Linux Foundation ਨੇ AI-ਅਧਾਰਿਤ ਓਪਨ-ਸੋਰਸ ਖ਼ਤਰਿਆਂ ਨਾਲ ਲੜਨ ਲਈ Akrites ਲਾਂਚ ਕੀਤਾ
ਆਰਟੀਫੀਸ਼ੀਅਲ ਇੰਟੈਲੀਜੈਂਸ (AI) ਦੀ ਤੇਜ਼ੀ ਨਾਲ ਹੋ ਰਹੀ ਤਰੱਕੀ ਨੇ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਦੇ ਖੇਤਰ ਨੂੰ ਬੁਨਿਆਦੀ ਤੌਰ 'ਤੇ ਬਦਲ ਦਿੱਤਾ ਹੈ, ਜਿਸ ਨਾਲ ਹਮਲਾਵਰਾਂ ਨੂੰ ਬੇਮਿਸਾਲ ਰਫ਼ਤਾਰ ਨਾਲ ਕੋਡ ਦੀਆਂ ਕਮੀਆਂ (vulnerabilities) ਨੂੰ ਸਕੈਨ ਕਰਨ ਅਤੇ ਉਹਨਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾਉਣ ਦੀ ਸਮਰੱਥਾ ਮਿਲ ਗਈ ਹੈ। ਇਸ ਵਧਦੇ ਖ਼ਤਰੇ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ, Linux Foundation ਨੇ Akrites ਲਾਂਚ ਕੀਤਾ ਹੈ, ਜੋ ਕਿ ਇੱਕ ਵਿਸ਼ਾਲ ਸਹਿਯੋਗੀ ਪਹਿਲਕਦਮੀ ਹੈ। ਇਸ ਦਾ ਉਦੇਸ਼ ਮਹੱਤਵਪੂਰਨ ਓਪਨ-ਸੋਰਸ ਖਾਮੀਆਂ ਨੂੰ AI-ਅਧਾਰਿਤ ਹਮਲਿਆਂ ਰਾਹੀਂ ਹਥਿਆਰ ਬਣਾਉਣ ਤੋਂ ਪਹਿਲਾਂ ਠੀਕ (patch) ਕਰਨਾ ਹੈ।
AI-ਅਧਾਰਿਤ ਤੇਜ਼ ਹਮਲਿਆਂ ਵਿਰੁੱਧ ਇੱਕ ਸਾਂਝਾ ਮੋਰਚਾ
Akrites ਦੇ ਪਿੱਛੇ ਮੁੱਖ ਕਾਰਨ ਸਾਈਬਰ ਸੁਰੱਖਿਆ ਵਿੱਚ ਬਦਲਦੇ "ਸ਼ਕਤੀ ਦੇ ਸੰਤੁਲਨ" (balance of power) ਦਾ ਸਿੱਧਾ ਜਵਾਬ ਦੇਣਾ ਹੈ। ਇਤਿਹਾਸਕ ਤੌਰ 'ਤੇ, ਬੱਗਸ (bugs) ਲੱਭਣ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਸੁਧਾਰਨ ਲਈ ਰੱਖਿਆਤਮਕ ਅਤੇ ਹਮਲਾਵਰ ਦੋਵਾਂ ਪੱਖਾਂ 'ਤੇ ਮਹੱਤਵਪੂਰਨ ਮਨੁੱਖੀ ਮੁਹਾਰਤ ਦੀ ਲੋੜ ਹੁੰਦੀ ਸੀ। ਹਾਲਾਂਕਿ, ਆਧੁਨਿਕ LLMs ਅਤੇ AI ਮਾਡਲ ਹੁਣ ਹਫ਼ਤਿਆਂ ਦੀ ਬਜਾਏ ਮਿੰਟਾਂ ਵਿੱਚ ਵਿਸ਼ਾਲ ਕੋਡਬੇਸਾਂ ਨੂੰ ਸਕੈਨ ਕਰ ਸਕਦੇ ਹਨ, ਜਿਸ ਨਾਲ ਗੁੰਝਲਦਾਰ ਹਮਲਿਆਂ ਨੂੰ ਅੰਜਾਮ ਦੇਣਾ ਆਸਾਨ ਹੋ ਗਿਆ ਹੈ।
