مسئله اعتماد در پسِ هیاهوی Claude Code
بحثهای اخیر پیرامون Claude Code صرفاً درباره اخبار هوش مصنوعی نیست؛ این داستانی درباره اعتماد است.
وقتی توسعهدهندگان از رفتار «تروجان» (Trojan) صحبت میکنند، احساس از دست دادن کنترل دارند. آنها از خود میپرسند که آیا دستیار کدنویسیشان در حین کار، در حال ارزیابی موقعیت مکانی یا هویت آنهاست یا خیر.
این احساس بهجاست. ما باید سه موضوع متفاوت را از هم متمایز کنیم:
- بدافزار (Malware): ابزارهایی که اطلاعات محرمانه را سرقت میکنند.
- تلمتری (Telemetry): ابزارهایی که دادههای مربوط به نحوه استفاده را جمعآوری میکنند.
- اجرای سیاستها (Policy Enforcement): ابزارهایی که دسترسی را بر اساس IP یا هویت محدود میکنند.
مشکل زمانی شروع میشود که نتوانید تشخیص دهید از کدامیک استفاده میکنید.
فروشندگان دلایل قانونی برای محدود کردن دسترسی بر اساس منطقه یا تحریمها دارند؛ من این را درک میکنم. اما «من به این شرکت اعتماد دارم» یک کنترل حسابرسی (audit) واقعی نیست؛ بلکه صرفاً یک احساس است.
من اکنون برای هر ابزار هوش مصنوعی در سیستم خود از یک چکلیست استفاده میکنم. از این سوالات برای حسابرسی ابزارهای خود استفاده کنید:
- چه دادههای محلی را میتواند بخواند؟
- محتوای فایلها و مسیر دایرکتوریها.
- تاریخچه شل (Shell history) و متغیرهای محیطی.
- زبان سیستم و متادیتای دستگاه.
- چه فراخوانیهای شبکهای انجام میدهد؟
- نقاط پایانی (endpoints) مربوط به API و تلمتری.
- نقاط پایانی مربوط به بهروزرسانی و گزارش خطا (crash reporting).
- چه سیگنالهای هویتی به آن متصل هستند؟
- ایمیل حساب کاربری و کشور مربوط به پرداخت.
- آدرس IP و سیگنالهای پروکسی.
- چه اقداماتی میتواند انجام دهد؟
- ویرایش فایلها و اجرای دستورات شل.
- نصب بستهها و ثبت (commit) کد.
- اگر دسترسی قطع شود چه اتفاقی میافتد؟
- آیا کار شما میتواند ادامه یابد؟
- آیا فایلهای محلی شما ایمن هستند؟
- آیا مسیری برای خروجی گرفتن از دادههایتان وجود دارد؟
قانون من ساده است: اگر چیزی را در یک تیکت پشتیبانی کپی نمیکنم، اجازه نمیدهم یک ابزار هوش مصنوعی بهطور پیشفرض آن را بررسی کند.
جریانهای کاری حیاتی خود را حول یک حساب کاربری که کنترلش در دست خودتان نیست، بنا نکنید. از پرامپتهای خود کپیهای محلی نگه دارید. یک مدل دوم را برای شرایط اضطراری آماده داشته باشید.
هر ابزار هوش مصنوعی که آنقدر قدرتمند باشد که در کارهای واقعی به شما کمک کند، آنقدر قدرتمند هست که شایسته حسابرسی باشد.
اعتماد با جریان کاری شروع میشود که بتوانید آن را بازرسی کنید.
منبع: https://dev.to/ariakovac/the-claude-code-trojan-panic-is-really-about-trust-2k9f
انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi
