𝗧𝗵𝗲 𝗔𝗳𝘁𝗲𝗿𝗺𝗮𝗿𝗸𝗲𝘁 𝗗𝗶𝗮𝗴𝗻𝗼𝘀𝗶𝘀

ਜੇਨ ਈਸਟਰਲੀ ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਸਾਈਬਰ ਸੁਰੱਖਿਆ (cybersecurity) ਬਾਰੇ ਇੱਕ ਸਟੀਕ ਡਾਇਗਨੋਸਿਸ ਸਾਂਝਾ ਕੀਤਾ ਹੈ। ਉਨ੍ਹਾਂ ਕਿਹਾ ਕਿ ਸਾਡੇ ਕੋਲ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਦੀ ਸਮੱਸਿਆ ਨਹੀਂ ਹੈ। ਸਾਡੇ ਕੋਲ ਸੌਫਟਵੇਅਰ ਦੀ ਗੁਣਵੱਤਾ (software quality) ਦੀ ਸਮੱਸਿਆ ਹੈ।

ਅਸੀਂ ਅਜਿਹੀਆਂ ਖਾਮੀਆਂ ਨੂੰ ਸੁਧਾਰਨ ਲਈ ਇੱਕ ਪੂਰੀ ਉਦਯੋਗਿਕ ਪ੍ਰਣਾਲੀ ਬਣਾਉਣ ਵਿੱਚ ਦਹਾਕਿਆਂ ਬਿਤਾ ਦਿੰਦੇ ਹਾਂ ਜੋ ਕਦੇ ਹੋ ਹੀ ਨਹੀਂ ਚਾਹੀਦੀਆਂ ਸਨ।

ਸਾਡਾ ਟੀਚਾ ਸੁਰੱਖਿਆ ਨੂੰ ਅੱਪਸਟ੍ਰੀਮ (upstream) ਲੈ ਕੇ ਜਾਣਾ ਹੈ। ਸਾਨੂੰ ਸ਼ੁਰੂ ਤੋਂ ਹੀ ਕੋਡ ਦੇ ਅੰਦਰ ਸੁਰੱਖਿਆ ਨੂੰ ਬਣਾਉਣਾ ਚਾਹੀਦਾ ਹੈ। ਸਾਨੂੰ ਇਸਨੂੰ ਬਾਅਦ ਵਿੱਚ ਵਾਧੂ (bolt on) ਨਹੀਂ ਜੋੜਨਾ ਚਾਹੀਦਾ।

ਉਨ੍ਹਾਂ ਦਾ ਡਾਇਗਨੋਸਿਸ ਸਹੀ ਹੈ। ਪਰ ਉਨ੍ਹਾਂ ਦਾ ਇਲਾਜ (prescription) ਗਲਤ ਹੈ।

Anthropic ਦੇ Project Glasswing ਵਰਗੇ ਟੂਲ ਕਮਜ਼ੋਰੀਆਂ (vulnerabilities) ਲੱਭਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸੁਧਾਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ। ਇਹ ਤੇਜ਼ ਹੈ। ਇਹ ਸਸਤਾ ਹੈ। ਇਹ ਬਿਹਤਰ ਹੈ।

ਪਰ ਇਹ ਅਜੇ ਵੀ ਇੱਕ ਐਫਟਰਮਾਰਕੀਟ (aftermarket) ਹੱਲ ਹੈ।

ਕਿਸੇ ਬੱਗ (bug) ਨੂੰ ਤੇਜ਼ੀ ਨਾਲ ਲੱਭਣਾ ਅਜੇ ਵੀ ਇੱਕ ਬੱਗ ਲੱਭਣਾ ਹੀ ਹੈ। ਇਸਨੂੰ ਸਸਤੇ ਵਿੱਚ ਸੁਧਾਰਨਾ ਅਜੇ ਵੀ ਇਸਨੂੰ ਸੁਧਾਰਨਾ ਹੀ ਹੈ। ਕਮਜ਼ੋਰੀ ਅਜੇ ਵੀ ਮੌਜੂਦ ਹੈ। ਇਹ ਬਣਾਈ ਗਈ ਸੀ। ਇਸਨੂੰ ਲਾਗੂ (deployed) ਕੀਤਾ ਗਿਆ ਸੀ। ਫਿਰ AI ਨੇ ਇਸਨੂੰ ਲੱਭ ਲਿਆ।

