ਗੁਪਤ ਜਾਣਕਾਰੀ ਲੀਕ ਕੀਤੇ ਬਿਨਾਂ AI ਦੀ ਵਰਤੋਂ ਕਰਨਾ
ਤੁਹਾਨੂੰ ਇੱਕ ਐਰਰ (error) ਆਉਂਦਾ ਹੈ। ਤੁਸੀਂ ਸਟੈਕ ਟ੍ਰੇਸ (stack trace) ਕਾਪੀ ਕਰਦੇ ਹੋ। ਤੁਸੀਂ AI ਨੂੰ ਇਸਨੂੰ ਠੀਕ ਕਰਨ ਲਈ ਕਹਿੰਦੇ ਹੋ। ਤੁਸੀਂ ਭੁੱਲ ਜਾਂਦੇ ਹੋ ਕਿ ਤੁਹਾਡਾ DATABASE_URL ਅਤੇ ਪਾਸਵਰਡ ਉਸ ਟੈਕਸਟ ਵਿੱਚ ਹਨ। AI ਚਾਰ ਸਕਿੰਟਾਂ ਵਿੱਚ ਜਵਾਬ ਦਿੰਦਾ ਹੈ। ਹੁਣ ਤੁਹਾਡੀ ਗੁਪਤ ਜਾਣਕਾਰੀ ਇੱਕ ਰਿਕੁਐਸਟ ਲੌਗ (request log) ਜਾਂ ਟ੍ਰੇਨਿੰਗ ਸੈੱਟ ਵਿੱਚ ਹੈ। ਤੁਸੀਂ ਇਸਨੂੰ ਡਿਲੀਟ ਨਹੀਂ ਕਰ ਸਕਦੇ।
AI ਵਿੱਚ ਗੁਪਤ ਜਾਣਕਾਰੀ ਪੇਸਟ ਕਰਨਾ ਇੱਕ ਜਨਤਕ ਸਾਈਟ 'ਤੇ ਪੇਸਟ ਕਰਨ ਵਾਂਗ ਹੈ। ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਵਾਪਸ ਨਹੀਂ ਲੈ ਸਕਦੇ।
ਮੈਂ ਕੋਡ ਸ਼ਿਪ (ship) ਕਰਨ ਲਈ ਹਰ ਰੋਜ਼ AI ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹਾਂ। ਮੈਂ ਇਸ ਤੋਂ ਬਚਦਾ ਨਹੀਂ ਹਾਂ। ਮੈਂ ਇਸਦੀ ਵਰਤੋਂ ਇੱਕ ਥ੍ਰੇਟ ਮਾਡਲ (threat model) ਦੇ ਨਾਲ ਕਰਦਾ ਹਾਂ।
ਜ਼ਿਆਦਾਤਰ ਲੋਕ ਸੋਚਦੇ ਹਨ ਕਿ ਪ੍ਰੋਂਪਟ (prompt) ਇੱਕ ਨਿੱਜੀ ਚੈਟ ਹੈ। ਇਹ ਨਹੀਂ ਹੈ। ਇਹ ਇੱਕ ਆਊਟਬਾਊਂਡ ਰਿਕੁਐਸਟ (outbound request) ਹੈ।
- ਮੁਫ਼ਤ ਟਾਇਰ (Free tiers) ਅਕਸਰ ਮਾਡਲਾਂ ਨੂੰ ਟ੍ਰੇਨ ਕਰਨ ਲਈ ਤੁਹਾਡੇ ਡੇਟਾ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹਨ।
- ਭੁਗਤਾਨ ਕੀਤੇ ਗਏ ਟਾਇਰ (Paid tiers) ਆਮ ਤੌਰ 'ਤੇ ਤੁਹਾਡੇ ਡੇਟਾ 'ਤੇ ਟ੍ਰੇਨ ਨਾ ਕਰਨ ਦਾ ਵਾਅਦਾ ਕਰਦੇ ਹਨ।
- ਭੁਗਤਾਨ ਕੀਤੇ ਗਏ ਟਾਇਰ ਵੀ ਦੁਰਵਰਤੋਂ ਦੀ ਪਛਾਣ ਅਤੇ ਮਨੁੱਖੀ ਸਮੀਖਿਆ ਲਈ ਲੌਗ (logs) ਸਟੋਰ ਕਰਦੇ ਹਨ।
ਡੇਟਾ ਤਿੰਨ ਤਰੀਕਿਆਂ ਨਾਲ ਲੀਕ ਹੁੰਦਾ ਹੈ:
- ਜੋ ਤੁਸੀਂ ਪੇਸਟ ਕਰਦੇ ਹੋ: ਕੋਡ ਸਨਿਪੇਟਸ (code snippets), ਕੌਨਫਿਗਸ (configs), ਜਾਂ ਟ੍ਰੇਸ (traces)।
- ਜੋ ਟੂਲ ਆਪਣੇ ਆਪ ਅਟੈਚ ਕਰਦੇ ਹਨ: ਖੁੱਲ੍ਹੀਆਂ ਫਾਈਲਾਂ, ਰੈਪੋ ਕੰਟੈਕਸਟ (repo context), ਜਾਂ ਟਰਮੀਨਲ ਆਉਟਪੁੱਟ।
- ਜੋ ਮਾਡਲ ਵਾਪਸ ਭੇਜਦਾ ਹੈ: PR ਡਿਸਕ੍ਰਿਪਸ਼ਨ ਜਾਂ ਲੌਗ ਵਿੱਚ ਦੁਹਰਾਏ ਗਏ ਗੁਪਤ ਵੇਰਵੇ।
AI ਪ੍ਰੋਵਾਈਡਰ ਇੱਕ ਭਰੋਸੇਯੋਗ ਤੀਜੀ ਧਿਰ (third party) ਹੈ। ਤੁਸੀਂ ਉਹਨਾਂ ਦੇ ਅੰਦਰੂਨੀ ਪਾਈਪਲਾਈਨਾਂ ਦੀ ਜਾਂਚ (audit) ਨਹੀਂ ਕਰ ਸਕਦੇ। ਪ੍ਰੋਂਪਟ ਬਾਕਸ ਨੂੰ ਇੱਕ ਅਭਰੋਸੇਯੋਗ ਨੈੱਟਵਰਕ ਕਾਲ ਵਾਂਗ ਸਮਝੋ।
ਇਹਨਾਂ ਨੂੰ ਭੇਜਣਾ ਬੰਦ ਕਰੋ:
- ਲਾਈਵ API keys ਜਾਂ tokens।
- .env ਫਾਈਲਾਂ ਦੀ ਸਮੱਗਰੀ।
- ਪ੍ਰਾਈਵੇਟ ਕੀਜ਼ (private keys) ਜਾਂ ਸਰਟੀਫਿਕੇਟ।
- ਅਸਲੀ ਗਾਹਕਾਂ ਦੇ ਨਾਮ, ਈਮੇਲ, ਜਾਂ ਭੁਗਤਾਨ ਦਾ ਡੇਟਾ।
- ਪ੍ਰੋਪਰਾਈਟਰੀ ਲੌਜਿਕ (proprietary logic) ਜਿਸ ਨੂੰ ਤੁਸੀਂ ਓਪਨ-ਸੋਰਸ ਨਹੀਂ ਕਰੋਗੇ।
ਇਸਦੀ ਬਜਾਏ ਪਲੇਸਹੋਲਡਰਾਂ (placeholders) ਦੀ ਵਰਤੋਂ ਕਰੋ। [API_KEY] ਜਾਂ [DB_PASSWORD] ਦੀ ਵਰਤੋਂ ਕਰੋ। AI ਮਾਸਕ (masks) ਦੇ ਨਾਲ ਵੀ ਉਨਾ ਹੀ ਵਧੀਆ ਕੰਮ ਕਰਦਾ ਹੈ।
ਇਹਨਾਂ ਤਿੰਨ ਆਦਤਾਂ ਨੂੰ ਬਣਾਓ:
- ਇੱਕ AI ignore ਫਾਈਲ ਦੀ ਵਰਤੋਂ ਕਰੋ। .env ਅਤੇ ਗੁਪਤ ਫੋਲਡਰਾਂ ਨੂੰ ਟੂਲ ਦੇ ਕੰਟੈਕਸਟ ਤੋਂ ਬਾਹਰ ਰੱਖੋ।
- ਭੇਜਣ ਤੋਂ ਪਹਿਲਾਂ ਸਕੈਨ ਕਰੋ। ਪੇਸਟ ਕਰਨ ਤੋਂ ਪਹਿਲਾਂ ਆਪਣੇ ਟੈਕਸਟ 'ਤੇ ਸੀਕਰੇਟ ਡਿਟੈਕਟਰ (secret detector) ਚਲਾਓ।
- ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਐਨਕ੍ਰਿਪਟਡ (encrypted) ਰੱਖੋ। ਜੇਕਰ ਗੁਪਤ ਜਾਣਕਾਰੀ ਸਿਰਫ਼ ਰਨ-ਟਾਈਮ (runtime) ਵੇਲੇ ਮੈਮੋਰੀ ਵਿੱਚ ਹੁੰਦੀ ਹੈ, ਤਾਂ ਤੁਸੀਂ ਉਹਨਾਂ ਨੂੰ ਪੇਸਟ ਨਹੀਂ ਕਰ ਸਕਦੇ।