ਇਸ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ, 20 ਤਕਨੀਕੀ ਦਿੱਗਜਾਂ, AI ਲੈਬਾਂ ਅਤੇ ਵਿੱਤੀ ਸੰਸਥਾਵਾਂ ਦੇ ਇੱਕ ਗਠਜੋੜ ਨੇ ਇਹ ਗਠਜੋੜ ਬਣਾਇਆ ਹੈ। ਸੰਸਥਾਪਕ ਮੈਂਬਰਾਂ ਵਿੱਚ Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM, ਅਤੇ Cisco ਵਰਗੇ ਉਦਯੋਗਿਕ ਲੀਡਰਾਂ ਦੇ ਨਾਲ-ਨਾਲ JPMorganChase ਅਤੇ Citi ਵਰਗੇ ਵੱਡੇ ਵਿੱਤੀ ਅਦਾਰੇ ਸ਼ਾਮਲ ਹਨ। ਸਰੋਤਾਂ ਦੇ ਇਸ ਇਕੱਠ ਦਾ ਉਦੇਸ਼ AI-ਅਧਾਰਿਤ ਖੋਜ ਦੀ ਰਫ਼ਤਾਰ ਅਤੇ ਮੈਨੂਅਲ ਪੈਚਿੰਗ (manual patching) ਦੀ ਮੌਜੂਦਾ ਸੁਸਤੀ ਵਿਚਕਾਰਲੇ ਪਾੜੇ ਨੂੰ ਭਰਨਾ ਹੈ।
"Patchwork" ਪ੍ਰਤੀਕਿਰਿਆ ਦੀ ਸਮੱਸਿਆ ਦਾ ਹੱਲ
ਮੌਜੂਦਾ ਸੁਰੱਖਿਆ ਅਭਿਆਸ ਅਕਸਰ ਖਿੰਡੇ ਹੋਏ ਅਤੇ ਅਕੁਸ਼ਲ ਹੁੰਦੇ ਹਨ। ਕਈ ਸੰਸਥਾਵਾਂ ਇੱਕੋ ਜਿਹੇ ਪੈਕੇਜਾਂ 'ਤੇ ਸੁਤੰਤਰ ਸਕੈਨ ਕਰਦੀਆਂ ਹਨ, ਜਿਸ ਨਾਲ ਵਾਰ-ਵਾਰ ਰਿਪੋਰਟਾਂ ਅਤੇ ਵਿਰੋਧੀ ਪੈਚ (patches) ਮਿਲਦੇ ਹਨ। ਇਹ "patchwork" ਮਾਡਲ ਓਪਨ-ਸੋਰਸ ਮੇਨਟੇਨਰਾਂ ਨੂੰ ਡੁਪਲੀਕੇਟ ਖੋਜਾਂ ਦੇ ਢੇਰ ਹੇਠ ਦਬਾ ਦਿੰਦਾ ਹੈ, ਜਿਸ ਕਾਰਨ ਅਕਸਰ ਅਸਲ, ਵਰਤੋਂਯੋਗ ਬੱਗਸ ਸ਼ੋਰ ਵਿੱਚ ਗੁੰਮ ਹੋ ਜਾਂਦੇ ਹਨ।
