1 पॉइंट द्वारा GN⁺ 2024-03-09 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Google के पूर्व software engineer Linwei Ding पर अमेरिकी न्याय विभाग ने आरोप लगाया है कि उन्होंने चीन-आधारित 2 कंपनियों के लिए गुप्त रूप से काम करते हुए Google के AI trade secrets चुराए
  • Ding को California के Newark में गिरफ्तार किया गया, और उन पर federal trade secret theft के 4 आरोप लगाए गए हैं, जिनमें हर आरोप पर अधिकतम 10 साल की सजा हो सकती है
  • 2019 में Google में शामिल हुए Ding को supercomputing data center से जुड़ी गोपनीय जानकारी तक पहुंच थी, और अभियोग के अनुसार उन्होंने 2 साल पहले से सैकड़ों फाइलें अपने निजी Google Cloud account पर अपलोड कीं
  • अभियोजकों के अनुसार चीन की एक शुरुआती tech company ने Ding को CTO पद, लगभग 14,800 डॉलर मासिक वेतन, सालाना बोनस और कंपनी के shares की पेशकश की, और Ding एक अलग चीन-आधारित AI startup के CEO भी थे
  • Google ने आंतरिक जांच के बाद निष्कर्ष निकाला कि “कई दस्तावेज़” चुराए गए थे और मामला law enforcement को सौंप दिया; FBI ने Ding के घर और निजी खातों से Google की गोपनीय जानकारी वाली 500 से अधिक unique files बरामद कीं

अभियोग और गिरफ्तारी

  • Google के पूर्व software engineer Linwei Ding पर कंपनी के AI trade secrets चुराने का आरोप लगाया गया है
  • अमेरिकी न्याय विभाग का मानना है कि Ding ने चीन-आधारित 2 कंपनियों के साथ गुप्त रूप से काम करते हुए Google की AI technology बाहर निकाली
  • Ding चीन के नागरिक 38 वर्षीय पुरुष हैं और उन्हें California के Newark में गिरफ्तार किया गया
  • उन पर federal trade secret theft के 4 आरोप लगे हैं, जिनमें हर आरोप पर अधिकतम 10 साल की जेल हो सकती है

न्याय विभाग और FBI के अनुसार जोखिम

  • Attorney General Merrick Garland ने San Francisco में आयोजित American Bar Association conference में इस मामले की घोषणा की
  • law enforcement एजेंसियां चीन की आर्थिक जासूसी गतिविधियों और AI सहित उभरती technologies से जुड़ी राष्ट्रीय सुरक्षा चिंताओं को बार-बार लेकर चेतावनी देती रही हैं
  • FBI Director Christopher Wray ने इसे चीन-आधारित कंपनियों से जुड़े लोगों द्वारा अमेरिकी innovation चुराने की कोशिश का मामला बताया
  • Wray ने कहा कि अमेरिकी कंपनियों की innovation technology और trade secrets की चोरी से नौकरियों का नुकसान, आर्थिक असर और राष्ट्रीय सुरक्षा पर परिणाम हो सकते हैं

Google की जांच और प्रतिक्रिया

  • Google ने निष्कर्ष निकाला कि संबंधित कर्मचारी ने कई दस्तावेज़ चुराए और मामला law enforcement को सौंप दिया
  • Google spokesperson Jose Castaneda ने कहा कि कंपनी के पास confidential commercial information और trade secrets की चोरी रोकने के लिए कड़े safeguards हैं
  • आंतरिक जांच में Ding द्वारा कई दस्तावेज़ चुराने के संकेत मिले, और Google ने कहा कि वह FBI के साथ सहयोग जारी रखेगा
  • Ding की ओर से दर्ज वकील ने बुधवार शाम कोई टिप्पणी नहीं की

AI technology enforcement priority क्यों बनी

  • AI को advanced technology competition का मुख्य battlefield माना जाता है, और इस पर नियंत्रण के commercial और security implications हो सकते हैं
  • न्याय विभाग का नेतृत्व हाल के हफ्तों में चेतावनी देता रहा है कि विदेशी शत्रुतापूर्ण शक्तियां AI technology का उपयोग कर अमेरिका पर नकारात्मक प्रभाव डाल सकती हैं
  • उप न्याय मंत्री Lisa Monaco ने पिछले महीने एक भाषण में कहा कि प्रशासन की multi-agency Disruptive Technology Strike Force AI को enforcement priority में सबसे ऊपर रखेगी
  • Wray ने पिछले हफ्ते conference में कहा कि AI और दूसरी emerging technologies ने अमेरिकी political process में दखल देने की शत्रुतापूर्ण शक्तियों की कोशिशों को और आसान बना दिया है
  • Garland ने कहा कि AI में फायदे और नुकसान दोनों हैं, साथ ही बड़ी संभावनाएं और बड़े नुकसान का जोखिम भी है

