ओपन सोर्स मरा नहीं है

 (strix.ai)
1 पॉइंट द्वारा GN⁺ 14 일 전 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • Cal.com ने AI-आधारित vulnerability detection खतरों का हवाला देते हुए अपने core code को private करने का फैसला किया है, और कहा है कि हम ऐसे दौर में हैं जहाँ “पारदर्शिता ही exposure बन जाती है”
  • Strix एक open source project है जो autonomous AI security agents विकसित करता है, और उसने Cal.com के साथ मिलकर responsible vulnerability disclosure process पर काम किया है
  • Strix का कहना है कि code को private करना AI security threats का समाधान नहीं है, बल्कि यह सद्भावना से होने वाली review के अवसरों को रोकता है
  • AI attacks code access के बिना भी black-box तरीके से घुसपैठ कर सकते हैं, और private strategy automated attacks के सामने कमजोर है
  • असली समाधान है AI defense को development process में integrate करना और लगातार automated validation के जरिए open source की पारदर्शिता और सहयोग को बनाए रखना

Cal.com का code private करना और open source security पर बहस

  • Cal.com ने घोषणा की कि वह अपने core codebase को open source से private में बदल रहा है
    • CEO Bailey Pumfleet ने कहा कि अब AI बड़े पैमाने पर vulnerabilities को अपने-आप खोज सकता है, इसलिए हम ऐसे समय में पहुँच चुके हैं जहाँ “पारदर्शिता ही exposure बन जाती है”
    • उन्होंने यह भी कारण बताया कि AI अब code scanning और exploit को लगभग ‘zero cost’ पर कर सकता है
  • Strix एक open source project है जो autonomous AI security agents बनाता है, और हाल ही में 24k GitHub stars पार कर चुका है
    • यह हर दिन 15 अरब से अधिक LLM tokens प्रोसेस करके software vulnerabilities खोजता है
    • Cal.com के साथ मिलकर Strix ने responsible vulnerability disclosure process चलाया, और जिन bugs का patch अभी तक नहीं हुआ है, उनकी details सार्वजनिक नहीं कीं
    • Strix मानता है कि Cal.com का फैसला users की सुरक्षा करने की मंशा से लिया गया है
  • लेकिन Strix यह भी ज़ोर देकर कहता है कि “code को बंद करना AI-आधारित security threats का समाधान नहीं है”
    • वह इस बात से सहमत है कि AI ने security को बुनियादी रूप से बदल दिया है, लेकिन open source छोड़ने के पक्ष में नहीं है

Black-box AI private code में भी घुस सकता है

  • यह मान लेना कि source code बंद कर देने से attackers उसे पढ़ नहीं पाएँगे, आधुनिक AI attack models पर लागू नहीं होता
    • यह बात पुराने static analysis tools के लिए सही हो सकती थी, लेकिन autonomous AI agents code access के बिना भी attack कर सकते हैं
  • Strix जैसे tools black-box और gray-box testing में खास तौर पर सक्षम हैं
    • ये real endpoints के साथ interact करते हुए browser state manipulation, network traffic analysis, और business logic vulnerabilities detection करते हैं
  • code को private करना सिर्फ सद्भावना वाले developers की review का मौका रोकता है, जबकि attackers के सामने मौजूद API, webhooks जैसी attack surface वैसे की वैसी रहती हैं

‘Security through obscurity’ रणनीति automated attacks के सामने कमजोर है

  • private code का मतलब अक्सर internal security teams और periodic manual penetration testing पर निर्भर रहना होता है
    • लेकिन attackers के पास 24x7 चलने वाले AI bots होते हैं जो लगातार vulnerabilities खोजते रहते हैं
  • यह इस धारणा पर आधारित है कि internal teams बाहरी AI attacks से ज़्यादा तेज़ी से flaws ढूँढ लेंगी, लेकिन व्यवहार में यह संभव नहीं है
  • पहले भी ‘security through obscurity’ विफल रही है, और AI के दौर में इसकी विफलता की रफ़्तार exponential रूप से बढ़ेगी

असली समाधान: AI से AI का बचाव

  • यह सच है कि software development की रफ़्तार इंसानी security review की गति से आगे निकल चुकी है
    • लेकिन समाधान code छिपाना नहीं, बल्कि AI defense को development process में integrate करना है
  • AI-आधारित continuous validation की ज़रूरत है
    • developer जैसे ही Pull Request खोले, AI तुरंत हमला करने की कोशिश करे
    • infrastructure changes होने पर AI अपने-आप attack surface validate करे
  • CI/CD pipeline के भीतर security testing को automate किया जाना चाहिए, और attack automation से बेहतर internal automation के साथ जवाब देना होगा

Open source अब भी प्रासंगिक है

  • “कई लोगों की नज़र bugs को उथला बना देती है” वाला पारंपरिक सिद्धांत कमज़ोर पड़ सकता है, लेकिन open source खुद खत्म नहीं हुआ है
  • Strix पारदर्शिता को ताकत मानते हुए open source बना हुआ है
    • अगली पीढ़ी के security tools को attack tools जितना ही सुलभ और खुला होना चाहिए
  • code छिपाने से AI hackers को रोका नहीं जा सकता, लेकिन developers को autonomous security agents देकर defense की संभावना बढ़ाई जा सकती है
  • Strix AI-आधारित continuous security testing को मुफ्त में आज़माने की सुविधा देता है

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.