آفٹر مارکیٹ تشخیص
جین ایسٹرلی نے حال ہی میں سائبر سیکیورٹی کی ایک گہری تشخیص شیئر کی ہے۔ انہوں نے کہا کہ ہمیں سائبر سیکیورٹی کا مسئلہ نہیں ہے، بلکہ ہمیں سافٹ ویئر کے معیار کا مسئلہ ہے۔
ہم ایسی خامیوں کو ٹھیک کرنے کے لیے ایک پوری صنعت بنانے میں دہائیاں صرف کر دیتے ہیں جن کا کبھی وجود ہی نہیں ہونا چاہیے تھا۔
مقصد سیکیورٹی کو "اپ اسٹریم" (upstream) منتقل کرنا ہے۔ ہمیں شروع سے ہی کوڈ میں سیکیورٹی شامل کرنی چاہیے۔ ہمیں اسے بعد میں الگ سے جوڑنے (bolt on) کی ضرورت نہیں ہونی چاہیے۔
ان کی تشخیص درست ہے۔ لیکن ان کا تجویز کردہ علاج غلط ہے۔
Anthropic کے Project Glasswing جیسے ٹولز کمزوریوں (vulnerabilities) کو تلاش کرتے ہیں اور انہیں ٹھیک کرنے میں مدد کرتے ہیں۔ یہ طریقہ تیز ہے۔ یہ سستا ہے۔ یہ بہتر ہے۔
لیکن یہ اب بھی ایک "آفٹر مارکیٹ" حل ہے۔
کسی بگ (bug) کو تیزی سے تلاش کرنا اب بھی بگ کو تلاش کرنا ہی ہے۔ اسے سستے میں ٹھیک کرنا اب بھی اسے ٹھیک کرنا ہی ہے۔ کمزوری اب بھی موجود ہے۔ اسے تخلیق کیا گیا تھا۔ اسے نافذ (deploy) کیا گیا تھا۔ پھر AI نے اسے ڈھونڈ لیا۔
یہ آفٹر مارکیٹ کا خاتمہ نہیں ہے۔ یہ صرف ایک تیز رفتار آفٹر مارکیٹ ہے۔
حقیقی اپ اسٹریم سیکیورٹی یقینی قواعد (deterministic rules) کا استعمال کرتی ہے۔ یہ احتمالی ماڈلز (probabilistic models) کا استعمال نہیں کرتی۔
حقیقی اپ اسٹریم سیکیورٹی کچھ اس طرح ہوتی ہے:
• انسان یہ طے کرتے ہیں کہ کوڈ لکھنے سے پہلے کن چیزوں کا درست ہونا ضروری ہے۔ • مشینیں اس اعلامیہ کے مطابق ہر تبدیلی کی تصدیق کرتی ہیں۔ • سسٹم ایسی کسی بھی چیز کو مسترد کر دیتا ہے جو اصول کی خلاف ورزی کرتی ہو۔
ہوا بازی (aviation) اور ایٹمی پلانٹس اسی طرح کام کرتے ہیں۔ ایک پائلٹ پرواز کے بعد غلطیاں نہیں ڈھونڈتا۔ ایک فلائٹ کمپیوٹر پرواز کے دوران غیر محفوظ حالات کو روکتا ہے۔
سافٹ ویئر میں، ہمیں بھی ایسا ہی کرنا چاہیے۔
اگر کوئی کمزوری قابلِ پیش گوئی ہے، تو ہمیں اسے واضح کر دینا چاہیے۔
• پبلک S3 buckets کی اجازت نہ دیں۔ • غیر تصدیق شدہ (unauthenticated) API درخواستوں کی اجازت نہ دیں۔ • ڈیپینڈنسیز (dependencies) میں معلوم سنگین خامیوں کی اجازت نہ دیں۔
اگر آپ یہ قواعد طے کر دیتے ہیں، تو وہ کمزوری کبھی پیدا ہی نہیں ہوگی۔ آپ کو اسے تلاش کرنے کی ضرورت نہیں پڑے گی۔ آپ کو اسے پیچ (patch) کرنے کی ضرورت نہیں پڑے گی۔ آپ کو اسے پکڑنے کے لیے AI پر پیسہ خرچ کرنے کی ضرورت نہیں پڑے گی۔
AI نئے اور نامعلوم پیٹرنز تلاش کرنے کے لیے بہترین ہے۔ لیکن معلوم کنفیگریشن کی غلطیوں کو چیک کرنے کے لیے AI کا استعمال کرنا غلط آلے کا استعمال ہے۔ یہ بالکل ایسا ہی ہے جیسے تھرمامیٹر موجود ہونے کے باوجود درجہ حرارت ناپنے کے لیے کسی نظم کا سہارا لیا جائے۔ تھرمامیٹر درست ہوتا ہے۔ نظم محض ایک رائے ہے۔
AI کو استعمال کرنے کا بہترین طریقہ ایک ریچٹ (ratchet) کے طور پر ہے:
- AI ایک نئی قسم کی کمزوری تلاش کرتا ہے۔
- انسان اس دریافت کا جائزہ لیتے ہیں۔
- انسان اس قسم کی غلطی کو ہمیشہ کے لیے روکنے کے لیے ایک نیا قاعدہ لکھتے ہیں۔
- مشین خود بخود اس قاعدے پر عمل درآمد کرتی ہے۔
یہ ہر گزرتے دن کے ساتھ AI کے کام کو کم کرتا جاتا ہے۔
ہمیں کسی جادوئی حل (silver bullet) کی ضرورت نہیں ہے۔ ہمیں اعلامیہ، تصدیق اور دریافت کے ایک نظام کی ضرورت ہے۔
اختیاری سیکھنے کی کمیونٹی: https://t.me/GyaanSetuAi