مون کي تازو ئي موقعو مليو ته فرانسس ڊي سوزا سان گڏ ويهڻ جو، گوگل ڪلائوڊ جي COO، لاس اينجلس ۾ هڪ تقريب ۾ اسٽيج جي پويان. اسان جي چوڌاري ڊن جي وچ ۾، ڊي سوزا، جيڪو هڪ يونيورسٽي جي پروفيسر جي پرسکون، ماپي انداز ۾ ڳالهائيندو آهي، ڪمپني لاء مفيد مشورو پيش ڪيو AI سيڪيورٽي لمحن کي نيويگيٽ ڪرڻ لاء جيڪو اسان سڀ گذاري رهيا آهيون، نوٽ ڪيو ته "هتي هڪ منتقلي وارو دور هوندو، ۽ پوء مان سمجهان ٿو ته اسان هن بهتر جڳهه تي پهچي سگهون ٿا."
هو ان وقت گوگل بابت نه ڳالهائي رهيو هو، پر اهو واضح آهي ته گوگل اڃا تائين شيون ڳولي رهيو آهي.
ڊي سوزا جو بنيادي پيغام اهو هو ته هڪ سيڪيورٽي پروفيشنل سالن کان عملدارن کي اندروني بڻائڻ جي ڪوشش ڪري رهيا آهن، هاڻي AI پاران فوري طور تي ٺاهيو ويو آهي: سيڪيورٽي بعد ۾ سوچي نه ٿي سگهي. "جيئن ته ڪمپنيون هن AI سفر تي شروع ڪن ٿيون، انهن کي هڪ پليٽ فارم جو طريقو وٺڻ جي ضرورت آهي،" هن چيو. "سيڪيورٽي اها شيء ناهي جيڪا توهان بعد ۾ بولٽ ڪري سگهو ٿا، ۽ اهو ڪجهه ناهي جيڪو توهان ملازمن کي ڇڏي ڏيو انهن کي پنهنجو پاڻ تي ڪرڻ لاء." هن خاص طور تي ”شيڊو اي آءِ“ بابت خبردار ڪيو - ملازمن کي صارف جي اوزارن تائين رسائي بغير تنظيمي نگراني جي - ۽ دليل ڏنو ته ڪمپنين کي شروع کان ئي انهن جي پليٽ فارمن کان سيڪيورٽي ، گورننس ۽ آڊيٽيبلٽي جو مطالبو ڪرڻ جي ضرورت آهي. "اهڙي ڪا به شيء ناهي ته AI حڪمت عملي جي بغير ڊيٽا جي حڪمت عملي ۽ سيڪيورٽي حڪمت عملي. انهن کي هٿ ۾ هٿ ڪرڻ جي ضرورت آهي."
نوٽ ڪرڻ جي قابل: هو اڪيلو گوگل ڪلائوڊ کي پچائي نه رهيو هو. جڏهن مون ڏٺو ته هن جي صلاح گوگل جي اشتهار وانگر لڳي، هن پوئتي ڌڪيو. گوگل، هن چيو ته، هڪ ملٽي ڪلائوڊ طريقي سان پرعزم آهي، ۽ هن اهو ڪيس ڪيو ته اهي ڪمپنيون جيڪي سمجهن ٿيون ته اهي هڪ واحد بادل تي ڪم ڪري رهيا آهن تقريبن يقيني طور تي نه آهن. ”جيتوڻيڪ اهي هڪ بادل چونڊيندا آهن ، اهي SaaS ايپليڪيشنن تي ڀروسو ڪري رهيا آهن ، اتي ڪاروباري ڀائيوار آهن جيڪي شايد مختلف بادل استعمال ڪري رهيا آهن ،“ هن چيو. "اها ضروري آهي ته ڪمپنين لاء هڪ حفاظتي پوزيشن آهي جيڪا بادل، ماڊل جي وچ ۾ مطابقت رکي ٿي."
هن اهو پڻ ڪيس ڪيو ته خطري جي منظرنامي کي بنيادي طور تي تبديل ڪيو ويو آهي ته پراڻي دفاعي ماڊل تمام سست آهن. هن نوٽ ڪيو ته شروعاتي ڀڃڪڙي ۽ حملي جي ايندڙ اسٽيج تائين هٿياربندن جي وچ ۾ اوسط وقت اٺ ڪلاڪن کان 22 سيڪنڊن تائين گهٽجي ويو آهي، ۽ حملي جي سطح روايتي نيٽ ورڪ جي حد کان ٻاهر وڌي وئي آهي. "توهان جي معمولي ملڪيت کان علاوه، توهان وٽ هاڻي ماڊل آهن. توهان وٽ ماڊلز کي ٽريننگ لاء استعمال ڪيل ڊيٽا پائپ لائنون آهن. توهان وٽ ايجنٽ آهن، توهان وٽ اشارو آهي. انهن سڀني کي محفوظ ڪرڻ جي ضرورت آهي."
