1 पॉइंट द्वारा GN⁺ 2024-02-21 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Microsoft ने घोषणा की कि उसने पाया है कि चीन, रूस और ईरान के हैकर्स ने अपनी हैकिंग क्षमता बढ़ाने के लिए उसके AI टूल्स का उपयोग किया
  • Microsoft और OpenAI ने Forest Blizzard, Emerald Sleet, Crimson Sandstorm, Charcoal Typhoon, Salmon Typhoon जैसे राज्य-समर्थित हमलावरों द्वारा LLM के उपयोग को ट्रैक किया
  • Schneier का मानना है कि Microsoft या OpenAI यह केवल चैटबॉट सेशन की निगरानी करके ही जान सकते थे
  • संभव है कि सेवा की शर्तों में इस तरह के निरीक्षण का अधिकार शामिल हो, और अन्य AI सेवाओं में भी इसी तरह के उपयोग व्यवहार को ट्रैक करना संभव हो सकता है
  • AI टूल्स के यूज़र्स को सुरक्षा-संवेदनशीलता का आकलन इस आधार पर करना चाहिए कि उनके इनपुट और सेशन सेवा प्रदाता द्वारा देखे जा सकते हैं

Microsoft की घोषणा और AI टूल्स का उपयोग

  • Microsoft ने घोषणा की कि चीन, रूस और ईरान के हैकर्स ने उसके AI टूल्स का उपयोग कर अपनी हैकिंग क्षमता सुधारने की कोशिश की
  • संदर्भ के आधार पर यह AI टूल कोडिंग टूल माना जा रहा है

OpenAI के साथ ट्रैक किए गए हमलावर समूह

  • Microsoft ने OpenAI के साथ मिलकर पता की गई threat intelligence साझा की
  • रिपोर्ट के अनुसार, राज्य-समर्थित हमलावर के रूप में ट्रैक किए जा रहे समूहों ने LLM की मदद से साइबर ऑपरेशंस को मजबूत किया
    • Forest Blizzard
    • Emerald Sleet
    • Crimson Sandstorm
    • Charcoal Typhoon
    • Salmon Typhoon

चैटबॉट सेशन निगरानी पर व्याख्या

  • Schneier का आकलन है कि Microsoft या OpenAI के पास हमलावरों के AI उपयोग के बारे में जानने का एकमात्र तरीका चैटबॉट सेशन को देखना था
  • संभव है कि सेवा की शर्तों में ऐसा अधिकार शामिल हो
  • Microsoft और OpenAI के अलावा अन्य AI कंपनियां भी उपयोग व्यवहार की निगरानी कर सकती हैं, और इस घोषणा को उस संभावना की पुष्टि करने वाले एक उदाहरण के रूप में देखा जा रहा है

“spying” अभिव्यक्ति पर अतिरिक्त व्याख्या

  • 22 फ़रवरी के संपादन में “spying” शब्द के उपयोग पर व्याख्या जोड़ी गई

1 टिप्पणियां

 
GN⁺ 2024-02-21
Hacker News की राय
  • अगर इसे जासूसी कहना है, तो OpenAI API की शर्तें फिर से पढ़नी चाहिए। अगर आप खुद को “हैकर” कहते हैं और फिर भी उस API का इस्तेमाल जारी रखते हैं, तो यह काफी हद तक आपकी अपनी ज़िम्मेदारी है
    OpenAI कहता है कि वह सेवा उपलब्ध कराने और दुरुपयोग का पता लगाने के लिए API input और output को अधिकतम 30 दिनों तक सुरक्षित रूप से रख सकता है, और 30 दिनों के बाद, यदि कानूनी रूप से संरक्षित रखने की बाध्यता न हो, तो उन्हें सिस्टम से हटा देता है। योग्य use case होने पर zero data retention (ZDR) का अनुरोध भी किया जा सकता है
    स्रोत: https://openai.com/enterprise-privacy

