AI-மூலம் இயக்கப்படும் திறந்த மூல (Open-Source) அச்சுறுத்தல்களைத் தடுக்க Linux Foundation Akrites-ஐத் தொடங்குகிறது

செயற்கை நுண்ணறிவின் (AI) அதிவேக முன்னேற்றம் இணையப் பாதுகாப்பின் (cybersecurity) சூழலை அடிப்படையிலேயே மாற்றியுள்ளது; இது தாக்குதல் நடத்துபவர்கள் குறியீட்டுப் பிழைகளை (code vulnerabilities) முன்னெப்போதும் இல்லாத வேகத்தில் கண்டறிந்து பயன்படுத்தும் திறனை வழங்குகிறது. இந்த வளர்ந்து வரும் அச்சுறுத்தலை எதிர்கொள்ள, Linux Foundation 'Akrites' என்ற ஒரு மிகப்பெரிய கூட்டு முயற்சியைத் தொடங்கியுள்ளது. AI-மூலம் இயக்கப்படும் தாக்குதல்கள் மூலம் திறந்த மூல மென்பொருள்களில் உள்ள முக்கியக் குறைபாடுகள் ஆயுதமாகப் பயன்படுத்தப்படுவதற்கு முன்பே, அவற்றைச் சரிசெய்ய (patch) இந்த முயற்சி வடிவமைக்கப்பட்டுள்ளது.

AI-மூலம் வேகப்படுத்தப்படும் தாக்குதல்களுக்கு எதிரான ஒரு ஒருங்கிணைந்த முன்னெடுப்பு

Akrites-ன் பின்னணியில் உள்ள நோக்கம், இணையப் பாதுகாப்பில் மாறிவரும் "அதிகாரச் சமநிலைக்கு" (balance of power) நேரடிப் பதிலளிப்பதாகும். வரலாற்று ரீதியாக, பிழைகளைக் கண்டறிந்து சரிசெய்வதற்குப் பாதுகாப்பு மற்றும் தாக்குதல் ஆகிய இரு தரப்பிலும் குறிப்பிடத்தக்க மனித நிபுணத்துவம் தேவைப்பட்டது. இருப்பினும், நவீன LLM-கள் மற்றும் AI மாதிரிகள் இப்போது வாரக்கணக்கில் எடுக்க வேண்டிய வேலையை நிமிடங்களில் செய்து முடிக்கின்றன, இது சிக்கலான தாக்குதல்களை நடத்துவதற்கான தடைகளைக் குறைக்கிறது.

இதனைத் தீர்க்க, 20 தொழில்நுட்ப நிறுவனங்கள், AI ஆய்வகங்கள் மற்றும் நிதி நிறுவனங்களின் கூட்டமைப்பு இந்தத் கூட்டணியை உருவாக்கியுள்ளது. இதன் நிறுவன உறுப்பினர்களில் Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM மற்றும் Cisco போன்ற தொழில்துறைத் தலைவர்கள் மற்றும் JPMorganChase மற்றும் Citi போன்ற நிதித் துறை ஜாம்பவான்கள் உள்ளனர். AI-மூலம் கண்டறியப்படும் வேகத்திற்கும், தற்போதைய கைமுறைத் திருத்தங்களின் (manual patching) மந்தமான வேகத்திற்கும் இடையிலான இடைவெளியைக் குறைப்பதே இந்த வளங்களின் ஒருங்கிணைந்த நோக்கமாகும்.

"Patchwork" எனப்படும் துண்டு துண்டான பதிலளிப்புப் சிக்கலைத் தீர்த்தல்

தற்போதைய பாதுகாப்பு நடைமுறைகள் பெரும்பாலும் சிதறிக்கிடப்பதாகவும், திறமையற்றதாகவும் உள்ளன. பல நிறுவனங்கள் ஒரே மாதிரியான தொகுப்புகளை (packages) தனித்தனியாக ஆய்வு செய்கின்றன, இது தேவையற்ற அறிக்கைகளுக்கும் முரண்பட்ட திருத்தங்களுக்கும் வழிவகுக்கிறது. இந்த "patchwork" மாதிரி, திறந்த மூலப் பராமரிப்பாளர்களை (open-source maintainers) ஒரே மாதிரியான கண்டுபிடிப்புகளின் குவியலுக்கு அடியில் புதைத்துவிடுகிறது; இதனால் உண்மையான மற்றும் பயன்படுத்தக்கூடிய பிழைகள் கவனிக்கப்படாமல் போக வாய்ப்புள்ளது.

