AI-आधारित ओपन-सोर्स धोक्यांचा मुकाबला करण्यासाठी Linux Foundation ने Akrites लाँच केले
कृत्रिम बुद्धिमत्तेच्या (AI) झपाट्याने होणाऱ्या प्रगतीमुळे सायबर सुरक्षा क्षेत्रात मूलभूत बदल झाले आहेत, ज्यामुळे हल्लेखोरांना अभूतपूर्व वेगाने कोडमधील त्रुटी (vulnerabilities) शोधण्याची आणि त्यांचा फायदा घेण्याची क्षमता प्राप्त झाली आहे. या वाढत्या धोक्याचा सामना करण्यासाठी, Linux Foundation ने Akrites लाँच केले आहे. हे एक मोठे सहयोगी उपक्रम असून, AI-आधारित हल्ल्यांद्वारे ओपन-सोर्समधील गंभीर त्रुटींचा गैरफायदा घेण्यापूर्वीच त्या दुरुस्त (patch) करण्यासाठी हे डिझाइन केले आहे.
AI-त्वरित होणाऱ्या हल्ल्यांविरुद्ध एक संयुक्त आघाडी
Akrites च्या मागे असलेले मुख्य कारण म्हणजे सायबर सुरक्षेतील बदलणारे "शक्तीचे संतुलन" (balance of power). ऐतिहासिकदृष्ट्या, बग शोधण्यासाठी आणि ते दुरुस्त करण्यासाठी संरक्षण आणि हल्ला या दोन्ही बाजूंकडून मोठ्या मानवी कौशल्याची आवश्यकता होती. तथापि, आधुनिक LLMs आणि AI मॉडेल्स आता आठवडे न लागता काही मिनिटांतच प्रचंड मोठ्या कोडबेस स्कॅन करू शकतात, ज्यामुळे जटिल हल्ले करणे सोपे झाले आहे.
हे हाताळण्यासाठी, २० तंत्रज्ञान क्षेत्रातील दिग्गज कंपन्या, AI लॅब्स आणि वित्तीय संस्थांनी मिळून ही युती स्थापन केली आहे. यामध्ये Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM, आणि Cisco यांसारख्या उद्योगातील आघाडीच्या कंपन्यांसह JPMorganChase आणि Citi यांसारख्या मोठ्या वित्तीय संस्थांचा समावेश आहे. संसाधनांचे हे एकत्रीकरण AI-आधारित शोध वेग आणि मॅन्युअल पॅचिंगचा सध्याचा संथ वेग यातील अंतर कमी करण्याचे उद्दिष्ट ठेवते.
"पॅचवर्क" (Patchwork) प्रतिसाद समस्येचे निराकरण
सध्याच्या सुरक्षा पद्धती अनेकदा विखुरलेल्या आणि अकार्यक्षम असतात. अनेक संस्था एकाच पॅकेजवर स्वतंत्रपणे स्कॅन करतात, ज्यामुळे पुनरावृत्ती होणारे रिपोर्ट्स आणि परस्परविरोधी पॅचेस तयार होतात. ही "पॅचवर्क" पद्धत ओपन-सोर्स मेंटेनर्सवर (maintainers) डुप्लिकेट माहितीचा डोंगर उभा करते, ज्यामुळे अनेकदा खरोखरच्या आणि घातक बग्सकडे दुर्लक्ष होते.
Endor Labs च्या डेटावरून या तातडीचे महत्त्व स्पष्ट होते, ज्यानुसार गेल्या काही महिन्यांत शोधल्या गेलेल्या हजारो प्रमाणित ओपन-सोर्स त्रुटींपैकी पाच टक्क्यांहून कमी त्रुटींचे प्रत्यक्षात पॅचिंग झाले आहे. Akrites या समस्येचे निराकरण एका सामायिक Security Incident Response Team (SIRT) द्वारे करण्याचा प्रयत्न करते. ही टीम एक मध्यवर्ती संपर्क बिंदू म्हणून काम करते, रिपोर्ट्सची पडताळणी करते, डुप्लिकेट माहिती फिल्टर करते आणि प्रोजेक्ट मेंटेनर्ससोबत थेट समन्वय साधून त्रुटींचे निराकरण करते.
प्रमाणित प्रकटीकरण आणि "Maintainer of Last Resort"
Akrites कडक Coordinated Vulnerability Disclosure प्रोटोकॉल अंतर्गत काम करते. हल्लेखोरांना माहिती मिळू नये म्हणून, हे उपक्रम Traffic Light Protocol (TLP) चा वापर करते, जिथे सर्व सुरुवातीचे रिपोर्ट्स TLP:RED—म्हणजेच गोपनीयतेच्या सर्वोच्च पातळीपासून सुरू होतात. तांत्रिक सुसंगतता सुनिश्चित करण्यासाठी हे फ्रेमवर्क CVE identifiers आणि CVSS severity scoring यांसारख्या स्थापित उद्योग मानकांचा देखील वापर करते.
Akrites मधील सर्वात महत्त्वाचा नवाचार म्हणजे सोडून दिलेल्या किंवा अपुऱ्या संसाधनांच्या प्रकल्पांकडे पाहण्याचा त्यांचा दृष्टिकोन. ओपन-सोर्स इकोसिस्टममध्ये, अनेक महत्त्वाचे पॅकेजेस स्वयंसेवकांद्वारे व्यवस्थापित केले जातात, ज्यांच्याकडे तातडीच्या सुरक्षा धोक्यांना हाताळण्यासाठी पुरेसे मनुष्यबळ नसते. Akrites "maintainer of last resort" म्हणून काम करण्याची योजना आखत आहे, म्हणजेच ज्या महत्त्वाच्या पॅकेजेसचे आता सक्रिय मेंटेनर्स नाहीत, त्यांच्यासाठी पॅचेस उपलब्ध करून देणे, जेणेकरून जागतिक सॉफ्टवेअर सप्लाय चेन सुरक्षित राहील.
मुख्य मुद्दे
- AI-आधारित तातडी: Akrites अशा AI मॉडेल्सचा सामना करण्यासाठी डिझाइन केलेले आहे जे मानवी डेव्हलपर्सपेक्षा कितीतरी वेगाने सॉफ्टवेअरमधील त्रुटी ओळखू शकतात आणि त्यांचा गैरफायदा घेऊ शकतात.
- मध्यवर्ती बुद्धिमत्ता: एकाच SIRT चा वापर करून, हे उपक्रम पुनरावृत्ती होणारे रिपोर्टिंग काढून टाकते आणि ओपन-सोर्स मेंटेनर्सवरील प्रशासकीय भार कमी करते.
- सप्लाय चेन सुरक्षा: हे कार्यक्रम "maintainer of last resort" मॉडेल सादर करते, जेणेकरून महत्त्वाचे आणि मेंटेन न केलेले पॅकेजेस त्याचा गैरफायदा घेण्यापूर्वीच दुरुस्त केले जातील.