ਇਹ ਐਫਟਰਮਾਰਕੀਟ ਦਾ ਅੰਤ ਨਹੀਂ ਹੈ। ਇਹ ਸਿਰਫ਼ ਇੱਕ ਤੇਜ਼ ਐਫਟਰਮਾਰਕੀਟ ਹੈ।

ਅਸਲੀ ਅੱਪਸਟ੍ਰੀਮ ਸੁਰੱਖਿਆ ਨਿਰਧਾਰਤ (deterministic) ਨਿਯਮਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ। ਇਹ ਸੰਭਾਵਨਾਤਮਕ (probabilistic) ਮਾਡਲਾਂ ਦੀ ਵਰਤੋਂ ਨਹੀਂ ਕਰਦੀ।

ਅਸਲੀ ਅੱਪਸਟ੍ਰੀਮ ਸੁਰੱਖਿਆ ਇਸ ਤਰ੍ਹਾਂ ਦੀ ਹੁੰਦੀ ਹੈ:

• ਮਨੁੱਖ ਕੋਡ ਲਿਖਣ ਤੋਂ ਪਹਿਲਾਂ ਇਹ ਘੋਸ਼ਿਤ ਕਰਦੇ ਹਨ ਕਿ ਕੀ ਸੱਚ ਹੋਣਾ ਚਾਹੀਦਾ ਹੈ। • ਮਸ਼ੀਨਾਂ ਉਸ ਘੋਸ਼ਣਾ ਦੇ ਵਿਰੁੱਧ ਹਰ ਬਦਲਾਅ ਦੀ ਪੁਸ਼ਟੀ ਕਰਦੀਆਂ ਹਨ। • ਸਿਸਟਮ ਅਜਿਹੀ ਕਿਸੇ ਵੀ ਚੀਜ਼ ਨੂੰ ਰੱਦ ਕਰ ਦਿੰਦਾ ਹੈ ਜੋ ਨਿਯਮ ਦੀ ਉਲੰਘਣਾ ਕਰਦੀ ਹੈ।

ਹਵਾਬਾਜ਼ੀ ਅਤੇ ਪ੍ਰਮਾਣੂ ਪਲਾਂਟ ਇਸੇ ਤਰ੍ਹਾਂ ਕੰਮ ਕਰਦੇ ਹਨ। ਇੱਕ ਪਾਇਲਟ ਉਡਾਣ ਤੋਂ ਬਾਅਦ ਗਲਤੀਆਂ ਨਹੀਂ ਲੱਭਦਾ। ਇੱਕ ਫਲਾਈਟ ਕੰਪਿਊਟਰ ਉਡਾਣ ਦੌਰਾਨ ਅਸੁਰੱਖਿਅਤ ਸਥਿਤੀਆਂ ਨੂੰ ਰੋਕਦਾ ਹੈ।

ਸੌਫਟਵੇਅਰ ਵਿੱਚ, ਸਾਨੂੰ ਵੀ ਇਹੀ ਕਰਨਾ ਚਾਹੀਦਾ ਹੈ।

ਜੇਕਰ ਕੋਈ ਕਮਜ਼ੋਰੀ ਪਹਿਲਾਂ ਤੋਂ ਅਨੁਮਾਨਿਤ ਹੈ, ਤਾਂ ਸਾਨੂੰ ਇਸਦੀ ਘੋਸ਼ਣਾ ਕਰਨੀ ਚਾਹੀਦੀ ਹੈ।

• ਜਨਤਕ (public) S3 ਬੱਕਟਾਂ ਦੀ ਇਜਾਜ਼ਤ ਨਾ ਦਿਓ। • ਬਿਨਾਂ ਪ੍ਰਮਾਣਿਕਤਾ (unauthenticated) ਵਾਲੀਆਂ API ਬੇਨਤੀਆਂ ਦੀ ਇਜਾਜ਼ਤ ਨਾ ਦਿਓ। • ਡਿਪੈਂਡੈਂਸੀਜ਼ (dependencies) ਵਿੱਚ ਜਾਣੀਆਂ ਜਾਂਦੀਆਂ ਗੰਭੀਰ ਖਾਮੀਆਂ ਦੀ ਇਜਾਜ਼ਤ ਨਾ ਦਿਓ।

