बॅकस्लॅश सुरक्षा (Backslash Security) च्या नवीन संशोधनातून एक चिंताजनक गोष्ट समोर आली आहे: GPT-4.1 सारखे मोठे भाषिक मॉडेल (Large Language Models - LLMs), आणि इतर मोठ्या प्रमाणावर वापरले जाणारे मॉडेल, डिफॉल्टनुसार असुरक्षित कोड (Insecure code) तयार करतात. याचा अर्थ असा आहे की विशिष्ट सुरक्षा सूचना किंवा मार्गदर्शक तत्त्वांवर लक्ष केंद्रित केले नाही, तर या कृत्रिम बुद्धिमत्ता प्रणालीद्वारे (AI systems) तयार केलेला कोड अनेकदा सामान्य त्रुटी आणि शोषणांना बळी पडतो. तथापि, संशोधनात असेही दिसून आले आहे की अतिरिक्त सुरक्षा मार्गदर्शन देऊन किंवा नियमांवर आधारित प्रशासकीय प्रणाली (rules-based governance) लागू करून व्युत्पन्न केलेल्या कोडची सुरक्षा लक्षणीयरीत्या सुधारली जाऊ शकते.
या समस्येचा अधिक शोध घेण्यासाठी, बॅकस्लॅश सुरक्षाने मॉडेल कॉन्टेक्स्ट प्रोटोकॉल (Model Context Protocol - MCP) सर्व्हर लॉन्च करण्याची घोषणा केली आहे. त्यासोबत एजंटिक इंटिग्रेटेड डेव्हलपमेंट एन्व्हायरन्मेंटसाठी (Agentic Integrated Development Environments - IDEs) नियम आणि विस्तार (Rules and Extensions) तयार केले आहेत. LLM द्वारे व्युत्पन्न केलेल्या कोडमधील सुरक्षा त्रुटी दूर करणे आणि विकासकांना (developers) अधिक सुरक्षित ॲप्लिकेशन्स (applications) तयार करण्याचे साधन प्रदान करणे हे या साधनांचे उद्दिष्ट आहे.
LLM आणि असुरक्षित कोड निर्मिती: डिफॉल्ट परिस्थिती
बॅकस्लॅश सुरक्षाने OpenAI चे GPT मॉडेल, Anthropic चे Claude आणि Google चे Gemini सह सात वेगवेगळ्या लोकप्रिय LLM च्या आवृत्त्यांवर चाचण्या केल्या. विविध प्रॉम्प्टिंग तंत्र (prompting techniques) सुरक्षित कोड तयार करण्याच्या मॉडेलच्या क्षमतेवर कसा प्रभाव टाकतात याचे मूल्यांकन करणे हा उद्देश होता. कॉमन वीकनेसEnumeration (Common Weakness Enumeration - CWE) च्या दहा वापर प्रकरणांविरुद्ध (use cases) असलेल्या लवचिकतेवर आधारित कोड आउटपुटच्या (code output) सुरक्षिततेचे मूल्यांकन करण्यात आले, जे सामान्य सॉफ्टवेअर असुरक्षिततेचे प्रतिनिधित्व करतात.
या चाचण्यांच्या निकालांनी सातत्याने दर्शविले की अधिक अत्याधुनिक प्रॉम्प्टिंग तंत्रांमुळे व्युत्पन्न केलेल्या कोडची सुरक्षा सुधारली आहे. तथापि, एकंदरीत विषय असा होता की चाचणी केलेल्या सर्व LLM ने त्यांच्या स्वतःच्या मर्जीनुसार असुरक्षित कोड तयार केला. यावरून असे सूचित होते की हे मॉडेल, त्यांच्या डीफॉल्ट कॉन्फिगरेशनमध्ये (default configurations), सुरक्षिततेला प्राधान्य देत नाहीत आणि सामान्य कोडिंग त्रुटींचे निराकरण करण्यात अयशस्वी ठरतात.
наив प्रॉम्प्ट: असुरक्षिततेची पाककृती
जेव्हा साध्या, ‘ наив ‘ प्रॉम्प्ट सादर केले गेले, ज्यामध्ये सुरक्षा विचारांचा स्पष्ट उल्लेख नव्हता, तेव्हा चाचणी केलेल्या सर्व LLM ने असुरक्षित कोड तयार केला जो दहा सामान्य CWEs पैकी किमान चार CWEs साठी असुरक्षित होता. हे विशिष्ट मार्गदर्शनाशिवाय कार्य करताना या मॉडेलमध्ये सुरक्षा जागृतीचा अभाव अधोरेखित करते.
