टेकक्रंच ने लिखा कि जनरेटिव AI व्यवसायिक सुरक्षा समस्याओं को अधिक प्राथमिकता दे रहा है। गूगल क्लाउड के मुख्य संचालन अधिकारी फ्रैंसिस डी सूज़ा ने एक कार्यक्रम में कहा कि व्यवसाय जब AI को लागू करते हैं, तो सुरक्षा को बाद में भरपाई के लिए छोड़ नहीं सकते और न ही इसे कर्मचारियों को अलग-अलग संभालने के लिए छोड़ सकते हैं। उनके अनुसार, AI रणनीति को डेटा रणनीति और सुरक्षा रणनीति के साथ समानांतर रूप से आगे बढ़ाया जाना चाहिए।
लेख में बताया गया है कि यह निर्णय लेने की प्रक्रिया नई नहीं है, लेकिन AI उपकरणों के तेजी से उद्यम प्रक्रियाओं में शामिल होने के बाद, जोखिम तेजी से सामने आ रहे हैं। डी सोउजा ने विशेष रूप से "छाया AI" समस्या का उल्लेख किया, जिसमें कर्मचारी कंपनी के शासन को छोड़कर सीधे व्यक्तिगत AI उपकरणों का उपयोग करते हैं। ऐसा करने से कंपनियों के लिए ऑडिट, अधिकार नियंत्रण और डेटा प्रबंधन को समन्वयित करना कठिन हो जाता है।
आक्रमण का क्षेत्र अब केवल पारंपरिक नेटवर्क तक सीमित नहीं है
डी सोउजा का मानना है कि पुराने रक्षात्मक मॉडल वर्तमान गति के साथ अपडेट नहीं हो पा रहे हैं। लेख उनके शब्दों का हवाला देते हुए कहता है कि प्रणाली के पहले हमले से लेकर हमले के अगले चरण तक का औसत अंतराल 8 घंटे से घटकर 22 सेकंड हो गया है। इसी बीच, उद्यमों को अब केवल नेटवर्क और एंडपॉइंट्स ही नहीं, बल्कि अधिक चीजों की सुरक्षा करनी होगी।
वर्तमान जोखिमों में मॉडल, ट्रेनिंग डेटा पाइपलाइन, एजेंट और प्रॉम्प्ट्स जैसे नए चरण शामिल हैं। खासकर कंपनी के अंदर चल रहे AI एजेंट, कई वर्षों से अनदेखी हुई डेटा वेयरहाउस को स्वचालित रूप से खोज सकते हैं और मूल रूप से छिपाई गई संवेदनशील जानकारी को फिर से प्रकट कर सकते हैं।
गूगल मंच-आधारित सुरक्षा का दावा करता है
डी सोउजा द्वारा प्रस्तावित उत्तर यह है कि रक्षा को भी "मशीन से मशीन" की ओर ले जाया जाए। उन्होंने कहा कि उद्यमों को व्यवसाय को लाइव करने के बाद अलग-अलग छेद भरने के बजाय, विभिन्न क्लाउड वातावरणों और मॉडलों के बीच सुरक्षा नीतियों को समान रखने के लिए प्लेटफॉर्म-आधारित दृष्टिकोण अपनाना चाहिए।
उन्होंने यह भी कहा कि यह अब केवल सुरक्षा टीम का कार्य नहीं है, बल्कि बोर्ड और प्रबंधन को सीधे शामिल होना होगा। कारण यह है कि AI उद्यमों के आंतरिक प्रणालियों तक पहुंच को बदल रहा है, और पारंपरिक मानव-आधारित प्रतिक्रिया पर निर्भर सुरक्षा प्रक्रियाएं समय पर संभालने में कठिन होती जा रही हैं।
हालांकि, लेख में यह भी उल्लेख किया गया है कि वर्तमान में ऐसे सिस्टम की निगरानी के लिए पर्याप्त लोगों की कमी है। लिंक्डइन के मुख्य सूचना सुरक्षा अधिकारी ली किसनर ने इस हफ्ते न्यूयॉर्क टाइम्स को बताया कि AI के कारण दरारों की वृद्धि की दर अभी भी सुरक्षा टीमों की संसाधन क्षमता से तेज है, और उद्योग को अधिक स्थिर AI सुरक्षा जागरूकता विकसित करने में कुछ वर्षों का समय लग सकता है।
जेमिनी घटना ने प्लेटफॉर्म के निष्पादन में अंतर को उजागर किया
