گھر
خبریں
تفصیلات

گوگل کو جیمینی API بلنگ کے مسائل کے ظہور کے ساتھ AI سیکورٹی چیلنجز کا سامنا ہے

icon币界网
بانٹیں
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconخلاصہ

expand icon
گوگل کلاؤڈ کے COO فرانسس دی سوزا نے چیتن کیا کہ AI کی حکمت عملیوں کو ڈیٹا اور سیکورٹی منصوبوں کے ساتھ مطابقت رکھنا چاہیے، نہ کہ اسے بعد میں سوچا جائے۔ ایک حالیہ سیکورٹی بریچ نے گوگل کے اجراء میں خامیوں کو ظاہر کیا، جس میں ڈویلپرز نے غیر اجازت دی گئی جیمنی API تک رسائی کی وجہ سے اعلیٰ فراہمی کا سامنا کیا۔ دی رجسٹر نے رپورٹ کیا کہ گوگل میپس کے لیے اصلی طور پر استعمال ہونے والے API کلیدز کو جیمنی تک رسائی کے لیے استعمال کیا گیا، جس سے 10,000 امریکی ڈالر تک کے بل بن گئے۔ گوگل نے صارفین کو رقم واپس کر دی، لیکن اپنی بلنگ پالیسی میں تبدیلی نہیں کرے گا۔ اکیدو نے پایا کہ حذف کردہ کلیدز 23 منٹ تک استعمال ہوسکتی تھیں کیونکہ ان کی منسوخی میں تاخیر ہوئی۔ AI + کرپٹو خبروں میں پلیٹ فارم لیول سیکورٹی خطرات پر زور دیا جارہا ہے۔
CoinDesk کی رپورٹ:

ٹیک کرانچ نے ایک مضمون میں بتایا کہ جنریٹو AI کاروباری حفاظت کے مسائل کو اہمیت کے مرکز میں لے آرہا ہے۔ گوگل کلاؤڈ کے سی ای او فرانسس دے سوزا نے ایک تقریب میں کہا کہ کاروبار جب AI کو لاگو کر رہے ہوں، تو حفاظت کو بعد میں یا ملازمین کے لیے الگ الگ چھوڑنا نہیں چاہیے۔ ان کے مطابق، AI کی حکمت عملی کو ڈیٹا اور حفاظت کی حکمت عملی کے ساتھ ایک ساتھ لاگو کیا جانا چاہیے۔

یہ مضمون بتاتا ہے کہ یہ جائزہ خود نئے نہیں ہیں، لیکن AI ٹولز کے تیزی سے کاروباری عمل میں داخل ہونے کے بعد، خطرات زیادہ تیزی سے سامنے آ رہے ہیں۔ دے سوزا نے خاص طور پر "چھپا ہوا AI" کے مسئلے کو اٹھایا، جس میں ملازمین کمپنی کے حکومتی نظام کو چھوڑ کر ذاتی AI ٹولز کا استعمال کرتے ہیں۔ اس طرح کرنے سے کمپنیوں کو آڈٹ، اجازت کنٹرول اور ڈیٹا مینجمنٹ کو ایک ساتھ رکھنا مشکل ہو جاتا ہے۔

حملہ کا سطح صرف روایتی نیٹ ورک تک محدود نہیں ہے

دی سوزا کا خیال ہے کہ قدیم دفاعی ماڈل موجودہ رفتار کے ساتھ مطابقت نہیں رکھتے۔ مضمون میں ان کے الفاظ کا حوالہ دیا گیا ہے کہ سسٹم کے پہلے ہیک ہونے اور حملے کے اگلے مرحلے تک پہنچنے کے درمیان اوسط فاصلہ 8 گھنٹوں سے گھٹ کر 22 سیکنڈ رہ گیا ہے۔ اس کے علاوہ، کاروباروں کو اب صرف نیٹ ورک اور ایند پوائنٹس کی حفاظت کرنے کی ضرورت نہیں ہے۔

اب کے خطرات میں ماڈل، ٹریننگ ڈیٹا پائپ لائن، ایجینٹس اور پرومپٹس جیسے نئے ایلیمنٹس بھی شامل ہیں۔ خاص طور پر، کمپنی کے اندر چلنے والے AI ایجینٹس ممکنہ طور پر سالوں سے نظرانداز کیے گئے ڈیٹا ویئر ہاؤسز کو خودکار طور پر دریافت کر سکتے ہیں اور اصل میں چھپائی گئی حساس معلومات کو دوبارہ سامنے لے آ سکتے ہیں۔

