AI ഡെവലപ്പർ ടീമുകളിലെ കപ്പാബിലിറ്റികൾ (Capabilities), പെർമിഷനുകൾ (Permissions), അപ്രൂവൽ ഗേറ്റുകൾ (Approval Gates)

പല AI ടൂളുകളും ഒരു ഷോർട്ട്കട്ട് വാഗ്ദാനം ചെയ്യുന്നു.

നിങ്ങൾ ഒരു ടൂളോ ഇന്റഗ്രേഷനോ കണക്ട് ചെയ്യുന്നു. ഏജന്റിന് ഇപ്പോൾ ഫയലുകൾ, ടാസ്ക്കുകൾ അല്ലെങ്കിൽ കമാൻഡുകൾ എന്നിവയുമായി പ്രവർത്തിക്കാൻ കഴിയുമെന്ന് ഇന്റർഫേസ് പറയുന്നു.

ഗൗരവകരമായ ടീമുകളെ സംബന്ധിച്ചിടത്തോളം ഇത് മാത്രം മതിയാകില്ല.

സാങ്കേതികമായ കഴിവ് (Technical ability) എന്നത് പെർമിഷൻ (Permission) അല്ല. ഒരു പ്രവൃത്തി സാങ്കേതികമായി സാധ്യമായേക്കാം, എന്നാൽ അതിന് ഒരു മനുഷ്യന്റെ തീരുമാനം ആവശ്യമായി വന്നേക്കാം.

NexFlow ഈ മൂന്ന് പാളികളെ വേർതിരിക്കുന്നു:

• കപ്പാബിലിറ്റി (Capability): ഒരു ആക്റ്റർ സാങ്കേതികമായി എന്താണ് ചെയ്യാൻ കഴിയുന്നത്? • പെർമിഷൻ (Permission): ഒരു പ്രത്യേക സബ്ജക്റ്റിന് ആ കപ്പാബിലിറ്റി ഉപയോഗിക്കാൻ അനുവാദമുണ്ടോ? • അപ്രൂവൽ ഗേറ്റ് (Approval Gate): ഒരു പ്രവൃത്തി ചെയ്യുന്നതിന് മുമ്പ് ഒരു മനുഷ്യൻ സമ്മതം നൽകേണ്ടതുണ്ടോ?

ഈ പദങ്ങൾ തമ്മിൽ മാറിപ്പോകുന്നത് സുരക്ഷാ ഭീഷണികൾക്ക് കാരണമാകും.

ഒരു സ്കിൽ (Skill) എന്നത് ഡോക്യുമെന്റേഷൻ എഴുതുന്നത് പോലുള്ള ഒരു റോളിനെ വിവരിക്കുന്നു. ഒരു കപ്പാബിലിറ്റി (Capability) എന്നത് create_pull_request പോലുള്ള ഒരു പ്രവൃത്തിയെ വിവരിക്കുന്നു. ഒരു പെർമിഷൻ (Permission) എന്നത് allow അല്ലെങ്കിൽ deny പോലുള്ള ഒരു പോളിസിയാണ്. ഒരു അപ്രൂവൽ ഗേറ്റ് (Approval gate) എന്നത് നിയന്ത്രിത പ്രവൃത്തികൾ അംഗീകരിക്കേണ്ട ഒരു വ്യക്തിയോ സംവിധാനമോ ആണ്.

ഒരു ഏജന്റിന് കോഡ് റിവ്യൂ ചെയ്യാനുള്ള സ്കിൽ ഉണ്ടായിരിക്കാം. ഒരു ഇന്റഗ്രേഷന് pull request ക്രിയേറ്റ് ചെയ്യാനുള്ള കപ്പാബിലിറ്റി നൽകാൻ കഴിഞ്ഞേക്കാം. എന്നാൽ ആ പ്രത്യേക ഏജന്റിന് ആ ടൂൾ ഉപയോഗിക്കാൻ കഴിയുമോ എന്ന് പെർമിഷൻ തീരുമാനിക്കണം. തുടർന്ന്, ഒരു മനുഷ്യൻ അത് പരിശോധിക്കേണ്ടതുണ്ടോ എന്ന് അപ്രൂവൽ ഗേറ്റ് തീരുമാനിക്കുന്നു.

ഈ വ്യത്യാസം നിങ്ങളുടെ പ്രോജക്റ്റിനെ സംരക്ഷിക്കുന്നു. നിങ്ങൾ ഉദ്ദേശിച്ചതിനേക്കാൾ കൂടുതൽ അധികാരം ഒരു ഏജന്റിന് ലഭിക്കുന്ന "കണക്റ്റഡ് ടൂൾ" (connected tool) പ്രശ്നം ഇത് തടയുന്നു.

NexFlow ഒരു കൺസർവേറ്റീവ് സെക്യൂരിറ്റി മോഡൽ ഉപയോഗിക്കുന്നു:

  • ആക്റ്റർക്ക് പ്രഖ്യാപിച്ച കപ്പാബിലിറ്റി ഉണ്ടോ എന്ന് പരിശോധിക്കുക.
  • പെർമിഷൻ നിയമങ്ങൾ കണ്ടെത്തുക.
  • ഒരു 'explicit deny' ആണ് ഏറ്റവും ശക്തമായ നിയമം.
  • ഒരു മനുഷ്യൻ അംഗീകരിക്കുന്നത് വരെ approval_required സ്റ്റാറ്റസ് ആ പ്രവൃത്തിയെ തടയുന്നു.
  • ഒരു 'allow' നിർദ്ദിഷ്ട സ്കോപ്പിനുള്ളിൽ (defined scope) മാത്രമേ പ്രവർത്തിക്കൂ.
  • പെർമിഷൻ ഇല്ലെങ്കിൽ, ആ പ്രവൃത്തി നിരസിക്കുക.

ഇത് ഒരു ഉദ്യോഗസ്ഥാധിപത്യമല്ല (bureaucracy). ഇത് റിസ്ക് ദൃശ്യമാക്കുന്നു. ഒരു ഏജന്റിനെ പ്രവർത്തിപ്പിക്കുന്നതിന് മുമ്പ് തന്നെ നിങ്ങൾക്ക് നിങ്ങളുടെ പോളിസികൾ പരിശോധിക്കാം.

നിങ്ങൾക്ക് ഇവ കാണാൻ കഴിയും:

  • ഏതൊക്കെ അപകടസാധ്യതയുള്ള കപ്പാബിലിറ്റികൾ നിലവിലുണ്ട്.
  • നിങ്ങളുടെ റെപ്പോസിറ്ററി വായിക്കാൻ ആർക്ക് കഴിയും.
  • ഫയലുകൾ എഴുതാൻ ആർക്ക് കഴിയും.
  • ഒരു പ്രവൃത്തി തടയാൻ മനുഷ്യൻ എവിടെ ഇടപെടണം.

ഒരു ഏജന്റിന് എന്താണ് ചെയ്യാൻ കഴിയുന്നത് എന്നത് മാത്രം മതിയാകില്ല. നിങ്ങളുടെ പ്രോജക്റ്റ് അവർക്ക് എന്താണ് ചെയ്യാൻ അനുവദിക്കുന്നത് എന്നതാണ് പ്രധാനം.

Source: https://dev.to/alexander_iwizard/capabilities-permissions-and-approval-gates-in-ai-developer-teams-2cc4

Optional learning community: https://t.me/GyaanSetuAi