ਜੇਕਰ ਤੁਸੀਂ ਇਹ ਨਿਯਮ ਘੋਸ਼ਿਤ ਕਰਦੇ ਹੋ, ਤਾਂ ਕਮਜ਼ੋਰੀ ਕਦੇ ਪੈਦਾ ਹੀ ਨਹੀਂ ਹੁੰਦੀ। ਤੁਹਾਨੂੰ ਇਸਨੂੰ ਲੱਭਣ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਤੁਹਾਨੂੰ ਇਸਨੂੰ ਪੈਚ (patch) ਕਰਨ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਤੁਹਾਨੂੰ ਇਸਨੂੰ ਲੱਭਣ ਲਈ AI 'ਤੇ ਪੈਸਾ ਖਰਚਣ ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ।

AI ਨਵੇਂ, ਅਣਜਾਣੇ ਪੈਟਰਨਾਂ ਨੂੰ ਲੱਭਣ ਲਈ ਵਧੀਆ ਹੈ। ਪਰ ਜਾਣੇ-ਪਛਾਣੇ ਕੌਂਫਿਗਰੇਸ਼ਨ (configuration) ਦੀਆਂ ਗਲਤੀਆਂ ਦੀ ਜਾਂਚ ਕਰਨ ਲਈ AI ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਗਲਤ ਟੂਲ ਦੀ ਵਰਤੋਂ ਕਰਨਾ ਹੈ। ਇਹ ਇੱਕ ਥਰਮਾਮੀਟਰ ਹੋਣ ਦੇ ਬਾਵਜੂਦ ਤਾਪਮਾਨ ਮਾਪਣ ਲਈ ਕਵਿਤਾ ਦੀ ਵਰਤੋਂ ਕਰਨ ਵਰਗਾ ਹੈ। ਥਰਮਾਮੀਟਰ ਸਹੀ ਹੁੰਦਾ ਹੈ। ਕਵਿਤਾ ਸਿਰਫ਼ ਇੱਕ ਰਾਏ ਹੁੰਦੀ ਹੈ।

AI ਦੀ ਵਰਤੋਂ ਕਰਨ ਦਾ ਸਭ ਤੋਂ ਵਧੀਆ ਤਰੀਕਾ ਇੱਕ ਰੈਚੇਟ (ratchet) ਵਜੋਂ ਹੈ:

  1. AI ਇੱਕ ਨਵੇਂ ਕਿਸਮ ਦੀ ਕਮਜ਼ੋਰੀ ਲੱਭਦਾ ਹੈ।
  2. ਮਨੁੱਖ ਉਸ ਖੋਜ ਦੀ ਸਮੀਖਿਆ ਕਰਦੇ ਹਨ।
  3. ਮਨੁੱਖ ਉਸ ਕਿਸਮ ਦੀ ਗਲਤੀ ਨੂੰ ਹਮੇਸ਼ਾ ਲਈ ਰੋਕਣ ਲਈ ਇੱਕ ਨਵਾਂ ਨਿਯਮ ਲਿਖਦੇ ਹਨ।
  4. ਮਸ਼ੀਨ ਉਸ ਨਿਯਮ ਨੂੰ ਆਪਣੇ ਆਪ ਲਾਗੂ ਕਰਦੀ ਹੈ।

ਇਹ ਹਰ ਰੋਜ਼ AI ਦੇ ਕੰਮ ਨੂੰ ਘਟਾਉਂਦਾ ਜਾਂਦਾ ਹੈ।

ਸਾਨੂੰ ਕਿਸੇ ਜਾਦੂਈ ਹੱਲ (silver bullet) ਦੀ ਲੋੜ ਨਹੀਂ ਹੈ। ਸਾਨੂੰ ਘੋਸ਼ਣਾਵਾਂ, ਪੁਸ਼ਟੀਕਰਨ (verification) ਅਤੇ ਖੋਜ (discovery) ਦੀ ਇੱਕ ਪ੍ਰਣਾਲੀ ਦੀ ਲੋੜ ਹੈ।

ਸਰੋਤ: https://dev.to/bala_paranj_059d338e44e7e/the-aftermarket-she-diagnosed-is-the-aftermarket-she-prescribed-33bf

ਵਿਕਲਪਿਕ ਸਿੱਖਣ ਕਮਿਊਨਿਟੀ: https://t.me/GyaanSetuAi