अभियोग में बताए गए कथित कृत्य

  • Ding को 2019 में Google ने नियुक्त किया था और उन्हें कंपनी के supercomputing data center से जुड़ी गोपनीय जानकारी तक पहुंच थी
  • अभियोग के अनुसार Ding ने 2 साल पहले से सैकड़ों फाइलें अपने निजी Google Cloud account पर अपलोड करना शुरू किया
  • अभियोजकों का कहना है कि फाइल चोरी शुरू होने के कुछ ही हफ्तों के भीतर Ding को चीन की एक शुरुआती tech company में CTO पद का प्रस्ताव मिला
    • उस कंपनी ने AI technology के उपयोग को प्रमुखता से पेश किया
    • प्रस्ताव में लगभग 14,800 डॉलर मासिक वेतन, सालाना बोनस और कंपनी के shares शामिल थे
    • Ding चीन चले गए, वहां उस कंपनी की investor meetings में शामिल हुए और capital raising की कोशिश की
  • अभियोग में यह भी कहा गया है कि Ding ने अलग से एक चीन-आधारित startup स्थापित किया और उसके CEO बने, जिसका लक्ष्य “supercomputing chips से चलने वाले बड़े AI models” को train करना था
  • अभियोजकों का कहना है कि Ding ने इन दोनों संबंधों का खुलासा Google से नहीं किया
  • Google ने Ding को junior employee बताया

इस्तीफे के बाद सामने आए संकेत और तलाशी

  • Ding ने 26 दिसंबर को Google से इस्तीफा दे दिया
  • इस्तीफे के 3 दिन बाद Google अधिकारियों को पता चला कि Beijing में एक investor conference में Ding को चीन की एक कंपनी के CEO के रूप में पेश किया गया था
  • Google अधिकारियों ने surveillance video की समीक्षा की, जिसमें दिखा कि जब Ding वास्तव में चीन में थे, तब एक दूसरे कर्मचारी ने Ding का access badge scan किया ताकि लगे कि वह अमेरिका में Google building के भीतर हैं
  • Google ने Ding की network access बंद कर दी और laptop lock कर दिया, जिसके बाद network activity logs में unauthorized uploads मिले
  • FBI ने जनवरी में Ding के घर पर search warrant लागू कर electronic devices जब्त किए
  • इसके बाद FBI ने Google से चुराई गई गोपनीय जानकारी वाले निजी account content के लिए अतिरिक्त warrant लागू किए और 500 से अधिक unique files बरामद कीं

1 टिप्पणियां

 
GN⁺ 2024-03-09
Hacker News की राय
  • हैरानी की बात नहीं। मैं ऐसे व्यक्ति को जानता था जिसने किसी खास मेजर से ग्रैजुएट होकर उस इंडस्ट्री में नौकरी की, फिर trade secrets/IP चीन भेजकर एक competing company बनाने की कोशिश की
    नतीजा खास अच्छा नहीं रहा; मेरी जानकारी में वह किसी भी कंपनी में 6 महीने से ज्यादा टिक नहीं पाया और आखिरकार हार मानकर वापस अपने देश लौट गया

    • repository खुद आम तौर पर बहुत ज्यादा valuable नहीं होती
      उसमें मौजूद कुछ algorithms समय बचा सकते हैं, लेकिन पैसा आम तौर पर design और data में होता है। लगता है इस व्यक्ति ने भी उसी पर focus किया था
      Google repository clone कर लेने पर भी किसी arbitrary virtual machine/Docker में meaningful चीज चलाना लगभग असंभव होने की संभावना है। interconnected services, certificates, खराब code, और परत-दर-परत चढ़े workarounds सहित पूरी stack खड़ी करने के लिए उसे बनाने वालों की tacit knowledge पर निर्भर रहना पड़ता है
      इसके उलट, detailed design documents, motivated Chinese team और local authorities की funding हो तो कुछ महीनों में Alibaba Cloud पर काफी मिलता-जुलता clone natively चलाया जा सकता है
    • “किसी भी कंपनी में 6 महीने से ज्यादा टिक नहीं पाया” वाली बात समझ नहीं आती। trade secrets/IP इकट्ठा करने के लिए कई महीने क्यों चाहिए होंगे
      software engineering में अक्सर पहले दिन से repository access मिल जाता है, और दूसरी industries में भी अगर 6 महीने बाद access नहीं मिला तो practically शायद कभी नहीं मिलेगा
      साथ ही आपने कहा “आखिरकार हार मानकर वापस अपने देश लौट गया,” लेकिन यह इस explanation से भी मेल नहीं खाता कि original plan वही था। किस मायने में बात नहीं बनी, समझ नहीं आ रहा
    • अगर ऐसा मामला था तो यह FBI को report करने लायक साफ मामला लगता है। बशर्ते वह व्यक्ति अपने plan के बारे में आसपास लोगों से खुलकर बोलता फिरता था
    • क्या वह व्यक्ति बस अपना plan इधर-उधर सबको बताता फिरता था?
    • “trade secrets भेजने के लिए नौकरी लेना” और “नई कंपनी में बाकी सबकी तरह सीखे हुए experience को apply करना” के बीच कोई clear line है क्या?
  • AP News ने link नहीं लगाया था, इसलिए indictment ले आया
    https://www.justice.gov/opa/media/1341356/dl?inline

    • दिलचस्प। इस व्यक्ति ने source code copy/paste करके copy किया, और लगता है सामान्य Google documents भी copy किए
      confidential material upload करने पर पहले ही पकड़े जाने के बाद उसने Google छोड़ा और चीन की ticket खरीदी, लेकिन trip कुछ हफ्ते टालने से Google को अतिरिक्त violations खोजने और FBI से संपर्क करने का समय मिल गया, जिसके चलते गिरफ्तारी हुई
      Google ने पुराने violations का पता चलने तक FBI से संपर्क नहीं किया था। ऐसे में जिज्ञासा होती है कि trigger क्या था। क्या पुराने documents ज्यादा confidential थे, संख्या ज्यादा थी, या इसलिए कि उसने पहले download किए गए सारे data को destroy करने के बारे में झूठ बोला था
    • हाल में Xiaoxing Xi, Sherry Chen, Anming Hu जैसे “spy” के तौर पर गलत तरीके से indicted किए गए काफी मामले हुए हैं
      आखिर में सभी charges drop हो गए थे, इसलिए देखना है इस मामले में क्या होता है
  • Google को employees द्वारा trade secrets चोरी करने का अच्छा-खासा experience है: https://en.wikipedia.org/wiki/Anthony_Levandowski#Criminal_c...

    • यह सच में हैरान करने वाला है कि उसे pardon मिल गया
    • यह भी दोहरी awkward बात है कि इस व्यक्ति को Google की employee access track करने की इच्छाशक्ति का पता नहीं था या उसने उसे underestimate किया
  • अगर कोई यहां तक नीचे आया है, तो एक ध्यान देने वाली बात यह है कि Google ने कहा कि laptop lock करने के बाद उन्होंने इस व्यक्ति का network traffic analyze करके कई बातें verify कीं
    अगर आप Google जैसी बड़ी company में काम करते हैं, तो मानकर चलना चाहिए कि employee access network के सभी packets forensic purposes के लिए log और index किए जाते हैं
    यह ऐसी बात नहीं है जिसे Google public तौर पर कहना चाहेगा, लेकिन sophisticated cyber espionage का major target बनने वाली company के लिए बड़े scale पर network traffic record कर सकने वाले specialized equipment पर भारी पैसा खर्च करना standard practice है

