AI ডেভেলপার টিমে সক্ষমতা (Capabilities), অনুমতি (Permissions) এবং অনুমোদন গেট (Approval Gates)
অনেক AI টুল একটি শর্টকাট বা সংক্ষিপ্ত পথ প্রদান করে।
আপনি একটি টুল বা ইন্টিগ্রেশন যুক্ত করেন। ইন্টারফেসটি বলে যে এজেন্ট এখন ফাইল, টাস্ক বা কমান্ড নিয়ে কাজ করতে পারে।
সিরিয়াস বা পেশাদার টিমের জন্য এটি যথেষ্ট নয়।
কারিগরি সক্ষমতা এবং অনুমতি এক নয়। একটি কাজ করা প্রযুক্তিগতভাবে সম্ভব হতে পারে, কিন্তু তবুও তার জন্য একজন মানুষের সিদ্ধান্তের প্রয়োজন হতে পারে।
NexFlow এই তিনটি স্তরকে আলাদা করে:
• সক্ষমতা (Capability): একজন অ্যাক্টর প্রযুক্তিগতভাবে কী করতে পারে? • অনুমতি (Permission): কোনো নির্দিষ্ট বিষয়কে কি সেই সক্ষমতা ব্যবহার করার অনুমতি দেওয়া হয়েছে? • অনুমোদন গেট (Approval Gate): কাজটি করার আগে কি একজন মানুষের 'হ্যাঁ' বলা প্রয়োজন?
এই শব্দগুলোর মধ্যে বিভ্রান্তি নিরাপত্তা ঝুঁকি তৈরি করতে পারে।
একটি স্কিল (skill) একটি ভূমিকা বর্ণনা করে, যেমন ডকুমেন্টেশন লেখা।
একটি সক্ষমতা (capability) একটি কাজ বর্ণনা করে, যেমন create_pull_request।
একটি অনুমতি (permission) হলো একটি পলিসি, যেমন allow বা deny।
একটি অনুমোদন গেট (approval gate) হলো একজন ব্যক্তি বা সিস্টেম যাকে একটি নিয়ন্ত্রিত কাজ অনুমোদন করতে হবে।
একজন এজেন্টের কোড রিভিউ করার স্কিল থাকতে পারে। একটি ইন্টিগ্রেশন হয়তো pull request তৈরি করার সক্ষমতা প্রদান করতে পারে। কিন্তু সেই নির্দিষ্ট এজেন্ট সেই টুলটি ব্যবহার করতে পারবে কি না, তা অনুমতির (permission) মাধ্যমে নির্ধারণ করতে হবে। এরপর একটি অনুমোদন গেট (approval gate) সিদ্ধান্ত নেবে যে একজন মানুষের এটি রিভিউ করা প্রয়োজন কি না।
এই পার্থক্যটি আপনার প্রজেক্টকে রক্ষা করে। এটি "connected tool" সমস্যাটি প্রতিরোধ করে, যেখানে একজন এজেন্ট আপনার প্রত্যাশার চেয়ে বেশি ক্ষমতা পেয়ে যায়।
NexFlow একটি রক্ষণশীল নিরাপত্তা মডেল ব্যবহার করে:
- অ্যাক্টরের কাছে ঘোষিত সক্ষমতা (capability) আছে কি না তা যাচাই করুন।
- অনুমতির নিয়মগুলো (permission rules) খুঁজে বের করুন।
- একটি স্পষ্ট 'deny' হলো সবচেয়ে শক্তিশালী নিয়ম।
- একটি
approval_requiredস্ট্যাটাস ততক্ষণ পর্যন্ত কাজটি আটকে রাখে যতক্ষণ না একজন মানুষ তা অনুমোদন করেন। - একটি 'allow' শুধুমাত্র নির্ধারিত স্কোপের (scope) মধ্যেই কাজ করে।
- যদি কোনো অনুমতি না থাকে, তবে কাজটি প্রত্যাখ্যান করুন।
এটি আমলাতন্ত্র নয়। এটি ঝুঁকিকে দৃশ্যমান করে। আপনি একটি এজেন্ট চালানোর আগেই আপনার পলিসিগুলো পর্যালোচনা করতে পারেন।
আপনি দেখতে পাবেন:
- কোন ঝুঁকিপূর্ণ সক্ষমতাগুলো বিদ্যমান।
- কে আপনার রিপোজিটরি পড়তে পারে।
- কে ফাইল লিখতে পারে।
- কোথায় একজন মানুষের একটি কাজ থামানো প্রয়োজন।
একজন এজেন্ট কী করতে পারে তা যথেষ্ট নয়। আসল বিষয় হলো আপনার প্রজেক্ট তাদের কী করতে অনুমতি দেয়।
ঐচ্ছিক লার্নিং কমিউনিটি: https://t.me/GyaanSetuAi