ھڪڙو خطرو ڊي سوزا کي نشانو بڻايو ويو آھي جيڪو ڪافي ڌيان نٿو ڏئي: ايجنٽ ھڪڙي ڪمپني جي اندروني سسٽم ذريعي منتقل ٿي سگھي ٿو وساريل ڊيٽا جي ذخيري کي مٿاڇري ڪري سگھي ٿو جيڪو ڪنھن به سالن ۾ نه سوچيو آھي. "ڪيترن ئي تنظيمن وٽ پراڻا شيئر پوائنٽ سرور آهن [۽ رسائي ڪنٽرولز] اهي حقيقت ۾ اپڊيٽ نه ٿيا آهن، پر اهو مسئلو ناهي ڇو ته ڪنهن کي به خبر نه هئي ته اهي ڪٿي آهن. پر ايجنٽ جيڪي توهان جي ڪمپني کي روم ڪري رهيا آهن اهي اهي ڊيٽا اثاثا ڳوليندا ۽ انهن تي ڊيٽا کي ظاهر ڪندا.
جواب، هن جي نظر ۾، مشين جي رفتار سان مشين جي رفتار سان ملڻ آهي. "اسان هاڻي هڪ AI-آبائي، مڪمل طور تي ايجنٽ دفاع جو اڀرڻ ڏسي رهيا آهيون جتي تنظيمون پنهنجو دفاع هلائيندڙ ايجنٽ هلائي سگهن ٿيون،" هن چيو. "انساني اڳواڻي واري دفاع يا لوپ ۾ هڪ انسان جي بدران، توهان هاڻي انسانن کي مڪمل طور تي ايجنٽ دفاع جي نگراني ڪري سگهو ٿا." هن وڌيڪ شامل ڪيو ته اهو هڪ قيادت جو مسئلو بڻجي ويو آهي، نه رڳو هڪ ٽيڪنالاجي. "هي هڪ بورڊ جي سطح جو مسئلو آهي ۽ هڪ ايگزيڪيوٽو ٽيم جو مسئلو آهي. اهو صرف هڪ سيڪيورٽي ٽيم جو مسئلو ناهي."
پر جيئن ته AI وڌيڪ دفاعي ڪم جي لوڊ تي کڻندو آهي، ماڻهو ان جي نگراني ڪرڻ جي قابل آهن گهٽ سپلائي ۾ آهن - ۽ اهي خطرات جيڪي AI پاڻ متعارف ڪرائي رهيا آهن سيڪيورٽي ٽيمن جي ڀيٽ ۾ تيزيء سان وڌي رهيا آهن انهن کي حل ڪري سگهن ٿيون. ”اسان کي ماڻهن جي ضرورت پوندي ته بگ-پوڪائپس کي منهن ڏيڻ لاءِ ،“ LinkedIn جي چيف انفارميشن سيڪيورٽي آفيسر ليا ڪسنر هن هفتي نيويارڪ ٽائمز کي ٻڌايو ، هن وڌيڪ چيو ته هوءَ توقع نٿي ڪري ته صنعت AI سيڪيورٽي کي ڪنهن به پائيدار ڊگهي مدي ۾ سمجهي گهٽ ۾ گهٽ ڪيترن سالن تائين.
جيڪو اسان کي واپس پليٽ فارم فراهم ڪندڙن ڏانهن واپس آڻيندو آهي. رجسٽر گذريل ڪيترن ئي هفتن ۾ رپورٽن جو هڪ سلسلو شايع ڪيو آهي گوگل ڪلائوڊ ڊولپرز جي هڪ لهر کي دستاويز ڪندي پنجن انگن وارن بلن سان گڏ جيمني ماڊلز کي غير مجاز API ڪالن جي پٺيان - خدمتون انهن مان ڪيترن کي ڪڏهن به استعمال يا ارادي سان فعال نه ڪيو ويو آهي. ڪيس هڪ واقف نموني جي پيروي ڪئي: API ڪيچ اصل ۾ گوگل ميپس لاءِ ترتيب ڏنيون ويون ، گوگل جي پنهنجي هدايتن مطابق عوامي طور تي رکيل آهن ، خاموشي سان Gemini تائين رسائي حاصل ڪرڻ جي قابل ٿي چڪيون آهن گوگل کان پوءِ انهن جو دائرو وڌايو بغير واضح طور تي تبديلي کي ظاهر ڪرڻ جي. راڊ ڊانان، انٽرويو-پريپ پليٽ فارم پرينٽس جي سي اي او، چيو ته هن جو بل تقريباً 30 منٽن ۾ $10138 اچي ويو جڏهن ته حملي آورن هن جي سمجھوتي ڪيل API چاٻي جو استحصال ڪيو. Isuru Fonseka، هڪ سڊني جي بنياد تي ڊولپر جنهن جو اڪائونٽ ساڳئي طرح سمجهوتو ڪيو ويو هو، تقريبن AUD $ 17000 جي الزامن کي مڃڻ جي باوجود هن جي جاء تي $ 250 خرچ جي ڪيپ هئي. ڇا نه ڄاڻندو هو ته گوگل جي خودڪار نظام انهن جي بلنگ جي درجي کي اپڊيٽ ڪيو هو اڪائونٽ جي تاريخ جي بنياد تي، انهن جي مؤثر حدن کي وڌائي $100000 تائين واضح اجازت کان سواء.