सुरक्षा-केंद्रित प्रॉम्प्टचा प्रभाव
सुरक्षिततेची आवश्यकता निर्दिष्ट करणाऱ्या प्रॉम्प्टमुळे अधिक सुरक्षित परिणाम मिळाले, हे दर्शविते की LLM अधिक सुरक्षित कोड तयार करण्यास सक्षम आहेत जेव्हा त्यांना स्पष्टपणे तसे करण्यास सांगितले जाते. पुढे, ओपन वेब ॲप्लिकेशन सुरक्षा प्रकल्प (Open Web Application Security Project - OWASP) सर्वोत्तम पद्धतींचे पालन करणारा कोड तयार करण्याची विनंती करणाऱ्या प्रॉम्प्टने आणखी चांगले परिणाम दिले. OWASP ही एक ना-नफा (non-profit) संस्था आहे जी सॉफ्टवेअरची सुरक्षा सुधारण्यासाठी कार्य करते. तथापि, या अधिक अत्याधुनिक प्रॉम्प्ट्ससह देखील, चाचणी केलेल्या सात LLM पैकी पाचमध्ये काही कोड असुरक्षितता अजूनही टिकून राहिली, LLM सह सातत्याने सुरक्षित कोड तयार करण्यातील आव्हानांना अधोरेखित करते.
नियमांवर आधारित प्रॉम्प्ट: सुरक्षित कोडचा मार्ग
सुरक्षित कोड व्युत्पन्न करण्याचा सर्वात प्रभावी दृष्टीकोन म्हणजे विशिष्ट CWEs चे निराकरण करण्यासाठी बॅकस्लॅशने निर्दिष्ट केलेल्या नियमांनुसार प्रॉम्प्ट बांधणे. या नियमांवर आधारित प्रॉम्प्टमुळे असा कोड तयार झाला जो सुरक्षित होता आणि चाचणी केलेल्या CWEs साठी असुरक्षित नव्हता. यावरून असे सूचित होते की व्युत्पन्न केलेल्या कोडची सुरक्षा सुनिश्चित करण्यासाठी LLM ला विशिष्ट, लक्ष्यित मार्गदर्शन प्रदान करणे महत्त्वपूर्ण आहे.
LLM मध्ये कार्यक्षमतेतील बदल
एकंदरीत, OpenAI च्या GPT-4o ने सर्व प्रॉम्प्टमध्ये सर्वात कमी कार्यक्षमता दर्शविली, ‘ наив ‘ प्रॉम्प्ट वापरताना केवळ 1/10 सुरक्षित कोड परिणाम प्राप्त झाला. सुरक्षित कोड व्युत्पन्न करण्यास सांगितले तरी, त्याने अजूनही असुरक्षित आउटपुट तयार केले जे दहापैकी आठ समस्यांसाठी असुरक्षित होते. наив प्रॉम्प्टसह GPT-4.1 ने लक्षणीयरीत्या चांगली कामगिरी केली नाही, 1.5/10 गुण मिळवले.
याउलट, Claude 3.7 Sonnet चाचणी केलेल्या GenAI साधनांमध्ये सर्वोत्तम performer म्हणून उदयास आले. इसने наив प्रॉम्प्ट वापरून 10 पैकी 6 गुण मिळवले आणि सुरक्षा-केंद्रित प्रॉम्प्ट वापरताना 10 पैकी 10 गुण मिळवले. यावरून असे सूचित होते की काही LLM स्पष्ट सूचनांच्या अनुपस्थितीत देखील सुरक्षा विचारांना सामोरे जाण्यासाठी अधिक सक्षम आहेत.
सुरक्षित व्हाइब कोडिंगसाठी बॅकस्लॅश सुरक्षाचे उपाय
LLM प्रॉम्प्ट चाचणीद्वारे उघड झालेल्या समस्यांचे निराकरण करण्यासाठी, बॅकस्लॅश सुरक्षाने सुरक्षित व्हाइब कोडिंग सक्षम करण्यासाठी डिझाइन केलेली अनेक नवीन वैशिष्ट्ये सादर केली आहेत. व्हाइब कोडिंग म्हणजे LLM सारखी AI साधने वापरून कोड तयार करण्याची पद्धत.