    • हर बड़ी company में standard practice है। सब कुछ track और log होता है
      अगर आपको किसी colleague से ऐसी बात कहनी है जो management को नहीं पता चलनी चाहिए, तो personal phone इस्तेमाल करें, और बेहतर है cafe या bar में मिलकर आमने-सामने बात करें
    • यह सिर्फ sophisticated threat actors के exposure वाली companies की बात नहीं, बल्कि हर company की standard operating procedure है। CrowdStrike या SentinelOne जैसे EDR vendors इतने बड़े हुए हैं तो उसका कारण है
    • documents चुराने के लिए camera से photo क्यों नहीं लेते? लगता है मैं यह सोचने वाला पहला genius हूं
  • आखिरकार indicted होने वाले लोगों की operational security हमेशा खराब होती है। अगर source code या documents बाहर निकालने हैं तो समझ नहीं आता कि victim company का cloud storage product क्यों इस्तेमाल करेंगे
    बस screen के सामने camera लगाकर जो material चाहिए उसे scroll कर लें, या HDMI capture जैसी कोई चीज use कर लें

    • यह survivorship bias भी हो सकता है। हमें सिर्फ उन लोगों के बारे में सुनाई देता है जो पकड़े जाने लायक लापरवाह थे
      जिन्हें न पकड़े जाने का तरीका आता है, वे पकड़े नहीं जाते, इसलिए उनके बारे में हमें सुनने को नहीं मिलता
    • शायद उसे लगा हो कि यह रोजमर्रा के काम में होने वाले Google-related traffic जैसा दिखेगा
      उदाहरण के लिए Tor IP addresses जैसी चीजें कहीं ज्यादा noticeable होतीं
    • “आखिरकार indicted होने वाले लोगों की operational security हमेशा खराब होती है” परिभाषा के हिसाब से सही माना जा सकता है
    • pen और paper भी चल सकते हैं
  • इसमें लिखा है कि इस व्यक्ति ने Google Drive से वह सब चुराया। ऐसी बेवकूफी भरी हरकत पर विश्वास करना मुश्किल है
    company hardware इस्तेमाल करते समय Google के अंदर privacy का कोई illusion नहीं है, और company service हो तो तो बिल्कुल नहीं
    Levandowski case के बाद यह बात काफी clear हो गई थी, और उस समय public हुई कुछ बातें आम तौर पर expected level से कहीं ज्यादा intrusive थीं

    • इस व्यक्ति ने documents को Apple Notes के जरिए launder किया, और शुरुआत में यह काम कर गया। यहां post किए गए indictment के मुताबिक:
      “DING ने कुल 500 से ज्यादा ऐसे unique files upload किए जिनमें Google Confidential Information शामिल थी, जिनमें counts 1 से 4 में बताए गए trade secrets भी शामिल हैं। DING ने ये files Google द्वारा जारी MacBook laptop के Apple Notes application में Google source files का data copy करके exfiltrate कीं। इसके बाद उसने Apple Notes को PDF files में convert किया और उन्हें Google network से DING Account 1 पर upload किया। इस तरीके से DING को तत्काल detection से बचने में मदद मिली।”
    • यह व्यक्ति खास तौर पर stealthy भी नहीं था
      “indictment कहता है कि authorities ने surveillance video review किया जिसमें एक अन्य employee Ding का access badge scan करता दिखा, ताकि ऐसा लगे कि Ding अमेरिका में Google building में मौजूद था, जबकि Ding असल में चीन में था।”
  • “चोरी शुरू होने के कुछ ही हफ्तों के भीतर, prosecutors के मुताबिक Ding को AI technology के use को आगे रखने वाली China की early-stage technology company में chief technology officer की position offer हुई, जिसमें करीब 14,800 डॉलर monthly salary, annual bonus और company stock की पेशकश थी”
    crime में पैसा नहीं है। mid-level AI specialist के लिए यह काफी मामूली bribe है। सोचता हूं पीछे कुछ और है क्या

  • यहां पैदा और पले-बढ़े Chinese-origin engineers को hire कर लो। DEI quota भी पूरा होगा और industrial espionage की संभावना भी कम होगी
    guarantee नहीं है, लेकिन मदद मिल सकती है

    • tech industry में Chinese और Indian पुरुष किसी भी DEI quota में शामिल नहीं होते
    • तो मतलब Americans को hire करने को कह रहे हो?
      और Asian पुरुषों के लिए DEI quota होने की संभावना कम है
  • trade secrets चुराना कैसे संभव है? क्या trade secrets का मतलब ही यह नहीं कि आप patent की तरह contents disclose न करने के लिए legal protection छोड़ देते हैं?

    • नहीं। trade secrets legal protection वाली intellectual property हैं
      https://www.law.cornell.edu/uscode/text/18/1832
      trade secrets में जो protection नहीं होती, वह patent द्वारा दिया गया exclusive right है