ਤੁਹਾਡੇ ਵਿਕਲਪਾਂ ਦਾ ਸਾਰ:
- ਮੁਫ਼ਤ/ਖਪਤਕਾਰ (Free/Consumer): ਜਨਤਕ ਦਸਤਾਵੇਜ਼ਾਂ ਜਾਂ ਫਾਲਤੂ ਸਨਿਪੇਟਸ ਲਈ ਵਰਤੋ।
- ਭੁਗਤਾਨ ਕੀਤੇ ਗਏ ਪ੍ਰੋ/ਟੀਮ (Paid Pro/Team): ਜ਼ਿਆਦਾਤਰ ਇੰਜੀਨੀਅਰਿੰਗ ਕੰਮ ਲਈ ਵਰਤੋ। ਇਸ ਵਿੱਚ ਇਕਰਾਰਨਾਮੇ ਵਾਲੀਆਂ ਸੁਰੱਖਿਆਵਾਂ ਹੁੰਦੀਆਂ ਹਨ।
- ਲੋਕਲ/ਸੈਲਫ-ਹੋਸਟਡ (Local/Self-hosted): ਨਿਯਮਤ ਡੇਟਾ (regulated data) ਲਈ ਵਰਤੋ ਜੋ ਤੁਹਾਡੀ ਮਸ਼ੀਨ 'ਤੇ ਹੀ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ।
'ਨੋ-ਟ੍ਰੇਨਿੰਗ' (no-training) ਦੀ ਗਾਰੰਟੀ ਇੱਕ ਇਕਰਾਰਨਾਮਾ ਹੈ। ਇਹ ਕੋਈ ਤਕਨੀਕੀ ਢਾਲ ਨਹੀਂ ਹੈ। ਇਹ ਜੋਖਮ ਨੂੰ ਘਟਾਉਂਦੀ ਹੈ ਪਰ ਖਤਮ ਨਹੀਂ ਕਰਦੀ।
AI ਦੇ ਤੁਹਾਡੇ ਕੋਡ ਨੂੰ ਛੂਹਣ ਤੋਂ ਪਹਿਲਾਂ ਇਹਨਾਂ ਕਦਮਾਂ ਦੀ ਪਾਲਣਾ ਕਰੋ:
- ਆਪਣੇ AI ਟੂਲਸ ਲਈ ਇੱਕ ignore ਫਾਈਲ ਜੋੜੋ।
- ਜੋ ਵੀ ਤੁਸੀਂ ਪੇਸਟ ਕਰਦੇ ਹੋ ਉਸਨੂੰ ਸਕੈਨ ਕਰੋ।
- ਸਾਰੇ ਕ੍ਰੈਡੈਂਸ਼ੀਅਲਜ਼ (credentials) ਨੂੰ ਪਲੇਸਹੋਲਡਰਾਂ ਨਾਲ ਮਾਸਕ ਕਰੋ।
- ਪ੍ਰੋਪਰਾਈਟਰੀ ਕੰਮ ਲਈ ਭੁਗਤਾਨ ਕੀਤੇ ਗਏ ਟਾਇਰਾਂ ਦੀ ਵਰਤੋਂ ਕਰੋ।
- ਪਲੇਨਟੈਕਸਟ (plaintext) ਤੋਂ ਗੁਪਤ ਜਾਣਕਾਰੀ ਨੂੰ ਦੂਰ ਰੱਖਣ ਲਈ KMS ਦੀ ਵਰਤੋਂ ਕਰੋ।
- AI ਆਉਟਪੁੱਟ ਦੀ ਸਮੀਖਿਆ ਕਰੋ ਇਸ ਤੋਂ ਪਹਿਲਾਂ ਕਿ ਇਹ ਤੁਹਾਡੇ ਲੌਗ ਜਾਂ ਕਮਿਟਸ (commits) ਵਿੱਚ ਜਾਵੇ।
ਚਾਰ ਸਕਿੰਟਾਂ ਵਾਲਾ ਜਵਾਬ ਅਜੇ ਵੀ ਤੇਜ਼ ਹੈ। ਬੱਸ ਇਹ ਤੁਹਾਡੀ ਸੁਰੱਖਿਆ ਦੀ ਕੀਮਤ 'ਤੇ ਨਹੀਂ ਆਉਣਾ ਚਾਹੀਦਾ।
Optional learning community: https://t.me/GyaanSetuAi