گوگل پلیٹ فارم کی حفاظت کا دعویٰ کرتا ہے

دی سوزا نے یہ تجاویز دی کہ دفاع بھی "مشین سے مشین" کی طرف موڑ دیا جائے۔ ان کا کہنا تھا کہ کاروبار کو پلیٹ فارم کے طریقہ کار کو اپنانا چاہئے، تاکہ مختلف کلاؤڈ ماحولات اور مختلف ماڈلز کے درمیان مسلسل سیکیورٹی پالیسیاں برقرار رہ سکیں، اور نہ کہ بزنس لانچ کے بعد ہر ایک خامی کو الگ الگ درست کیا جائے۔

اس نے مزید کہا کہ یہ صرف سیکورٹی ٹیم کا کام نہیں رہ گیا، بلکہ بورڈ اور مینجمنٹ کو براہ راست شرکت کرنی ہوگی۔ اس کا سبب یہ ہے کہ AI کمپنیوں کے اندر کے سسٹمز تک رسائی کے طریقے تبدیل کر رہا ہے، اور روایتی، انسانی جواب پر منحصر سیکورٹی عملے کو اب وقت پر جواب دینا مشکل ہو رہا ہے۔

تاہم، مضمون میں یہ بھی کہا گیا ہے کہ صنعت کو ابھی تک اس قسم کے نظام کی نگرانی کرنے والے کافی ماہرین کی کمی ہے۔ لینکڈ ان کے سربراہ معلوماتی تحفظ افسر لیا کسنر نے اس ہفتہ نیو یارک ٹائمز کو بتایا کہ AI کی وجہ سے خامیوں کا اضافہ اب بھی حفاظتی ٹیموں کی معالجہ کی صلاحیت سے زیادہ تیز ہے، اور صنعت کو زیادہ مستحکم AI سیکورٹی کا احساس حاصل کرنے میں شاید کئی سال لگ جائیں۔

جیمنی واقعہ پلیٹ فارم کے انجام کے درمیان فرق کو ظاہر کرتا ہے

آرٹیکل کے مطابق، گوگل کلاؤڈ کی طرف سے دی گئی سیکیورٹی تجاویز منطقی ہیں، لیکن پلیٹ فارم کے اپنے انجام کے لحاظ سے واضح کمیاں بھی موجود ہیں۔ دی رجسٹر نے حال ہی میں متعدد بار رپورٹ کیا ہے کہ کئی گوگل کلاؤڈ ڈویلپرز کو بغیر اجازت Gemini API کے استعمال کی وجہ سے ہزاروں ڈالر کے بل موصول ہوئے، جبکہ ان میں سے کچھ نے پہلے سے ہی متعلقہ سروسز کو فعال نہیں کیا تھا۔

رپورٹ میں کہا گیا کہ ان موارد کا زیادہ تر تعلق عوامی طور پر اکشیبل API کلیدوں سے ہے۔ یہ کلیدیں اصل میں گوگل میپس کے لیے استعمال کی جا رہی تھیں اور گوگل کے پہلے ہدایات کے مطابق عوامی جگہوں پر رکھی گئی تھیں۔ بعد میں، گوگل نے ان کلیدوں کے قابل دسترس دائرہ کار کو وسعت دے دیا، لیکن ڈویلپرز کو اس تبدیلی کے بارے میں واضح طور پر آگاہ نہیں کیا گیا، جس کے نتیجے میں حملہ آور Gemini سروس تک رسائی حاصل کر سکے اور اعلیٰ خرچ کا سبب بنے۔

  • پرینٹس نے کہا کہ 30 منٹ میں 10138 امریکی ڈالر کا بھرپور ڈالر بھر دیا گیا
  • ایک اور ڈیولپر کو تقریباً 17,000 آسٹریلیان ڈالر کا بل ملا۔
  • آٹو اپگریڈ کے بعد اصل لِمٹ 100,000 امریکی ڈالر تک ہو سکتا ہے

