એફ્ટરમાર્કેટ નિદાન

જેન ઈસ્ટરલીએ તાજેતરમાં સાયબર સિક્યુરિટીનું સચોટ નિદાન શેર કર્યું છે. તેણીએ કહ્યું કે આપણી પાસે સાયબર સિક્યુરિટીની સમસ્યા નથી. આપણી પાસે સોફ્ટવેરની ગુણવત્તાની સમસ્યા છે.

આપણે એવી ખામીઓને સુધારવા માટે એક આખું ઉદ્યોગ ઊભું કરવામાં દાયકાઓ વિતાવીએ છીએ જે ક્યારેય હોવી જ ન જોઈએ.

ધ્યેય સુરક્ષાને 'અપસ્ટ્રીમ' (શરૂઆતના તબક્કે) લઈ જવાનો છે. આપણે શરૂઆતથી જ કોડમાં સુરક્ષા સામેલ કરવી જોઈએ. આપણે તેને પછીથી ઉપરથી જોડવી જોઈએ નહીં.

તેનું નિદાન સાચું છે. પરંતુ તેની સારવાર ખોટી છે.

Anthropic ના Project Glasswing જેવા સાધનો નબળાઈઓ (vulnerabilities) શોધી કાઢે છે અને તેને સુધારવામાં મદદ કરે છે. આ ઝડપી છે. તે સસ્તું છે. તે વધુ સારું છે.

પરંતુ તે હજુ પણ એક એફ્ટરમાર્કેટ ઉકેલ છે.

બગ (bug) ને ઝડપથી શોધવો એ હજુ પણ બગ શોધવા જેવું જ છે. તેને સસ્તામાં સુધારવો એ હજુ પણ તેને સુધારવા જેવું જ છે. નબળાઈ હજુ પણ અસ્તિત્વમાં છે. તે બનાવવામાં આવી હતી. તેને તૈનાત (deploy) કરવામાં આવી હતી. પછી AI એ તેને શોધી કાઢી.

તે એફ્ટરમાર્કેટનો અંત નથી. તે માત્ર એક ઝડપી એફ્ટરમાર્કેટ છે.

સાચી અપસ્ટ્રીમ સુરક્ષા નિશ્ચિત (deterministic) નિયમોનો ઉપયોગ કરે છે. તે સંભવિત (probabilistic) મોડેલોનો ઉપયોગ કરતી નથી.

સાચી અપસ્ટ્રીમ સુરક્ષા આ મુજબ હોય છે:

• કોડ લખતા પહેલા માણસો જાહેર કરે છે કે શું સાચું હોવું જોઈએ. • મશીનો તે જાહેરનામા સામે દરેક ફેરફારની ચકાસણી કરે છે. • સિસ્ટમ નિયમનું ઉલ્લંઘન કરતું કોઈપણ કામ નકારી દે છે.

એવિએશન અને ન્યુક્લિયર પ્લાન્ટ્સ આ રીતે કામ કરે છે. પાયલોટ ઉડાન પછી ભૂલો શોધતો નથી. ફ્લાઇટ કોમ્પ્યુટર ઉડાન દરમિયાન અસુરક્ષિત સ્થિતિઓને અટકાવે છે.

સોફ્ટવેરમાં, આપણે પણ આવું જ કરવું જોઈએ.

જો કોઈ નબળાઈની આગાહી કરી શકાય તેમ હોય, તો આપણે તેને જાહેર કરવી જોઈએ.

• પબ્લિક S3 buckets ની મંજૂરી આપશો નહીં. • અનોથોરિટેડ (unauthenticated) API વિનંતીઓની મંજૂરી આપશો નહીં. • ડિપેન્ડન્સીઝમાં જાણીતી ગંભીર ખામીઓની મંજૂરી આપશો નહીં.

જો તમે આ નિયમો જાહેર કરો છો, તો નબળાઈ ક્યારેય અસ્તિત્વમાં જ આવતી નથી. તમારે તેને શોધવાની જરૂર નથી. તમારે તેને પેચ (patch) કરવાની જરૂર નથી. તમારે તેને શોધવા માટે AI પર પૈસા ખર્ચવાની જરૂર નથી.

AI નવા, અજાણ્યા પેટર્ન શોધવા માટે ઉત્તમ છે. પરંતુ જાણીતી કોન્ફિગરેશન ભૂલો તપાસવા માટે AI નો ઉપયોગ કરવો એ ખોટા સાધનનો ઉપયોગ કરવા સમાન છે. જ્યારે તમારી પાસે થર્મોમીટર હોય ત્યારે તાપમાન માપવા માટે કવિતાનો ઉપયોગ કરવા જેવું છે. થર્મોમીટર ચોક્કસ છે. કવિતા માત્ર એક અભિપ્રાય છે.

AI નો ઉપયોગ કરવાની શ્રેષ્ઠ રીત 'રેચેટ' (ratchet) તરીકે છે:

  1. AI નવો પ્રકારનો નબળાઈ શોધે છે.
  2. માણસો તે શોધની સમીક્ષા કરે છે.
  3. માણસો તે પ્રકારની ભૂલને કાયમ માટે રોકવા માટે નવો નિયમ લખે છે.
  4. મશીન તે નિયમનું આપમેળે પાલન કરાવે છે.

આનાથી AI નું કામ દરરોજ ઘટતું જાય છે.

આપણને કોઈ 'સિલ્વર બુલેટ' (ચમત્કારિક ઉકેલ) ની જરૂર નથી. આપણને જાહેરનામા (declarations), ચકાસણી (verification) અને શોધ (discovery) ની સિસ્ટમની જરૂર છે.

સ્ત્રોત: https://dev.to/bala_paranj_059d338e44e7e/the-aftermarket-she-diagnosed-is-the-aftermarket-she-prescribed-33bf

વૈકલ્પિક લર્નિંગ સમુદાય: https://t.me/GyaanSetuAi