    • फिर भी, LLM से पहले की online services की तुलना में इनकी privacy policy असामान्य रूप से खराब है
      उदाहरण के लिए Google Docs की policy https://support.google.com/docs/answer/10381817?hl=en पर कहती है, “Google आपकी privacy का सम्मान करता है, और केवल आपकी अनुमति होने पर या कानूनन आवश्यक होने पर ही private content तक पहुँचता है।”
      LLM API providers से भी इसी स्तर की अपेक्षा करना उचित है, और अभी जिस पैमाने पर ये users की निगरानी कर रहे हैं, वह ठीक नहीं है
    • Azure terms अलग हैं। data retention से opt out भी किया जा सकता है: https://learn.microsoft.com/en-us/legal/cognitive-services/o...
    • इस तरह की clauses इतनी अनोखी नहीं हैं, और GCP, AWS, Azure सहित cloud services में काफी आम हैं
      खासकर machine learning/AI services के क्षेत्र में तो और भी, इसलिए यह कहना मुश्किल है कि ये terms सामान्य समझ से बहुत बाहर हैं
  • “Microsoft AI tools के users की निगरानी करता है” जैसा दोबारा कहना थोड़ा मज़ेदार है। असल में बात यह है कि सत्तावादी देशों की शत्रुतापूर्ण सरकारें AI tools का इस्तेमाल अवैध गतिविधियों के लिए कर रही थीं और Microsoft ने यह पकड़ा; terms में इस तरह की tracking साफ लिखी है, और users को “I agree” दबाना पड़ता है
    अगली headline शायद ऐसी होगी: “बड़े TV broadcasters Champions League मैच के दौरान फुटबॉल खिलाड़ियों की निगरानी करते हैं”

    • जो बात हमें साफ लगती है, वह सबको साफ हो यह ज़रूरी नहीं
      सनसनीखेज headline भी जायज़ हो सकती है, और सिर्फ आम होने से कोई चीज़ स्वीकार्य नहीं हो जाती। ऐसी एकतरफ़ा terms users के खिलाफ व्यवहार को संभव बनाती हैं—इस बारे में जागरूकता बढ़ना अच्छी बात है
    • क्या “हाँ” दबाए बिना भी उन tools का इस्तेमाल किया जा सकता है?
    • और Microsoft ने जानबूझकर चीन में AI research lab भी बनाई। यह बेतुका है
    • और यह कोई random “user” नहीं, बल्कि Bruce Schneier हैं
    • मैं भी इस बात से काफ़ी सहमत हूँ कि यह कोई बहुत बड़ी बात नहीं है
      लेकिन “Microsoft X की निगरानी करता है” जैसे वाक्य अब स्वयं-स्पष्ट कथन की तरह स्वीकार किए जा रहे हैं, यही बात अपने-आप में ख़बर जैसी लगती है। यानी “जासूस X की निगरानी करता है” कहना अंततः “Microsoft = जासूस” जैसा अर्थ लेने लगता है, और सिर्फ इस संदर्भ में नहीं बल्कि हर संदर्भ में
      उसके बाद terms, वैधता, अवैधता, शत्रुता, मित्रता जैसी सारी बातें गौण हो जाती हैं
  • Google Bard, या कहें Gemini, इसे homepage पर बहुत साफ बताता है
    “Gemini Apps को चलाने वाली technology को बेहतर बनाने के लिए आपकी conversations को human reviewers द्वारा प्रोसेस किया जाता है। जो चीज़ें आप review या इस्तेमाल नहीं कराना चाहते, उन्हें input न करें।”
    सिर्फ बातचीत करना भी Gemini को चलाने वाले machine learning models सहित Google services को बेहतर बनाने में योगदान देता है, और उस प्रक्रिया में trained reviewers को conversations प्रोसेस करनी पड़ती हैं। यह भी कहा गया है कि Gmail या Drive जैसे Google Workspace content को Gemini सुधारने के लिए review या उपयोग नहीं किया जाता, और अगर आप नहीं चाहते कि भविष्य की conversations review हों या machine learning models को बेहतर बनाने में उपयोग हों, तो Gemini Apps Activity बंद कर सकते हैं

