هناك كلمة تلخص ما وصلت إليه صناعة البرمجيات الآن: الفوضى. كنت سأكتب عبارة “يتجه”، لكن ذلك كان من الممكن أن يكون دقيقًا قبل ستة أشهر. انها هنا بالفعل.
لقد جعل تشفير الذكاء الاصطناعي تغيير أي برنامج تريده أمرًا رخيصًا، لذلك بدأ الجميع في تغيير كل شيء في نفس الوقت: البنية التحتية، والأدوات الداخلية، وواجهات برمجة التطبيقات، ونماذج الأمان، وخطوط أنابيب CI، وحتى أسطح المنتج بأكملها.
يستمر المقال أدناه
الرئيس التنفيذي والمؤسس المشارك لشركة Tailscale.
على مدى العامين الماضيين، كانت أعلى المحادثات المتعلقة بأمان الذكاء الاصطناعي تدور حول قيام الموظفين بلصق بيانات حساسة في برامج الدردشة الآلية. هذا مصدر قلق حقيقي، ويستحق الاهتمام، ولكنها ليست المشكلة التي ستحدد الموجة التالية من الحوادث، لأن التحول الحقيقي ليس الذكاء الاصطناعي الذي يتحدث. إنه الذكاء الاصطناعي الذي يعمل.
يقوم مساعدو البرمجة الآن بفتح طلبات السحب، ويقوم الوكلاء بدمج الفروع، وتقديم التذاكر، وتشغيل وظائف CI، والاستعلام عن قواعد البيانات، واستدعاء واجهات برمجة التطبيقات الداخلية. وفي عدد متزايد من المؤسسات، لم تعد هذه الأنظمة بمثابة تجارب. إنهم جزء من كيفية إنجاز العمل.
يؤدي ذلك إلى تغيير فئة المخاطر: لم يعد “الذكاء الاصطناعي الظلي” يمثل مشكلة تتعلق بالسياسة ويبدأ في كونه مشكلة وصول مميزة.
بمجرد أن يتمكن الوكيل من اتخاذ الإجراءات، فإن السؤال ليس “هل قام شخص ما بلصق الشيء الخطأ في الموجه؟” إنها “من فعل ماذا، وبأي أوراق اعتماد، وتحت أي سلطة؟” لا تزال معظم المنظمات غير قادرة على الإجابة على ذلك بشكل واضح.
المشكلة الحقيقية ليست السرعة. انها الالتفافية
الإطار الشائع هو أن فرق الأمن تتخلف عن اعتماد الذكاء الاصطناعي. النسخة الأكثر دقة هي أنه تم تجاوزها. يتحرك اعتماد الذكاء الاصطناعي بسرعة المنتج، بينما تتحرك المراجعة الأمنية بالسرعة التنظيمية. وعندما يتصادم الاثنان، فإن السلوك الافتراضي لهذه الصناعة كان متوقعاً: الشحن أولاً، والحكم لاحقاً.
عادةً ما تصل كلمة “لاحقًا” أثناء الاستجابة للحوادث، عندما تكتشف أن سجلاتك يمكن أن تخبرك بأن “الروبوت” قام بشيء ما ولكن لا يمكنه إخبارك بشكل موثوق بمن بدأه، أو ما هي السياسة التي تم تقييمها، أو ما هو تقييد النطاق الذي كان من المفترض تطبيقه.
نحن نبني مسارات عمل يمكنها اتخاذ إجراءات قوية، ثم نتصرف بشكل متفاجئ عندما لا نتمكن من شرح تلك الإجراءات بعد ذلك.
هذا هو الجزء الذي يجب أن يقلق القادة، ليس لأن الذكاء الاصطناعي أمر غامض، ولكن لأنه يجعل تكرار الأخطاء القديمة أسهل على نطاق واسع. لقد أمضينا جميعًا سنوات في محاولة التخلص من بيانات الاعتماد المشتركة والملكية غير الواضحة. تتمتع مسارات عمل الوكلاء بالموهبة في إحياء كليهما.
نمط مألوف: يعمل العرض التوضيحي، ثم يراه الأمن
إليك هذا النمط الذي رأيته أكثر من مرة، ولم يظهر أبدًا في مجموعة الإستراتيجية.
