AI டெவலப்பர் குழுக்களில் திறன்கள் (Capabilities), அனுமதிகள் (Permissions) மற்றும் ஒப்புதல் வாயில்கள் (Approval Gates)
பல AI கருவிகள் ஒரு குறுக்குவழியை வழங்குகின்றன.
நீங்கள் ஒரு கருவி அல்லது ஒரு ஒருங்கிணைப்பை (integration) இணைக்கிறீர்கள். அந்த முகப்பு (interface), ஏஜென்ட் (agent) இப்போது கோப்புகள், பணிகள் அல்லது கட்டளைகளுடன் வேலை செய்யலாம் என்று கூறுகிறது.
தீவிரமான குழுக்களுக்கு, இது போதுமானதல்ல.
தொழில்நுட்பத் திறன் என்பது அனுமதிக்குச் சமமானது அல்ல. ஒரு செயல் சாத்தியமாக இருக்கலாம், ஆனால் அதற்கு இன்னும் ஒரு மனித முடிவின் தேவை இருக்கலாம்.
NexFlow இந்த மூன்று அடுக்குகளையும் பிரிக்கிறது:
• Capability: ஒரு நபர் அல்லது கருவி (actor) தொழில்நுட்ப ரீதியாக என்ன செய்ய முடியும்? • Permission: ஒரு குறிப்பிட்ட விஷயத்திற்கு அந்தத் திறனைப் பயன்படுத்த அனுமதி உள்ளதா? • Approval Gate: அந்தச் செயலுக்கு முதலில் ஒரு மனிதன் 'ஆம்' என்று சொல்ல வேண்டுமா?
இந்தத் சொற்களைக் குழப்பிக் கொள்வது பாதுகாப்பு அபாயங்களுக்கு வழிவகுக்கும்.
ஒரு திறன் (skill) என்பது ஆவணங்களை எழுதுவது போன்ற ஒரு பணியை விவரிக்கிறது.
ஒரு Capability என்பது create_pull_request போன்ற ஒரு செயலை விவரிக்கிறது.
ஒரு Permission என்பது 'அனுமதி' (allow) அல்லது 'மறுப்பு' (deny) போன்ற ஒரு கொள்கை (policy) ஆகும்.
ஒரு Approval Gate என்பது ஒரு கட்டுப்படுத்தப்பட்ட செயலை அங்கீகரிக்க வேண்டிய ஒரு நபர் அல்லது அமைப்பாகும்.
ஒரு ஏஜென்ட்டிற்கு குறியீட்டை (code) ஆய்வு செய்யும் திறன் இருக்கலாம். ஒரு ஒருங்கிணைப்பு pull request-ஐ உருவாக்கும் திறனை (capability) வழங்கலாம். ஆனால் அந்த குறிப்பிட்ட ஏஜென்ட் அந்த கருவியைப் பயன்படுத்தலாமா என்பதை ஒரு அனுமதி (permission) தான் தீர்மானிக்க வேண்டும். பின்னர், ஒரு மனிதன் அதை ஆய்வு செய்ய வேண்டுமா என்பதை ஒரு ஒப்புதல் வாயில் (approval gate) தீர்மானிக்கிறது.
இந்த வேறுபாடு உங்கள் திட்டத்தைப் பாதுகாக்கிறது. நீங்கள் நினைத்ததை விட ஒரு ஏஜென்ட் அதிக அதிகாரத்தைப் பெறும் "இணைக்கப்பட்ட கருவி" (connected tool) சிக்கலை இது தடுக்கிறது.
NexFlow ஒரு கண்டிப்பான பாதுகாப்பு மாதிரியைப் (conservative security model) பயன்படுத்துகிறது:
- அந்த நபர்/கருவி (actor) அறிவிக்கப்பட்ட திறனைப் பெற்றுள்ளாரா என்று சரிபார்க்கவும்.
- அனுமதி விதிகளைக் கண்டறியவும்.
- ஒரு தெளிவான மறுப்பு (explicit deny) என்பது மிக வலிமையான விதியாகும்.
approval_requiredநிலை, ஒரு மனிதன் ஒப்புதல் அளிக்கும் வரை அந்தச் செயலைத் தடுக்கும்.- ஒரு அனுமதி (allow) வரையறுக்கப்பட்ட எல்லைக்குள் மட்டுமே செயல்படும்.
- அனுமதி இல்லையென்றால், அந்தச் செயலை நிராகரிக்கவும்.
இது அதிகாரத்துவத் தொல்லை (bureaucracy) அல்ல. இது அபாயத்தை வெளிப்படையாக்குகிறது. நீங்கள் ஒரு ஏஜென்ட்டை இயக்குவதற்கு முன்பே உங்கள் கொள்கைகளை ஆய்வு செய்யலாம்.
உங்களால் பார்க்க முடியும்:
- எந்த அபாயகரமான திறன்கள் (capabilities) உள்ளன.
- உங்கள் களஞ்சியத்தை (repository) யார் படிக்க முடியும்.
- யார் கோப்புகளை எழுத முடியும்.
- ஒரு மனிதன் எங்கே ஒரு செயலைத் தடுக்க வேண்டும்.
ஒரு ஏஜென்ட் என்ன செய்ய முடியும் என்பது மட்டும் போதாது. உங்கள் திட்டம் அவர்களுக்கு என்ன செய்ய அனுமதிக்கிறது என்பதே முக்கியமானது.
Optional learning community: https://t.me/GyaanSetuAi
