𝗧𝗵𝗲 𝗔𝗳𝘁𝗲𝗿𝗺𝗮𝗿𝗸𝗲𝘁 𝗗𝗶𝗮𝗴𝗻𝗼𝘀𝗶𝘀

जेने इस्टरली यांनी अलीकडेच सायबरसुरक्षेबाबत एक अचूक निदान मांडले आहे. त्या म्हणाल्या की, आपल्याकडे सायबरसुरक्षेची समस्या नाही, तर सॉफ्टवेअरच्या गुणवत्तेची (software quality) समस्या आहे.

ज्या त्रुटी कधी अस्तित्वातच नसायला हव्या होत्या, त्या सुधारण्यासाठी आपण दशके एका संपूर्ण उद्योगाची उभारणी करण्यात घालवत आहोत.

सुरक्षा 'अपस्ट्रीम' (upstream) नेण्याचे ध्येय आहे. आपल्याला सुरुवातीपासूनच कोडमध्ये सुरक्षा समाविष्ट करणे आवश्यक आहे. ती नंतर जोडणे (bolt it on) चुकीचे आहे.

त्यांचे निदान बरोबर आहे, पण त्यांचा उपाय चुकीचा आहे.

Anthropic च्या Project Glasswing सारखी साधने त्रुटी (vulnerabilities) शोधतात आणि त्या सुधारण्यास मदत करतात. हे जलद आहे. हे स्वस्त आहे. हे अधिक चांगले आहे.

पण तरीही हा एक 'ॲफ्टरमार्केट' (विक्रीनंतरचा) उपाय आहे.

एखादी त्रुटी (bug) वेगाने शोधणे म्हणजे त्रुटी शोधणेच आहे. ती स्वस्त दरात सुधारणे म्हणजे ती सुधारणेच आहे. त्रुटी तरीही अस्तित्वात असते. ती निर्माण झाली होती. ती तैनात (deploy) केली गेली होती. त्यानंतर AI ने ती शोधली.

हे ॲफ्टरमार्केटचे शेवट नाही. ते फक्त एक वेगवान ॲफ्टरमार्केट आहे.

खरी 'अपस्ट्रीम' सुरक्षा 'डिटरमिनिस्टिक' (deterministic) नियमांचा वापर करते. ती 'प्रोबॅबिलिस्टिक' (probabilistic) मॉडेल्सचा वापर करत नाही.

खरी अपस्ट्रीम सुरक्षा अशी दिसते:

• कोड लिहिण्यापूर्वी काय सत्य असावे, हे मानवांनी घोषित करणे. • प्रत्येक बदल त्या घोषणेच्या आधारे मशीनद्वारे पडताळले जातात. • नियमांचे उल्लंघन करणारी कोणतीही गोष्ट सिस्टम नाकारते.

विमान वाहतूक आणि अणुऊर्जा प्रकल्प याच पद्धतीने काम करतात. पायलट उड्डाणानंतर चुका शोधत नाही. उड्डाणादरम्यान 'फ्लाइट कॉम्प्युटर' असुरक्षित स्थिती टाळतो.

सॉफ्टवेअरमध्येही आपण तेच केले पाहिजे.

जर एखादी त्रुटी (vulnerability) वर्तवता येण्यासारखी असेल, तर आपण ती घोषित केली पाहिजे.

• सार्वजनिक S3 buckets ला परवानगी देऊ नका. • अनऑथेंटिकेटेड (unauthenticated) API विनंत्यांना परवानगी देऊ नका. • डिपेंडन्सीजमध्ये (dependencies) ज्ञात असलेल्या गंभीर त्रुटींना परवानगी देऊ नका.

जर तुम्ही हे नियम घोषित केले, तर ती त्रुटी कधीच निर्माण होणार नाही. तुम्हाला ती शोधण्याची गरज पडणार नाही. तुम्हाला ती पॅच (patch) करण्याची गरज पडणार नाही. ती शोधण्यासाठी तुम्हाला AI वर पैसे खर्च करण्याचीही गरज पडणार नाही.

नवीन, अज्ञात पॅटर्न शोधण्यासाठी AI उत्तम आहे. परंतु, ज्ञात कॉन्फिगरेशन त्रुटी तपासण्यासाठी AI वापरणे म्हणजे चुकीच्या साधनाचा वापर करणे होय. तुमच्याकडे थर्मामीटर असताना तापमान मोजण्यासाठी कवितेचा वापर करण्यासारखे हे आहे. थर्मामीटर अचूक असते, तर कविता केवळ एक मत असते.

AI वापरण्याचा सर्वोत्तम मार्ग म्हणजे 'रॅचेट' (ratchet) म्हणून वापरणे:

  1. AI त्रुटीचा एक नवीन प्रकार शोधते.
  2. मानवी तज्ज्ञ त्या निष्कर्षाचा आढावा घेतात.
  3. मानवांनी त्या प्रकारची त्रुटी कायमची रोखण्यासाठी एक नवीन नियम लिहितात.
  4. मशीन आपोआप त्या नियमाची अंमलबजावणी करते.

यामुळे दररोज AI चे काम कमी होत जाते.

आपल्याला कोणत्याही 'सिल्व्हर बुलेट'ची (जादुई उपायाची) गरज नाही. आपल्याला घोषणा (declarations), पडताळणी (verification) आणि शोध (discovery) यांची एक प्रणाली हवी आहे.

स्रोत: https://dev.to/bala_paranj_059d338e44e7e/the-aftermarket-she-diagnosed-is-the-aftermarket-she-prescribed-33bf

पर्यायी लर्निंग कम्युनिटी: https://t.me/GyaanSetuAi