يقوم فريق بإعداد نموذج أولي لوكيل لتسريع الهندسة. يبدأ الأمر ببراءة: قراءة التذاكر، واقتراح تغييرات في الكود، وفتح العلاقات العامة. يضيف شخص ما القدرة على استدعاء الأدوات الداخلية لأنها “مجرد خطوة أخرى”، وفجأة يمكن للوكيل لمس GitHub وCI والنشر.
بيانات الاعتماد هي الأسهل: رمز مشترك، وحساب خدمة، ومفتاح واجهة برمجة التطبيقات (API) الموجود في متجر الأسرار.
انها السفن. الجميع سعداء. العمل يتحرك بشكل أسرع.
بعد ذلك، يلقي شخص من الأمن نظرة فاحصة ويكون لديه نفس رد الفعل الذي يتخذه أي شخص أمني ذي خبرة عندما يجد آلية قوية تعمل ببيانات اعتماد واسعة وطويلة الأمد: “ما الذي تفكر فيه؟”
تلك اللحظة مهمة. لا يعني ذلك أن الأمن يكره أدوات الذكاء الاصطناعي. إنها أن الأمن يفهم قاعدة أساسية يحاول الجميع تجاهلها مؤقتًا: الإجراءات تتطلب المساءلة. إذا لم تتمكن من تحديد من سمح بإجراء ما، فلا يمكنك الادعاء بشكل مقنع أنك تتحكم فيه.
في أفضل الأحوال، يتوقف الفريق مؤقتًا، ويوجه الوكيل عبر مسار وصول مناسب، ويحدد نطاق أذوناته، ويضيف إسنادًا حقيقيًا. في أسوأ الحالات، يظل العامل مقيدًا بـ “مؤقتًا”، وهي كلمة يمكن أن تعني أي شيء بدءًا من يوم واحد حتى الموت الحراري للكون.
الكود الرخيص يضخم الهوية غير المتقنة
لقد شاهدنا هذا الفيلم من قبل. عندما أصبحت الأجهزة الافتراضية سهلة، حصلنا على توسع في الخادم. عندما أصبح التخزين السحابي رخيصًا، حصلنا على مجموعات عامة. عندما أصبحت CI ذاتية الخدمة، أصبح لدينا خطوط أنابيب لم يفهمها أحد تمامًا. الآن أصبح الكود رخيصًا، لذا فإن التوسع في التكامل هو التالي.
يتم ربط الوكلاء بـ GitHub وCI وإصدار التذاكر وقواعد البيانات وواجهات برمجة التطبيقات الداخلية باستخدام أي بيانات اعتماد تكون في متناول اليد. وهذا يعني غالبًا الرموز المميزة طويلة العمر المخزنة في متغيرات البيئة أو ملفات التكوين أو نقاط النهاية.
في بعض الأحيان تنتمي هذه الرموز إلى إنسان. في بعض الأحيان تكون حسابات الخدمة مشتركة. في بعض الأحيان تكون مفاتيح “مؤقتة” نجت من ثلاث عمليات إعادة تنظيم.
إنه يعمل حتى لا يعمل. يعتبر الوكيل الذي يعمل باستمرار والذي يتمتع ببيانات اعتماد واسعة النطاق بشكل فعال أحد المطلعين المتميزين الذين يعملون بسرعة الجهاز. سيفعل بالضبط ما تسمح به أذوناته، وسيفعل ذلك بشكل أكثر اتساقًا من الإنسان المتعب في الساعة الثانية صباحًا. إذا كان نموذج الوصول الخاص بك غير دقيق، فلن يقوم الذكاء الاصطناعي بإصلاحه. سوف يتسع نطاقه.
الآن الصناعة في عجلة من أمرها. وتجري إعادة كتابة خرائط الطريق حول مبدأ “الذكاء الاصطناعي أولاً”، وتقوم الفرق بإعادة بناء مسارات العمل لأن النماذج تجعل ذلك ممكناً، وليس لأنه أمر حكيم بالضرورة. العجلة تخلق النشاط، لكنها لا تخلق التماسك.
