পরিস্থিতিতে, মানবিক তদারকি আরও জোরদার করা, মডেলগুলিকে কারসাজি থেকে রক্ষা করা এবং সমগ্র এআই পাইপলাইনের নিরাপত্তা নিশ্চিত করা প্রয়োজন হবে।
সম্পূর্ণ এআই জীবনচক্র নিশ্চিত করা: ডেটা, মডেল এবং পাইপলাইন
এআই-জেনারেটেড কোডে সাইবার নিরাপত্তা নিয়ে আলোচনা করার সময়, কেবল রিপোজিটরির দিকে তাকানো যথেষ্ট নয়: সম্পূর্ণ এআই পাইপলাইনটি এক প্রান্ত থেকে অন্য প্রান্তে সুরক্ষিত রাখতে হবে।তথ্য সংগ্রহ থেকে শুরু করে মডেল স্থাপন এবং রক্ষণাবেক্ষণ পর্যন্ত।
প্রথম স্তম্ভটি হল প্রশিক্ষণ তথ্য এবং প্রম্পট সুরক্ষাএবং নিরাপদ প্ল্যাটফর্মের পছন্দ যেমন বিনামূল্যে অপারেটিং সিস্টেমযদি ডেটাসেটে সংবেদনশীল, বেনামী তথ্য থাকে, অথবা ব্যবহারকারীরা যদি গোপনীয়তা এবং ব্যক্তিগত তথ্য প্রশ্নের মধ্যে পেস্ট করে, তাহলে তথ্য ফাঁস, প্রতিক্রিয়াগুলিতে শংসাপত্র পুনরায় উপস্থিত হওয়ার ঝুঁকি থাকে, অথবা এমনকি AI প্রদানকারীর সাথে আপস করা হলে ব্যাপক ডেটা লঙ্ঘনের ঝুঁকি থাকে।
দ্বিতীয় স্তম্ভটি হল মডেল এবং অ্যালগরিদমের অখণ্ডতাডেটা বিষক্রিয়ার মতো আক্রমণগুলি প্রশিক্ষণের ডেটা দূষিত করে আউটপুটগুলিকে বিকৃত করতে পারে; অন্যান্য ভেক্টররা মডেলটি বের করতে বা এর আচরণ পরিবর্তন করতে ইনফারেন্স API-তে দুর্বলতাগুলিকে কাজে লাগাতে চায়। কঠোর অ্যাক্সেস নিয়ন্ত্রণ, এনক্রিপশন, পর্যবেক্ষণ এবং ক্রমাগত মূল্যায়ন বজায় রাখা অপরিহার্য।
তৃতীয় অংশটি হল সমগ্র পাইপলাইনের শাসনব্যবস্থা এবং তত্ত্বাবধানএর মধ্যে রয়েছে কে AI ব্যবহার করে, কী উদ্দেশ্যে, কী ধরণের কোড তৈরি করে, কী পর্যালোচনার মধ্য দিয়ে যায় এবং কীভাবে এর ফলাফল উৎপাদন ব্যবস্থায় একীভূত হয় তা ট্র্যাক করা। এই দৃশ্যমানতা ছাড়া, Shadow AI এর বিস্তার ঘটে এবং ঝুঁকি ব্যবস্থাপনা অসম্ভব হয়ে পড়ে।
এই ক্ষেত্রে ভালো অনুশীলনের মধ্যে রয়েছে শক্তিশালী ডেটা নীতি, শক্তিশালী এনক্রিপশন, বহু-ফ্যাক্টর প্রমাণীকরণ, ন্যূনতম সুবিধা নীতি মডেলগুলি অ্যাক্সেস করার জন্য, প্রম্পটে রেলিং, বাধ্যতামূলক ম্যানুয়াল পর্যালোচনা এবং ইনপুট, আউটপুট এবং পরিবেশের উপর বাস্তব প্রভাবগুলির ক্রমাগত পর্যবেক্ষণ।
SHIELD ফ্রেমওয়ার্ক: AI-সহায়তাপ্রাপ্ত প্রোগ্রামিংয়ের উপর স্পষ্ট সীমা নির্ধারণ
উপরোক্ত সকল বিষয়কে ব্যবহারিক নিয়ন্ত্রণে রূপান্তরিত করার জন্য, কিছু নিরাপত্তা পরামর্শদাতা নির্দিষ্ট কাঠামো প্রস্তাব করেছেন "ভাইব কোডিং" এর ঝুঁকি কমাতেসবচেয়ে বিস্তৃত কাঠামোগুলির মধ্যে একটি হল SHIELD কাঠামো, যা উন্নয়নে দায়িত্বশীলভাবে AI ব্যবহারের মৌলিক নীতিগুলি ছয়টি অক্ষরে সংক্ষিপ্ত করে।
SHIELD-তে "S" বলতে বোঝায় কর্তব্য পৃথকীকরণলক্ষ্য হলো এআই এজেন্টদের উৎপাদন পরিবেশে পৌঁছানোর জন্য মিশ্র অনুমতি গ্রহণ থেকে বিরত রাখা। বুদ্ধিমানের কাজ হলো শক্তিশালী শংসাপত্র বা বাস্তব ডাটাবেসে সরাসরি অ্যাক্সেস ছাড়াই তাদের সুযোগ উন্নয়ন এবং পরীক্ষার মধ্যে সীমাবদ্ধ রাখা।
