AI डेव्हलपर टीम्समधील क्षमता (Capabilities), परवानग्या (Permissions) आणि मंजुरी गेट्स (Approval Gates)
अनेक AI टूल्स एक शॉर्टकट देतात.
तुम्ही एखादे टूल किंवा इंटिग्रेशन कनेक्ट करता. इंटरफेस सांगतो की एजंट आता फाइल्स, टास्क किंवा कमांड्सवर काम करू शकतो.
गंभीर टीम्ससाठी, हे पुरेसे नाही.
तांत्रिक क्षमता (Technical ability) म्हणजे परवानगी (Permission) नव्हे. एखादी कृती करणे शक्य असू शकते, परंतु तरीही त्यासाठी मानवी निर्णयाची आवश्यकता असू शकते.
NexFlow या तीन थरांना वेगळे करते:
• क्षमता (Capability): एखादा ॲक्टर तांत्रिकदृष्ट्या काय करू शकतो? • परवानगी (Permission): एखाद्या विशिष्ट विषयाला (subject) ती क्षमता वापरण्याची परवानगी आहे का? • मंजुरी गेट (Approval Gate): त्या कृतीसाठी प्रथम मानवी संमतीची आवश्यकता आहे का?
या संज्ञांमध्ये गोंधळ झाल्यामुळे सुरक्षा धोके निर्माण होऊ शकतात.
कौशल्य (Skill) हे भूमिका स्पष्ट करते, जसे की डॉक्युमेंटेशन लिहिणे.
क्षमता (Capability) ही कृती स्पष्ट करते, जसे की create_pull_request.
परवानगी (Permission) हे एक धोरण (policy) आहे, जसे की allow किंवा deny.
मंजुरी गेट (Approval gate) ही अशी व्यक्ती किंवा प्रणाली आहे ज्याने मर्यादित कृतीला मंजुरी देणे आवश्यक आहे.
एखाद्या एजंटकडे कोड रिव्ह्यू करण्याचे कौशल्य असू शकते. एखादे इंटिग्रेशन pull request तयार करण्याची क्षमता देऊ शकते. परंतु, तो विशिष्ट एजंट ते टूल वापरू शकतो की नाही, याचा निर्णय परवानगीने (permission) घेणे आवश्यक आहे. त्यानंतर, मानवाने त्याची रिव्ह्यू करणे आवश्यक आहे की नाही, याचा निर्णय मंजुरी गेट (approval gate) घेतो.
हा फरक तुमच्या प्रोजेक्टचे संरक्षण करतो. यामुळे "कनेक्टेड टूल" ची समस्या थांबते, जिथे एजंटला तुमच्या इच्छेपेक्षा जास्त अधिकार मिळतात.
NexFlow एक सावध (conservative) सुरक्षा मॉडेल वापरते:
- ॲक्टरकडे घोषित क्षमता (declared capability) आहे का ते तपासा.
- परवानगीचे नियम (permission rules) शोधा.
- 'explicit deny' हा सर्वात कडक नियम आहे.
approval_requiredस्टेटस मानवाने मंजुरी मिळेपर्यंत कृती रोखून धरते.- 'allow' फक्त परिभाषित व्याप्तीमध्येच (defined scope) काम करते.
- जर कोणतीही परवानगी नसेल, तर कृती नाकारली जाते.
हे नोकरशाही (bureaucracy) नाही. हे धोके दृश्यमान करते. तुम्ही एकही एजंट चालवण्यापूर्वी तुमची धोरणे (policies) तपासू शकता.
तुम्ही पाहू शकता:
- कोणत्या जोखमीच्या क्षमता अस्तित्वात आहेत.
- तुमची रिपॉझिटरी (repository) कोण वाचू शकते.
- फाइल्स कोण लिहू शकते.
- मानवाने कृती कुठे थांबवणे आवश्यक आहे.
एजंट काय करू शकतो हे पुरेसे नाही. महत्त्वाचे हे आहे की तुमचा प्रोजेक्ट त्यांना काय करण्याची परवानगी देतो.
पर्यायी लर्निंग कम्युनिटी: https://t.me/GyaanSetuAi