على عجل، تمنح الفرق أذونات واسعة لتشغيل العرض التوضيحي، وإسقاط مفاتيح الموفر على نقاط النهاية لأنها مريحة، وتأجيل تصميم الهوية لأنها تبدو وكأنها سباكة.
لكن السباكة هي ما يحافظ على بقاء المبنى.
مبدأ واحد يجعل الباقي قابلاً للحياة
هناك مبدأ بسيط يجب أن يرتكز عليه حوكمة الذكاء الاصطناعي في المستقبل: إذا كان نظام الذكاء الاصطناعي قادرًا على اتخاذ الإجراءات، فإنه يحتاج إلى هوية خاصة به.
ليس حساب خدمة مشتركًا، وليس مفتاح API بشريًا منسوخًا، وليس رمزًا مميزًا ثابتًا موجودًا في ملف التكوين. هوية حقيقية محكومة. يجب أن تستخدم هذه الهوية بيانات اعتماد قصيرة العمر، وأن تتمتع بأذونات محددة النطاق بإحكام، وأن يتم تقييمها وفقًا للسياسة في لحظة استدعاء كل أداة.
يجب أيضًا أن يُعزى كل إجراء إلى مستخدم معروف أو نية عبء العمل، حتى تتمكن من تطبيق عناصر التحكم في وقت اتخاذ القرار بدلاً من إعادة بناء النية في مرحلة ما بعد الوفاة.
يدفعك هذا نحو توحيد كيفية وصول الوكلاء إلى أنظمتك. قم بمركزية الوصول من خلال مسار واحد معتمد بدلاً من السماح لعشر عمليات تكامل مخصصة بالتوازي. احتفظ بمفاتيح الموفر بعيدًا عن نقاط النهاية قدر الإمكان. تعامل مع استدعاءات الأداة مثل تغييرات الإنتاج، لأنه من الناحية العملية هذا هو ما هي عليه.
لا تختفي طائرة التحكم لمجرد أن الواجهة أصبحت ثرثرة.
فحص القناة الهضمية لصفحة 3 صباحا
إذا كنت تتذكر شيئًا واحدًا فقط، فاجعله كما يلي: الذكاء الاصطناعي لم يخترع مشكلة أمنية جديدة. لقد جعل مشكلة الأمان القديمة تعمل بشكل أسرع.
المشكلة القديمة هي السلطة غير الخاضعة للمساءلة. عادة نثر بيانات الاعتماد عبر نقاط النهاية. الاعتقاد بأنه يمكنك التنظيف لاحقًا. لقد كنا نحاول القضاء على ذلك لمدة عشرين عامًا، ويتكرر هذا الأمر كلما ظهرت موجة جديدة من الأدوات تجعل الاختصارات غير ضارة مرة أخرى.
إذن، هذا هو الاختبار الذي يمكنك إجراؤه في المرة التالية التي يقترح فيها شخص ما توصيل وكيل بأنظمة الإنتاج المجاورة. تخيل صفحة 3 صباحا. حدث شيء ما. تقول السجلات أن العميل هو من فعل ذلك. رجال الأعمال يسألون ما الخطأ الذي حدث.
هل يمكنك الإجابة بكل وضوح وثقة على من سمح بهذا الإجراء ولماذا سمح النظام به؟
إذا لم تتمكن من ذلك، فليس لديك برنامج ذكاء اصطناعي. لديك مولد فوضى مع واجهة مستخدم مهذبة.
قم بترويض الكرملين الآن، في حين أن عمليات التكامل لا تزال حديثة والعادات لا تزال في طور التشكل. ومن الممكن إعادة تأهيل الإدارة في وقت لاحق. إنه مجرد نوع مكلف ممكن.
لقد أبرزنا أفضل منشئ مواقع الويب بالذكاء الاصطناعي.
تم إنتاج هذه المقالة كجزء من قناة Expert Insights التابعة لـ TechRadarPro حيث نعرض أفضل وألمع العقول في صناعة التكنولوجيا اليوم. الآراء الواردة هنا هي آراء المؤلف وليست بالضرورة آراء TechRadarPro أو Future plc. إذا كنت مهتمًا بالمساهمة، اكتشف المزيد هنا: https://www.techradar.com/news/submit-your-story-to-techradar-pro
التعليقات