The Register پنهنجي شروعاتي رپورٽ شايع ڪرڻ کان پوءِ گوگل ٻنهي کي واپس ڪيو. اڃا تائين، گوگل ٻڌايو رجسٽرڊ ان کي پنهنجي خودڪار ٽائر اپ گريڊ پاليسي کي تبديل ڪرڻ جو ڪو به منصوبو ناهي، اهو چوڻ آهي ته اهو صارفين جي بيان ڪيل بجيٽ ترجيحن کي لاڳو ڪرڻ تي خدمت جي بندش کي روڪڻ کي ترجيح ڏئي ٿو.
ساڳئي وقت ۾، اتي الڳ سوال آهي ته ڇا ٿيندو جڏهن هڪ ڊولپر شين کي بند ڪرڻ جي ڪوشش ڪندو آهي. رجسٽر هن هفتي سيڪيورٽي فرم ايڪيڊو جي تحقيق تي ٻڌايو ته اهو به ڊولپرز جيڪي سمجهوتي ڪيل چيڪ کي پڪڙيندا آهن ۽ ان کي فوري طور تي حذف ڪري سگھن ٿا محفوظ نه هوندا. Aikido جي نتيجن موجب، حملو ڪندڙ ظاهري طور تي 23 منٽن تائين انهي ڪيچ کي استعمال ڪندي جاري رکي سگهن ٿا ڇاڪاڻ ته گوگل جي منسوخي ان جي انفراسٽرڪچر ۾ آهستي آهستي پروپيگنڊا ٿي رهي آهي. ايڪيڊو جي محقق جوزف ليون دي رجسٽر کي ٻڌايو ته انهي ونڊو دوران، ڪاميابي جي شرح غير متوقع آهن - ڪجهه منٽن ۾ 90 سيڪڙو کان وڌيڪ درخواستون اڃا به تصديق ٿيل آهن - ۽ حملي ڪندڙ وقت کي استعمال ڪري سگهن ٿا فائلن کي ڪڍڻ ۽ ڪيش ڪيل گفتگو ڊيٽا کي Gemini کان.
Leon اهو پڻ نوٽ ڪيو ته گوگل جي پنهنجي نئين سندي فارميٽ ۾ ساڳيو مسئلو نظر نٿو اچي: سروس اڪائونٽ API سندون اٽڪل پنج سيڪنڊن ۾ رد ٿي وڃن ٿيون، ۽ Gemini جي نئين AQ-prefixed key format ۾ لڳ ڀڳ هڪ منٽ لڳن ٿا. ”ٻئي هلن ٿا گوگل اسڪيل تي،“ هن لکيو Aikido جي لاڳاپيل پيپر ۾. "ٻنهي جو مشورو آهي ته هي ٽيڪنيڪل طور تي گوگل API چابين لاءِ پڻ حل ڪيو وڃي ٿو." مختصر ۾، ليون جي مطابق، 23 منٽ ونڊو هڪ انجنيئرنگ رڪاوٽ نه آهي پر ڪمپني لاء ترجيحن جو معاملو آهي.
اهو غور ڪرڻ جي قابل آهي جڏهن ڊي سوزا جي مشوري کي پڙهو، جيڪو آواز آهي ۽ تمام سنجيدگي سان ورتو وڃي. هو غلط ناهي، پر هن وقت پليٽ فارمن جي وچ ۾ هڪ خال آهي جيڪو پيش ڪري رهيا آهن ۽ اهي پاڻ کي ڪيئن تيزيء سان ترتيب ڏئي رهيا آهن، ۽ انهي کان واقف ٿيڻ سٺو آهي.