Endor Labs ਦੇ ਅੰਕੜੇ ਇਸ ਜ਼ਰੂਰਤ ਨੂੰ ਹੋਰ ਵੀ ਸਪੱਸ਼ਟ ਕਰਦੇ ਹਨ, ਜੋ ਦੱਸਦੇ ਹਨ ਕਿ ਪਿਛਲੇ ਮਹੀਨਿਆਂ ਵਿੱਚ ਪਛਾਣੀਆਂ ਗਈਆਂ ਹਜ਼ਾਰਾਂ ਮਾਨਤਾ ਪ੍ਰਾਪਤ ਓਪਨ-ਸੋਰਸ ਕਮੀਆਂ ਵਿੱਚੋਂ ਪੰਜ ਪ੍ਰਤੀਸ਼ਤ ਤੋਂ ਵੀ ਘੱਟ ਨੂੰ ਅਸਲ ਵਿੱਚ ਪੈਚ ਕੀਤਾ ਗਿਆ ਹੈ। Akrites ਇਸ ਨੂੰ ਇੱਕ ਸਾਂਝੀ Security Incident Response Team (SIRT) ਰਾਹੀਂ ਹੱਲ ਕਰਨ ਦੀ ਕੋਸ਼ਿਸ਼ ਕਰਦਾ ਹੈ। ਇਹ ਟੀਮ ਇੱਕ ਕੇਂਦਰੀ ਸੰਪਰਕ ਬਿੰਦੂ ਵਜੋਂ ਕੰਮ ਕਰਦੀ ਹੈ, ਰਿਪੋਰਟਾਂ ਦੀ ਜਾਂਚ ਕਰਦੀ ਹੈ, ਡੁਪਲੀਕੇਟਾਂ ਨੂੰ ਫਿਲਟਰ ਕਰਦੀ ਹੈ, ਅਤੇ ਪ੍ਰੋਜੈਕਟ ਮੇਨਟੇਨਰਾਂ ਨਾਲ ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਸੁਚਾਰੂ ਫਿਕਸਾਂ ਦਾ ਤਾਲਮੇਲ ਕਰਦੀ ਹੈ।
ਮਿਆਰੀ ਖੁਲਾਸਾ ਅਤੇ "Maintainer of Last Resort"
Akrites ਸਖ਼ਤ Coordinated Vulnerability Disclosure ਪ੍ਰੋਟੋਕੋਲ ਦੇ ਅਧੀਨ ਕੰਮ ਕਰਦਾ ਹੈ। ਅਜਿਹੀਆਂ ਲੀਕਾਂ ਨੂੰ ਰੋਕਣ ਲਈ ਜੋ ਹਮਲਾਵਰਾਂ ਨੂੰ ਸੂਚਿਤ ਕਰ ਸਕਦੀਆਂ ਹਨ, ਇਹ ਪਹਿਲਕਦਮੀ Traffic Light Protocol (TLP) ਦੀ ਵਰਤੋਂ ਕਰਦੀ ਹੈ, ਜਿੱਥੇ ਸਾਰੀਆਂ ਸ਼ੁਰੂਆਤੀ ਰਿਪੋਰਟਾਂ TLP:RED ਤੋਂ ਸ਼ੁਰੂ ਹੁੰਦੀਆਂ ਹਨ—ਜੋ ਕਿ ਗੁਪਤਤਾ ਦਾ ਸਭ ਤੋਂ ਉੱਚਾ ਪੱਧਰ ਹੈ। ਇਹ ਫਰੇਮਵਰਕ ਤਕਨੀਕੀ ਇਕਸਾਰਤਾ ਨੂੰ ਯਕੀਨੀ ਬਣਾਉਣ ਲਈ CVE identifiers ਅਤੇ CVSS severity scoring ਵਰਗੇ ਸਥਾਪਿਤ ਉਦਯੋਗਿਕ ਮਿਆਰਾਂ ਨੂੰ ਵੀ ਸ਼ਾਮਲ ਕਰਦਾ ਹੈ।
Akrites ਦੇ ਸਭ ਤੋਂ ਮਹੱਤਵਪੂਰਨ ਨਵੀਨਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਤਿਆਗ ਦਿੱਤੇ ਗਏ ਜਾਂ ਘੱਟ ਸਰੋਤਾਂ ਵਾਲੇ ਪ੍ਰੋਜੈਕਟਾਂ ਪ੍ਰਤੀ ਇਸਦਾ ਪਹੁੰਚ ਹੈ। ਓਪਨ-ਸੋਰਸ ਈਕੋਸਿਸਟਮ ਵਿੱਚ, ਕਈ ਮਹੱਤਵਪੂਰਨ ਪੈਕੇਜਾਂ ਦਾ ਪ੍ਰਬੰਧ ਵਾਲੰਟੀਅਰਾਂ ਦੁਆਰਾ ਕੀਤਾ ਜਾਂਦਾ ਹੈ ਜਿਨ੍ਹਾਂ ਕੋਲ ਜ਼ਰੂਰੀ ਸੁਰੱਖਿਆ ਖ਼ਤਰਿਆਂ ਨੂੰ ਹੱਲ ਕਰਨ ਲਈ ਸਮਰੱਥਾ ਦੀ ਕਮੀ ਹੋ ਸਕਦੀ ਹੈ। Akrites ਇੱਕ "maintainer of last resort" ਵਜੋਂ ਕੰਮ ਕਰਨ ਦੀ ਯੋਜਨਾ ਬਣਾ ਰਿਹਾ ਹੈ, ਜੋ ਕਿ ਉਹਨਾਂ ਮਹੱਤਵਪੂਰਨ ਪੈਕੇਜਾਂ ਲਈ ਪੈਚ ਭੇਜਣ ਲਈ ਅੱਗੇ ਆਵੇਗਾ ਜਿਨ੍ਹਾਂ ਦੇ ਹੁਣ ਕੋਈ ਸਰਗਰਮ ਮੇਨਟੇਨਰ ਨਹੀਂ ਹਨ, ਤਾਂ ਜੋ ਵਿਸ਼ਵਵਿਆਪੀ ਸਾਫਟਵੇਅਰ ਸਪਲਾਈ ਚੇਨ ਸੁਰੱਖਿਅਤ ਰਹੇ।
ਮੁੱਖ ਗੱਲਾਂ
- AI-ਅਧਾਰਿਤ ਜ਼ਰੂਰਤ: Akrites ਨੂੰ ਉਹਨਾਂ AI ਮਾਡਲਾਂ ਦਾ ਮੁਕਾਬਲਾ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ ਜੋ ਮਨੁੱਖੀ ਡਿਵੈਲਪਰਾਂ ਨਾਲੋਂ ਕਿਤੇ ਜ਼ਿਆਦਾ ਤੇਜ਼ੀ ਨਾਲ ਸਾਫਟਵੇਅਰ ਦੀਆਂ ਕਮੀਆਂ ਦੀ ਪਛਾਣ ਕਰ ਸਕਦੇ ਹਨ ਅਤੇ ਉਹਨਾਂ ਦਾ ਫਾਇਦਾ ਉਠਾ ਸਕਦੇ ਹਨ।
- ਕੇਂਦਰੀ ਬੁੱਧੀ: ਇੱਕ ਸਿੰਗਲ SIRT ਦੀ ਵਰਤੋਂ ਕਰਕੇ, ਇਹ ਪਹਿਲਕਦਮੀ ਵਾਰ-ਵਾਰ ਹੋਣ ਵਾਲੀ ਰਿਪੋਰਟਿੰਗ ਨੂੰ ਖਤਮ ਕਰਦੀ ਹੈ ਅਤੇ ਓਪਨ-ਸੋਰਸ ਮੇਨਟੇਨਰਾਂ 'ਤੇ ਪ੍ਰਸ਼ਾਸਨਿਕ ਬੋਝ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ।
- ਸਪਲਾਈ ਚੇਨ ਦੀ ਸੁਰੱਖਿਆ: ਇਹ ਪ੍ਰੋਗਰਾਮ ਇੱਕ "maintainer of last resort" ਮਾਡਲ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਤਾਂ ਜੋ ਇਹ ਯਕੀਨੀ ਬਣਾਇਆ ਜਾ ਸਕੇ ਕਿ ਮਹੱਤਵਪੂਰਨ, ਬਿਨਾਂ ਮੇਨਟੇਨ ਕੀਤੇ ਪੈਕੇਜਾਂ ਨੂੰ ਉਹਨਾਂ ਦੀ ਵਰਤੋਂ ਹੋਣ ਤੋਂ ਪਹਿਲਾਂ ਪੈਚ ਕੀਤਾ ਜਾਵੇ।
