ரகசியங்களை கசியவிடாமல் AI-ஐப் பயன்படுத்துதல்
நீங்கள் ஒரு பிழையைச் சந்திக்கிறீர்கள். அதன் stack trace-ஐ நகலெடுக்கிறீர்கள். அதைச் சரிசெய்ய AI-இடம் கேட்கிறீர்கள். உங்கள் DATABASE_URL மற்றும் கடவுச்சொல் (password) அந்த உரையில் உள்ளது என்பதை நீங்கள் மறந்துவிடுகிறீர்கள். AI நான்கு வினாடிகளில் பதிலளிக்கிறது. இப்போது உங்கள் ரகசியம் ஒரு கோரிக்கை பதிவில் (request log) அல்லது பயிற்சித் தொகுப்பில் (training set) உள்ளது. அதை உங்களால் நீக்க முடியாது.
ஒரு AI-இல் ரகசியங்களை ஒட்டுவது (pasting), அவற்றை ஒரு பொது இணையதளத்தில் ஒட்டுவதற்குச் சமம். அவற்றை உங்களால் மீண்டும் திரும்பப் பெற முடியாது.
நான் தினமும் குறியீடுகளை (code) உருவாக்க AI-ஐப் பயன்படுத்துகிறேன். நான் அதைத் தவிர்க்கவில்லை. ஆனால் ஒரு அச்சுறுத்தல் மாதிரியுடன் (threat model) அதைப் பயன்படுத்துகிறேன்.
பெரும்பாலான மக்கள் ஒரு prompt என்பது ஒரு தனிப்பட்ட உரையாடல் என்று நினைக்கிறார்கள். அது இல்லை. அது ஒரு வெளிச்செல்லும் கோரிக்கை (outbound request).
- இலவசத் திட்டங்கள் (Free tiers) பெரும்பாலும் உங்கள் தரவைப் பயன்படுத்தி மாதிரிகளைப் பயிற்றுவிக்கின்றன.
- கட்டணத் திட்டங்கள் (Paid tiers) பொதுவாக உங்கள் தரவைக் கொண்டு பயிற்றுவிக்க மாட்டோம் என்று உறுதியளிக்கின்றன.
- கட்டணத் திட்டங்கள் கூடத் தவறுகளைக் கண்டறியவும் (abuse detection) மற்றும் மனித ஆய்விற்கும் பதிவுகளைச் சேமித்து வைக்கின்றன.
தரவுகள் மூன்று வழிகளில் கசிகின்றன:
- நீங்கள் ஒட்டுவது: code snippets, configs அல்லது traces.
- கருவிகள் தானாக இணைப்பது: திறந்திருக்கும் கோப்புகள் (open files), repo context அல்லது terminal output.
- மாதிரி (model) திருப்பி அனுப்பும் விதம்: PR விளக்கம் அல்லது பதிவில் (log) மீண்டும் வெளிப்படும் ரகசியங்கள்.
AI வழங்குநர் ஒரு நம்பகமான மூன்றாம் தரப்பு. அவர்களின் உள் செயல்பாடுகளை (internal pipelines) உங்களால் ஆய்வு செய்ய முடியாது. prompt பெட்டியை ஒரு நம்பகத்தன்மையற்ற நெட்வொர்க் அழைப்பாக (untrusted network call) கருதுங்கள்.
இவற்றை அனுப்புவதை நிறுத்துங்கள்:
- நேரடி API keys அல்லது tokens.
- .env கோப்புகளின் உள்ளடக்கங்கள்.
- தனிப்பட்ட விசைகள் (Private keys) அல்லது சான்றிதழ்கள் (certificates).
- உண்மையான வாடிக்கையாளர் பெயர்கள், மின்னஞ்சல்கள் அல்லது கட்டணத் தரவுகள்.
- நீங்கள் open-source செய்ய விரும்பாத பிரத்யேகத் தர்க்கங்கள் (Proprietary logic).
அதற்குப் பதிலாக placeholders-களைப் பயன்படுத்துங்கள். [API_KEY] அல்லது [DB_PASSWORD] என்று பயன்படுத்துங்கள். முகமூடி (masks) செய்யப்பட்ட தரவுகளுடனும் AI சிறப்பாகச் செயல்படும்.
இந்த மூன்று பழக்கங்களை வளர்த்துக் கொள்ளுங்கள்:
- ஒரு AI ignore கோப்பைப் பயன்படுத்துங்கள். .env மற்றும் ரகசியக் கோப்புறைகளை (secret folders) கருவியின் சூழலில் (context) இருந்து விலக்கி வைத்திருங்கள்.
- அனுப்புவதற்கு முன் ஸ்கேன் செய்யுங்கள். ஒட்டுவதற்கு முன் உங்கள் உரையில் ஒரு secret detector-ஐ இயக்கவும்.
- ரகசியங்களை குறியாக்கத்திலேயே (encrypted) வைத்திருங்கள். ரகசியங்கள் runtime-இல் நினைவகத்தில் (memory) மட்டுமே இருந்தால், அவற்றை உங்களால் ஒட்ட முடியாது.
உங்கள் விருப்பங்களின் சுருக்கம்:
- இலவசம்/நுகர்வோர் (Free/Consumer): பொது ஆவணங்கள் அல்லது தற்காலிகத் துண்டுகளுக்கு (throwaway snippets) பயன்படுத்தவும்.
- கட்டணத் திட்டம் Pro/Team: பெரும்பாலான பொறியியல் பணிகளுக்குப் பயன்படுத்தவும். இதில் ஒப்பந்த ரீதியான பாதுகாப்புகள் உள்ளன.
- உள்ளூர்/சுயமாகத் தொகுக்கப்பட்டவை (Local/Self-hosted): உங்கள் கணினியிலேயே இருக்க வேண்டிய ஒழுங்குமுறைத் தரவுகளுக்கு (regulated data) பயன்படுத்தவும்.
பயிற்றுவிக்க மாட்டோம் என்ற உத்தரவாதம் என்பது ஒரு ஒப்பந்தம் மட்டுமே. அது ஒரு தொழில்நுட்பக் கேடயம் அல்ல. அது அபாயத்தைக் குறைக்கிறது, ஆனால் அதை முற்றிலுமாகத் தடுத்துவிடாது.
AI உங்கள் குறியீட்டைத் தொடங்குவதற்கு முன் இந்த வழிமுறைகளைப் பின்பற்றுங்கள்:
- உங்கள் AI கருவிகளுக்காக ஒரு ignore கோப்பைச் சேர்க்கவும்.
- நீங்கள் ஒட்டும் அனைத்தையும் ஸ்கேன் செய்யவும்.
- அனைத்துத் தரவுகளையும் (credentials) placeholders மூலம் மறைக்கவும்.
- பிரத்யேகப் பணிகளுக்குக் கட்டணத் திட்டங்களைப் பயன்படுத்தவும்.
- ரகசியங்களை plaintext-இல் இல்லாமல் இருக்க ஒரு KMS-ஐப் பயன்படுத்தவும்.
- AI வெளியீட்டை உங்கள் பதிவுகள் (logs) அல்லது commits-இல் சேர்ப்பதற்கு முன் சரிபார்க்கவும்.
நான்கு வினாடி பதில் இன்னும் வேகமாகத்தான் இருக்கும். ஆனால் அது உங்கள் பாதுகாப்பை இழக்கச் செய்யாது.
Optional learning community: https://t.me/GyaanSetuAi