लेख के अनुसार, Google Cloud द्वारा बाहरी उपयोगकर्ताओं के लिए दी गई सुरक्षा सलाह तो तर्कसंगत है, लेकिन प्लेटफॉर्म के स्वयं के कार्यान्वयन में स्पष्ट अंतराल मौजूद है। The Register ने हाल ही में लगातार रिपोर्ट किया है कि कई Google Cloud डेवलपर्स को अनधिकृत Gemini API कॉल के कारण लाखों डॉलर के बिल मिले, और इनमें से कुछ लोगों ने पहले से ही संबंधित सेवा सक्रिय नहीं की थी।
रिपोर्ट में उल्लेख किया गया कि इन मामलों का अधिकांश भाग खुले API कुंजियों से संबंधित है। इन संबंधित कुंजियों का उपयोग Google Maps के लिए किया जाता था और Google के पूर्व निर्देशों के अनुसार इन्हें खुले स्थान पर रखा गया था। बाद में, Google ने इन कुंजियों के उपयोग की सीमा बढ़ा दी, लेकिन डेवलपर्स को इस परिवर्तन के बारे में स्पष्ट रूप से सूचित नहीं किया गया, जिसके परिणामस्वरूप हमलावरों ने Gemini सेवाओं तक पहुँच प्राप्त कर उच्च शुल्क उत्पन्न कर दिए।
- Prentus ने 30 मिनट में 10138 डॉलर की बारिश की
- एक अन्य डेवलपर को लगभग 17,000 ऑस्ट्रेलियाई डॉलर का बिल मिला।
- अनुमानित सीमा अधिकतम 100,000 डॉलर तक हो सकती है
मीडिया रिपोर्ट के बाद, गूगल ने संबंधित डेवलपर्स को रिफंड कर दिया है, लेकिन स्वचालित अपग्रेड बिलिंग स्तर की नीति में बदलाव की योजना नहीं है। कंपनी का तर्क है कि प्लेटफॉर्म सेवा बाधा से बचने पर अधिक ध्यान केंद्रित करता है, बजट की सीमा के अनुसार कठोरता से कार्रवाई करने पर नहीं।
की डिलीट करने के बाद भी उपलब्ध विंडो है
लेख में सुरक्षा कंपनी Aikido के एक अध्ययन का उल्लेख किया गया है। अध्ययन के अनुसार, यहां तक कि यदि डेवलपर्स तुरंत कुंजी के रिवीलेशन का पता लगाकर इसे हटा दें, तो हमलावर अधिकतम 23 मिनट तक इस कुंजी का उपयोग कर सकते हैं, क्योंकि Google के रद्दकरण संचालन अवसंरचना में तुरंत प्रभावी नहीं होते, बल्कि धीरे-धीरे प्रसारित होते हैं।
एकिडो अनुसंधानकर्ता जोसेफ लियोन के अनुसार, इस समयावधि के दौरान अनुरोधों की प्रमाणीकरण सफलता अस्थिर रही, लेकिन कुछ समयों में सफलता दर 90% से अधिक रही। हमलावर इस खिड़की का उपयोग करके फ़ाइलें निकाल सकते हैं या जेमिनी के कैश किए गए संवाद डेटा को पढ़ सकते हैं।
लियोन ने यह भी बताया कि Google के कुछ नए पार्य फॉर्मेट में ऐसी समस्या नहीं है। उदाहरण के लिए, सेवा खाता API पार्य लगभग 5 सेकंड में रद्द किए जा सकते हैं, और Gemini के नवीनतम AQ प्रारंभिक कुंजियाँ लगभग 1 मिनट में अमान्य हो जाती हैं। इसका मतलब है कि पुरानी कुंजियों की 23 मिनट की खिड़की तकनीकी रूप से असंभव नहीं है, बल्कि यह अधिकांशतः प्लेटफॉर्म की प्राथमिकता का परिणाम है।
अतिरिक्त जानकारी: यह लेख विदेशी मीडिया की राय पर आधारित है; मुख्य बात Google के सुरक्षा सुझावों को खारिज करना नहीं, बल्कि यह बताना है कि जबकि प्लेटफॉर्म उद्यमों के लिए प्रारंभिक सुरक्षा को बढ़ावा देता है, तब भी अपने उत्पादों, बिलिंग और कुंजी प्रबंधन पर प्रतिक्रिया की गति में अंतर है।