    • अच्छा होता अगर Google यह और साफ बताता कि क्या वह वास्तव में बिना निगरानी वाला उपयोग सपोर्ट करता है
      यहाँ बात लगभग आधी ही साफ लगती है
  • इसे बस “Microsoft users की निगरानी करता है” तक भी छोटा किया जा सकता है
    अगर आप आधुनिक Microsoft products इस्तेमाल कर रहे हैं, तो आप बहुत सारा data भेज रहे हैं, बस यही बात है

    • और सामान्य रूप में कहें तो “हर कोई users की निगरानी कर रहा है, और इंटरनेट इसी तरह काम करता है”
  • सही है। वे दुरुपयोग की निगरानी की बात काफ़ी स्पष्ट रूप से करते हैं, और अवधि 30 दिन है
    मुझे समझ नहीं आता कि इसमें चौंकने वाली क्या बात है

    • मामूली उदाहरणों में भी यह काफ़ी नरम और अनुमानित मामला है। अगर आप ऐसा platform इस्तेमाल करते हैं जो पूरी तरह hosted backend पर चलता है, तो हर चीज़ का logged और stored होना लगभग तय है
      इसकी तुलना में Nvidia हर title bar value और हर click को server पर भेजता है, और opt out करने पर भी उसे “required” बताकर भेजता रहता है। यह अभी installed चीज़ों में सबसे intrusive spyware हो सकता है
  • अगर आप Facebook, Twitter, Instagram, text messages आदि जैसे कई social channels के ज़रिए AI tools से बात करते हैं, तो मानकर चलना चाहिए कि उन chats को सिर्फ उस कंपनी के कर्मचारी ही नहीं, बल्कि उसके marketing staff और बाहरी partners भी सक्रिय रूप से पढ़ रहे होंगे
    हाँ, वे contract से बंधे होंगे, लेकिन लोग chatbots से जो पूछते हैं उसमें health information, sexual information, और यहाँ तक कि therapist को बताने लायक बेहद निजी बातें भी शामिल होती हैं। और फिर उसे 22 साल के marketing intern तक पढ़ सकते हैं, वह encrypted नहीं बल्कि plain text में होता है, copy/paste किया जा सकता है, और user name/ID से जोड़ा जा सकता है

  • मैं Microsoft पर बिल्कुल भरोसा नहीं करता, लेकिन OpenAI या Google वगैरह के बारे में यही बात सुनने पर जितना आश्चर्य होता, उससे ज़्यादा नहीं हुआ
    इससे यह सही नहीं हो जाता। अब समय आ गया है कि सभी अपनी privacy stance बदलें ताकि chat conversations तक पहुँच केवल तभी संभव हो जब users स्पष्ट और वापस ली जा सकने वाली अनुमति दें

  • जो लोग ऐसे tools इस्तेमाल करते हैं, वे मानो खुद ही अपना सारा data खिंचवाने पर राज़ी हैं। अगर यह चिंता की बात है, तो locally running AI ही इस्तेमाल करने लायक तरीका है

  • AI डेटा पर बनाया जाता है। जितनी ज़्यादा निगरानी होगी, training data उतना ज़्यादा मिलेगा; जितनी ज़्यादा training होगी, वह उतना बेहतर और मूल्यवान बनेगा; फिर ज़्यादा लोग उसका उपयोग करेंगे और वह फिर से data देगा—यही चक्र बन जाता है

  • यह गुस्सा भड़काने के लिए आसान विषय है
    ये platforms सभी अगले model को train करने के लिए input बटोर रहे हैं। तो फिर दुरुपयोग का पता लगाना भी करेंगे—यह बात साफ क्यों नहीं होगी?