Endor Labs-ன் தரவுகள் இந்த அவசரநிலையை உறுதிப்படுத்துகின்றன; சமீபத்திய மாதங்களில் கண்டறியப்பட்ட ஆயிரக்கணக்கான சரிபார்க்கப்பட்ட திறந்த மூல பாதிப்புகளில், ஐந்து சதவீதத்திற்கும் குறைவானவை மட்டுமே உண்மையில் சரிசெய்யப்பட்டுள்ளன. Akrites இதனை ஒரு பகிரப்பட்ட Security Incident Response Team (SIRT) மூலம் தீர்க்க முயல்கிறது. இந்தத் குழு ஒரு மையப்படுத்தப்பட்ட தொடர்புப் புள்ளியாகச் செயல்பட்டு, அறிக்கைகளைச் சரிபார்த்து, நகல்களை வடிகட்டி, திட்டப் பராமரிப்பாளர்களுடன் நேரடியாகத் தடையற்ற திருத்தங்களை ஒருங்கிணைக்கிறது.

தரப்படுத்தப்பட்ட வெளிப்படுத்துதல் மற்றும் "Maintainer of Last Resort"

Akrites கடுமையான Coordinated Vulnerability Disclosure நெறிமுறைகளின் கீழ் இயங்குகிறது. தாக்குதல் நடத்துபவர்களுக்குத் தகவல் கசிவதைத் தடுக்க, இந்த முயற்சி Traffic Light Protocol (TLP) முறையைப் பயன்படுத்துகிறது; இதில் அனைத்து ஆரம்பக்கட்ட அறிக்கைகளும் மிக உயர்ந்த ரகசியத்தன்மை கொண்ட TLP:RED நிலையில் தொடங்கும். தொழில்நுட்பத் தொடர்ச்சியையும் சீரான தன்மையையும் உறுதி செய்ய, இந்த கட்டமைப்பு CVE identifiers மற்றும் CVSS severity scoring போன்ற நிறுவப்பட்ட தொழில்துறைத் தரவுகளையும் ஒருங்கிணைக்கிறது.

கைவிடப்பட்ட அல்லது போதிய வளங்கள் இல்லாத திட்டங்களை அணுகும் Akrites-ன் முறை அதன் மிக முக்கியமான கண்டுபிடிப்புகளில் ஒன்றாகும். திறந்த மூலச் சூழலில், பல முக்கியமான தொகுப்புகள் தன்னார்வலர்களால் நிர்வகிக்கப்படுகின்றன; அவர்களுக்கு அவசரப் பாதுகாப்பு அச்சுறுத்தல்களைக் கையாள்வதற்கான போதிய நேரம் அல்லது வசதி இல்லாமல் இருக்கலாம். Akrites ஒரு "maintainer of last resort" ஆகச் செயல்படத் திட்டமிட்டுள்ளது; அதாவது, இனிச் செயல்படாத பராமரிப்பாளர்கள் கொண்ட முக்கியமான தொகுப்புகளுக்குத் திருத்தங்களை (patches) வழங்கி, உலகளாவிய மென்பொருள் விநியோகச் சங்கிலி (software supply chain) பாதுகாப்பாக இருப்பதை உறுதி செய்யும்.

முக்கியக் குறிப்புகள்

  • AI-மூலம் இயக்கப்படும் அவசரம்: மனித மேம்பாட்டாளர்களை விட மென்பொருள் பாதிப்புகளை மிக வேகமாக அடையாளம் கண்டு பயன்படுத்தக்கூடிய AI மாதிரிகளை எதிர்கொள்ள Akrites வடிவமைக்கப்பட்டுள்ளது.
  • மையப்படுத்தப்பட்ட நுண்ணறிவு: ஒரு ஒற்றை SIRT-ஐப் பயன்படுத்துவதன் மூலம், இந்த முயற்சி தேவையற்ற அறிக்கைகளைத் தவிர்க்கிறது மற்றும் திறந்த மூலப் பராமரிப்பாளர்களின் நிர்வாகச் சுமையைக் குறைக்கிறது.
  • விநியோகச் சங்கிலிப் பாதுகாப்பு: முக்கியமான, பராமரிக்கப்படாத தொகுப்புகள் பயன்படுத்தப்படுவதற்கு முன்பே அவை சரிசெய்யப்படுவதை உறுதி செய்ய, இந்தத் திட்டம் "maintainer of last resort" மாதிரியை அறிமுகப்படுத்துகிறது.