Linux Foundation نے AI سے پیدا ہونے والے اوپن سورس خطرات سے نمٹنے کے لیے Akrites کا آغاز کر دیا ہے
مصنوعی ذہانت (AI) کی تیز رفتار ترقی نے سائبر سیکیورٹی کے منظر نامے کو بنیادی طور پر بدل دیا ہے، جس سے حملہ آوروں کو کوڈ کی کمزوریوں کو غیر معمولی رفتار سے اسکین کرنے اور ان کا فائدہ اٹھانے کی صلاحیت مل گئی ہے۔ اس بڑھتے ہوئے خطرے کا مقابلہ کرنے کے لیے، Linux Foundation نے Akrites کا آغاز کیا ہے، جو کہ ایک وسیع پیمانے کا اشتراکی اقدام ہے جسے AI سے چلنے والے حملوں کے ذریعے اوپن سورس کی اہم خامیوں کے ہتھیار بننے سے پہلے انہیں ٹھیک (patch) کرنے کے لیے ڈیزائن کیا گیا ہے۔
AI سے تیز رفتار ہونے والے حملوں کے خلاف ایک متحد محاذ
Akrites کے پیچھے اصل مقصد سائبر سیکیورٹی میں بدلتے ہوئے "طاقت کے توازن" کا براہ راست جواب دینا ہے۔ تاریخی طور پر، بگ (bugs) کو تلاش کرنے اور انہیں ٹھیک کرنے کے لیے دفاعی اور جارحانہ دونوں اطراف سے اہم انسانی مہارت کی ضرورت ہوتی تھی۔ تاہم، جدید LLMs اور AI ماڈلز اب ہفتوں کے بجائے منٹوں میں وسیع کوڈ بیسز کو اسکین کر سکتے ہیں، جس سے پیچیدہ حملوں کے لیے رکاوٹیں کم ہو گئی ہیں۔
اس مسئلے سے نمٹنے کے لیے، 20 ٹیک کمپنیوں، AI لیبز اور مالیاتی اداروں کے ایک اتحاد نے یہ اتحاد قائم کیا ہے۔ بانی ارکان میں Amazon Web Services (AWS), Anthropic, Google, Microsoft, NVIDIA, OpenAI, IBM, اور Cisco جیسے صنعتی رہنما شامل ہیں، ساتھ ہی JPMorganChase اور Citi جیسے بڑے مالیاتی ادارے بھی شامل ہیں۔ وسائل کا یہ ارتکاز AI سے ہونے والی دریافت کی رفتار اور دستی طور پر پیچ (patching) کرنے کی موجودہ سستی کے درمیان فرق کو ختم کرنے کا مقصد رکھتا ہے۔
"Patchwork" (ٹکڑوں میں کام کرنے) کے ردعمل کے مسئلے کا حل
موجودہ سیکیورٹی طریقے اکثر بکھرے ہوئے اور غیر موثر ہوتے ہیں۔ بہت سی تنظیمیں ایک ہی پیکجز پر آزادانہ طور پر اسکین کرتی ہیں، جس کے نتیجے میں غیر ضروری رپورٹس اور متضاد پیچ (patches) سامنے آتے ہیں۔ یہ "patchwork" ماڈل اوپن سورس مینٹینرز کو ڈپلیکیٹ نتائج کے ڈھیر کے نیچے دبا دیتا ہے، جس کی وجہ سے اکثر حقیقی اور قابلِ استعمال بگ شور میں گم ہو جاتے ہیں۔
اس کی سنگینی کا اندازہ Endor Labs کے ڈیٹا سے ہوتا ہے، جو ظاہر کرتا ہے کہ حالیہ مہینوں میں شناخت کی گئی ہزاروں تصدیق شدہ اوپن سورس کمزوریوں میں سے پانچ فیصد سے بھی کم کو اصل میں ٹھیک (patch) کیا گیا ہے۔ Akrites اس مسئلے کو ایک مشترکہ Security Incident Response Team (SIRT) کے ذریعے حل کرنے کی کوشش کرتا ہے۔ یہ ٹیم رابطے کے ایک مرکزی نقطہ کے طور پر کام کرتی ہے، جو رپورٹس کی جانچ پڑتال کرتی ہے، ڈپلیکیٹ نتائج کو فلٹر کرتی ہے، اور براہ راست پروجیکٹ مینٹینرز کے ساتھ ہموار اصلاحات کے لیے رابطہ کاری کرتی ہے۔
معیاری انکشاف اور "Maintainer of Last Resort"
Akrites سخت Coordinated Vulnerability Disclosure پروٹوکولز کے تحت کام کرتا ہے۔ ایسے لیکس (leaks) کو روکنے کے لیے جو حملہ آوروں کو خبردار کر سکتے ہیں، یہ اقدام Traffic Light Protocol (TLP) کا استعمال کرتا ہے، جہاں تمام ابتدائی رپورٹس TLP:RED سے شروع ہوتی ہیں—جو کہ رازداری کی اعلیٰ ترین سطح ہے۔ یہ فریم ورک تکنیکی تسلسل کو یقینی بنانے کے لیے CVE identifiers اور CVSS severity scoring جیسے قائم شدہ صنعتی معیارات کو بھی ضم کرتا ہے۔
Akrites کی اہم ترین ایجادات میں سے ایک متروک یا کم وسائل والے پروجیکٹس کے حوالے سے اس کا طریقہ کار ہے۔ اوپن سورس ایکو سسٹم میں، بہت سے اہم پیکجز رضاکاروں کے ذریعے چلائے جاتے ہیں جن کے پاس فوری سیکیورٹی خطرات سے نمٹنے کے لیے وسائل کی کمی ہو سکتی ہے۔ Akrites ایک "maintainer of last resort" کے طور پر کام کرنے کا منصوبہ رکھتا ہے، جو ان اہم پیکجز کے لیے پیچ (patches) فراہم کرنے کے لیے مداخلت کرے گا جن کے اب کوئی فعال مینٹینرز نہیں رہے، تاکہ عالمی سافٹ ویئر سپلائی چین کو محفوظ رکھا جا سکے۔
اہم نکات
- AI سے پیدا ہونے والی فوری ضرورت: Akrites کو ان AI ماڈلز کا مقابلہ کرنے کے لیے ڈیزائن کیا گیا ہے جو انسانی ڈویلپرز کے مقابلے میں سافٹ ویئر کی کمزوریوں کو کہیں زیادہ تیزی سے پہچان سکتے ہیں اور ان کا فائدہ اٹھا سکتے ہیں۔
- مرکزی ذہانت: ایک واحد SIRT کا استعمال کرتے ہوئے، یہ اقدام غیر ضروری رپورٹنگ کو ختم کرتا ہے اور اوپن سورس مینٹینرز پر انتظامی بوجھ کو کم کرتا ہے۔
- سپلائی چین کا تحفظ: یہ پروگرام "maintainer of last resort" کا ماڈل متعارف کرواتا ہے تاکہ اس بات کو یقینی بنایا جا سکے کہ اہم اور غیر منظم پیکجز کو ان کے استعمال سے پہلے ٹھیک (patch) کر دیا جائے۔