میڈیا کی رپورٹس کے بعد، گوگل نے متعلقہ ڈیولپرز کو ریفند کر دیا ہے، لیکن آٹومیٹک اپ گریڈ بلنگ لیول کی پالیسی میں تبدیلی کی منصوبہ بندی نہیں کی گئی ہے۔ کمپنی کا استدلال ہے کہ پلیٹ فارم سروس کے中断 سے بچنے پر زور دیتا ہے، نہ کہ صارفین کے مقرر کردہ بجٹ لِمٹس کے سختی سے پابند رہنے پر۔

کلید کو حذف کرنے کے باوجود اب بھی دستیاب ونڈو موجود ہے

مضمون میں ایکڈو کے محفوظ کمپنی کے ایک تحقیق کا ذکر بھی ہے۔ تحقیق کے مطابق، یہاں تک کہ اگر ڈویلپرز کو کلید کی ناقص صلاحیت کا پتہ چل جائے اور وہ فوراً اسے حذف کر دیں، تو حملہ آور اس کلید کا استعمال 23 منٹ تک جاری رکھ سکتے ہیں، کیونکہ گوگل کے منسوخ کرنے کے عمل میں بنیادی ڈھانچے میں تدریجی طور پر انتشار ہوتا ہے، نہ کہ فوری طور پر۔

ایکیدو ریسرچر جوزف لیون کے مطابق، اس دوران درخواستوں کی تصدیق کا عمل مستقل نہیں ہے، لیکن کچھ اوقات میں کامیابی کی شرح 90 فیصد سے زیادہ بھی ہو سکتی ہے۔ حملہ آور اس ونڈو کا فائدہ اٹھا کر فائلیں برآمد کر سکتے ہیں یا جمنی کے کیش ڈائیلاگ ڈیٹا کو پڑھ سکتے ہیں۔

لیون نے یہ بھی اشارہ کیا کہ گوگل کے کچھ نئے اعتمادی اداروں کا فارمیٹ اسی مسئلے سے متاثر نہیں ہے۔ مثال کے طور پر، سروس اکاؤنٹ API اعتمادی ادارے تقریباً 5 سیکنڈ میں منسوخ ہو جاتے ہیں، جبکہ جیمنی کے نئے AQ پریفکس کلیدیں تقریباً ایک منٹ میں بے اثر ہو جاتی ہیں۔ اس کا مطلب ہے کہ پرانی کلید کا 23 منٹ کا ونڈو صرف ٹیکنالوجی کے لحاظ سے حل نہ ہونے کا نتیجہ نہیں، بلکہ پلیٹ فارم کی ترجیحات کا نتیجہ لگتا ہے۔

اضافی معلومات: یہ مضمون ایک غیر ملکی رائے کا مضمون ہے، جس کا مرکزی نقطہ گوگل کی سیکیورٹی تجاویز کو مسترد کرنا نہیں بلکہ یہ ظاہر کرنا ہے کہ جبکہ پلیٹ فارم کاروباری سطح پر پہلے سے تحفظ کی ترغیب دے رہا ہے، لیکن اس کے اپنے پروڈکٹس، بلنگ اور کلیدیات کے انتظام میں جوابی رفتار کا فرق موجود ہے۔

ذریعہ:اصل دکھائیں۔
اعلان دستبرداری: اس صفحہ پر معلومات تیسرے فریق سے حاصل کی گئی ہوں گی اور یہ ضروری نہیں کہ KuCoin کے خیالات یا خیالات کی عکاسی کرے۔ یہ مواد کسی بھی قسم کی نمائندگی یا وارنٹی کے بغیر صرف عام معلوماتی مقاصد کے لیے فراہم کیا گیا ہے، اور نہ ہی اسے مالی یا سرمایہ کاری کے مشورے کے طور پر سمجھا جائے گا۔ KuCoin کسی غلطی یا کوتاہی کے لیے، یا اس معلومات کے استعمال کے نتیجے میں کسی بھی نتائج کے لیے ذمہ دار نہیں ہوگا۔ ڈیجیٹل اثاثوں میں سرمایہ کاری خطرناک ہو سکتی ہے۔ براہ کرم اپنے مالی حالات کی بنیاد پر کسی پروڈکٹ کے خطرات اور اپنے خطرے کی برداشت کا بغور جائزہ لیں۔ مزید معلومات کے لیے، براہ کرم ہماری استعمال کی شرائط اور خطرے کا انکشاف دیکھیں۔