"H" এর সাথে মিলে যায় সার্কিটে মানুষএর অর্থ হল, AI-জেনারেটেড কোড সর্বদা যোগ্য কর্মীদের দ্বারা পর্যালোচনা এবং অনুমোদিত হতে হবে, বিশেষ করে যখন অ-পেশাদার ডেভেলপাররা ব্যবহার করেন। তত্ত্বাবধানে থাকা পুল অনুরোধ ছাড়া কোনও উল্লেখযোগ্য পরিবর্তন একত্রিত করা উচিত নয়।
"আমি" নির্দেশ করে ইনপুট এবং আউটপুট যাচাইকরণনির্ভরযোগ্য নির্দেশাবলীকে অবিশ্বস্ত তথ্য থেকে স্পষ্টভাবে আলাদা করা, প্রম্পটগুলি জীবাণুমুক্ত করা, মডেল থেকে কী চাওয়া হচ্ছে তা নিয়ন্ত্রণ করা এবং কোডবেসে সংহত করার আগে ফলাফলটি SAST এর মতো সরঞ্জামগুলিতে জমা দেওয়া প্রয়োজন।
"E" এর উপর আলোকপাত করে নিরাপত্তা-ভিত্তিক সহায়ক মডেলএকটি একক সর্ব-উদ্দেশ্য সহকারীর উপর নির্ভর করার পরিবর্তে, গোপন স্ক্যানিং, নিয়ন্ত্রণ যাচাইকরণ, SCA, ফ্যান্টম নির্ভরতা সনাক্তকরণ এবং অবকাঠামো-অ্যাজ-কোড কনফিগারেশন যাচাইকরণের জন্য নির্দিষ্ট সরঞ্জামগুলির সাথে এটি পরিপূরক করার পরামর্শ দেওয়া হচ্ছে।
"L" বলতে বোঝায় "সর্বনিম্ন সংস্থা" বা ন্যূনতম সংস্থা নীতিএআই এজেন্টদের ন্যূনতম সম্ভাব্য অনুমতি নিয়ে কাজ করা উচিত: সংবেদনশীল ফাইলগুলিতে অ্যাক্সেস না থাকা, ধ্বংসাত্মক কমান্ডের উপর কঠোর সীমা থাকা এবং গুরুত্বপূর্ণ পরিবেশে স্বয়ংক্রিয়ভাবে পরিবর্তনগুলি কার্যকর করার ক্ষমতা না থাকা।
অবশেষে, "D" বলতে বোঝায় প্রতিরক্ষামূলক প্রযুক্তিগত নিয়ন্ত্রণস্থাপনের আগে, SCA চালানো, মানুষের হস্তক্ষেপ রোধ করে এমন যেকোনো স্বয়ংক্রিয় স্থাপনা প্রক্রিয়া নিষ্ক্রিয় করা, নিরাপত্তা পর্যায়ের সাথে পাইপলাইনগুলিকে জোর করা এবং AI পরামর্শের ফলে সৃষ্ট প্রতিটি পদক্ষেপ পুঙ্খানুপুঙ্খভাবে রেকর্ড করা অপরিহার্য।
এই ধরণের ফ্রেমগুলি খুব সাধারণ কিছুর জন্য লক্ষ্য করে: নিয়ন্ত্রণ ত্যাগ না করেই AI দ্বারা প্রদত্ত ত্বরণের সুবিধা নিনঅথবা, আরও স্পষ্ট করে বলতে গেলে, সহকারীর প্রতি মিনিটে আরও বেশি লাইন লেখা উচিত, তবে দায়িত্ব, মানদণ্ড এবং সিদ্ধান্তগুলি মানব দলের হাতেই থাকা উচিত।
এই সম্পূর্ণ নতুন বাস্তুতন্ত্র - উচ্চ গতিতে AI কোড তৈরি করে, মডেল-চালিত প্রতিরক্ষা, SHIELD-এর মতো কাঠামো এবং তাড়াহুড়ো এবং বিচক্ষণতার মধ্যে বিভক্ত সংস্কৃতি - প্রতিষ্ঠানগুলিকে পরিণত হতে বাধ্য করছে। যারা সুষ্ঠু প্রকৌশল অনুশীলন, ক্রমাগত সাইবার নিরাপত্তা প্রশিক্ষণ, কঠোর মানব তত্ত্বাবধান এবং কৃত্রিম বুদ্ধিমত্তার বুদ্ধিমান ব্যবহার একত্রিত করতে সক্ষম হবে তারাই তাদের কোড তৈরি করবে... দ্রুত উৎপাদন, শক্তিশালী, নিরাপদ এবং ব্যবসায়িক লক্ষ্যের সাথে সামঞ্জস্যপূর্ণকেবল তাৎক্ষণিক অপারেটর হওয়ার বা ক্রমাগত নিরাপত্তার আগুন নেভানোর ফাঁদে পা না দিয়ে।
