مسئله اعتماد در پسِ هیاهوی Claude Code

بحث‌های اخیر پیرامون Claude Code صرفاً درباره اخبار هوش مصنوعی نیست؛ این داستانی درباره اعتماد است.

وقتی توسعه‌دهندگان از رفتار «تروجان» (Trojan) صحبت می‌کنند، احساس از دست دادن کنترل دارند. آن‌ها از خود می‌پرسند که آیا دستیار کدنویسی‌شان در حین کار، در حال ارزیابی موقعیت مکانی یا هویت آن‌هاست یا خیر.

این احساس به‌جاست. ما باید سه موضوع متفاوت را از هم متمایز کنیم:

  • بدافزار (Malware): ابزارهایی که اطلاعات محرمانه را سرقت می‌کنند.
  • تلمتری (Telemetry): ابزارهایی که داده‌های مربوط به نحوه استفاده را جمع‌آوری می‌کنند.
  • اجرای سیاست‌ها (Policy Enforcement): ابزارهایی که دسترسی را بر اساس IP یا هویت محدود می‌کنند.

مشکل زمانی شروع می‌شود که نتوانید تشخیص دهید از کدام‌یک استفاده می‌کنید.

فروشندگان دلایل قانونی برای محدود کردن دسترسی بر اساس منطقه یا تحریم‌ها دارند؛ من این را درک می‌کنم. اما «من به این شرکت اعتماد دارم» یک کنترل حسابرسی (audit) واقعی نیست؛ بلکه صرفاً یک احساس است.

من اکنون برای هر ابزار هوش مصنوعی در سیستم خود از یک چک‌لیست استفاده می‌کنم. از این سوالات برای حسابرسی ابزارهای خود استفاده کنید:

  1. چه داده‌های محلی را می‌تواند بخواند؟
  • محتوای فایل‌ها و مسیر دایرکتوری‌ها.
  • تاریخچه شل (Shell history) و متغیرهای محیطی.
  • زبان سیستم و متادیتای دستگاه.
  1. چه فراخوانی‌های شبکه‌ای انجام می‌دهد؟
  • نقاط پایانی (endpoints) مربوط به API و تلمتری.
  • نقاط پایانی مربوط به به‌روزرسانی و گزارش خطا (crash reporting).
  1. چه سیگنال‌های هویتی به آن متصل هستند؟
  • ایمیل حساب کاربری و کشور مربوط به پرداخت.
  • آدرس IP و سیگنال‌های پروکسی.
  1. چه اقداماتی می‌تواند انجام دهد؟
  • ویرایش فایل‌ها و اجرای دستورات شل.
  • نصب بسته‌ها و ثبت (commit) کد.
  1. اگر دسترسی قطع شود چه اتفاقی می‌افتد؟
  • آیا کار شما می‌تواند ادامه یابد؟
  • آیا فایل‌های محلی شما ایمن هستند؟
  • آیا مسیری برای خروجی گرفتن از داده‌هایتان وجود دارد؟

قانون من ساده است: اگر چیزی را در یک تیکت پشتیبانی کپی نمی‌کنم، اجازه نمی‌دهم یک ابزار هوش مصنوعی به‌طور پیش‌فرض آن را بررسی کند.

جریان‌های کاری حیاتی خود را حول یک حساب کاربری که کنترلش در دست خودتان نیست، بنا نکنید. از پرامپت‌های خود کپی‌های محلی نگه دارید. یک مدل دوم را برای شرایط اضطراری آماده داشته باشید.

هر ابزار هوش مصنوعی که آن‌قدر قدرتمند باشد که در کارهای واقعی به شما کمک کند، آن‌قدر قدرتمند هست که شایسته حسابرسی باشد.

اعتماد با جریان کاری شروع می‌شود که بتوانید آن را بازرسی کنید.

منبع: https://dev.to/ariakovac/the-claude-code-trojan-panic-is-really-about-trust-2k9f

انجمن یادگیری اختیاری: https://t.me/GyaanSetuAi