बॅकस्लॅश AI नियम आणि धोरणे (Backslash AI Rules & Policies)
बॅकस्लॅश AI नियम आणि धोरणे मशीन-वाचनीय नियम (machine-readable rules) प्रदान करतात जे CWE कव्हरेज सुनिश्चित करण्यासाठी प्रॉम्प्टमध्ये समाविष्ट केले जाऊ शकतात. हे नियम कर्सर (Cursor) सारख्या साधनांसह वापरले जाऊ शकतात, जे एक लोकप्रिय कोड संपादक (code editor) आहे. याव्यतिरिक्त, AI धोरणे बॅकस्लॅश प्लॅटफॉर्मद्वारे IDEs मध्ये कोणते AI नियम सक्रिय आहेत हे नियंत्रित करतात, ज्यामुळे संस्थांना त्यांच्या सुरक्षा सेटिंग्ज (security settings) सानुकूलित करण्याची परवानगी मिळते.
बॅकस्लॅश IDE विस्तार (Backslash IDE Extension)
बॅकस्लॅश IDE विस्तार थेट विकासकांच्या विद्यमान कार्यप्रवाहांमध्ये (workflows) समाकलित होतो, ज्यामुळे त्यांना मानव आणि AI दोघांनी लिहिलेल्या कोडवर बॅकस्लॅश सुरक्षा पुनरावलोकने (security reviews) प्राप्त करण्यास अनुमती मिळते. विकास प्रक्रियेदरम्यान सुरक्षा विचारांना संबोधित केले जाईल याची खात्री करण्यासाठी हे एकत्रीकरण महत्त्वपूर्ण आहे.
बॅकस्लॅश मॉडेल संदर्भ प्रोटोकॉल (MCP) सर्व्हर (Backslash Model Context Protocol (MCP) Server)
बॅकस्लॅश मॉडेल संदर्भ प्रोटोकॉल (MCP) सर्व्हर हा संदर्भ-जागरूक API (context-aware API) आहे जो MCP मानकांचे पालन करतो. हे बॅकस्लॅशला AI साधनांशी जोडते, सुरक्षित कोडिंग, स्कॅनिंग (scanning) आणि फिक्सिंग (fixing) सक्षम करते. MCP मानक AI साधनांना संवाद साधण्यासाठी आणि माहिती सामायिक करण्यासाठी एक सामान्य फ्रेमवर्क (framework) प्रदान करते, ज्यामुळे सुरक्षित AI-शक्ती ॲप्लिकेशन्सच्या विकासास मदत होते.
AI- व्युत्पन्न कोडची आव्हाने
बॅकस्लॅश सुरक्षाचे सह-संस्थापक (co-founder) आणि CTO योस्सी पिक (Yossi Pik) AI-व्युत्पन्न कोड सुरक्षा संघांसाठी (security teams) असलेल्या आव्हानांवर जोर देतात. ते नमूद करतात की ‘AI-व्युत्पन्न कोड – किंवा व्हाइब कोडिंग – सुरक्षा संघांसाठी кошмарसारखे वाटू शकते. हे नवीन कोडचा पूर तयार करते आणि LLM धोके जसे की हेलुसिनेशन्स (hallucinations) आणि प्रॉम्प्ट सेन्सिटिव्हिटी (prompt sensitivity) आणते.’ हेलुसिनेशन्स म्हणजे अशा घटना जिथे LLM चुकीची किंवा अर्थहीन माहिती तयार करतात, तर प्रॉम्प्ट सेन्सिटिव्हिटी म्हणजे इनपुट प्रॉम्प्टमधील (input prompt) सूक्ष्म बदलांवर आधारित भिन्न आउटपुट तयार करण्याची LLM ची प्रवृत्ती.
तथापि, पिक यांचा असा विश्वास आहे की योग्य नियंत्रणे वापरल्यास AI ॲपसेक (AppSec) संघांसाठी एक मौल्यवान साधन ठरू शकते. ते असा युक्तिवाद करतात की ‘योग्य नियंत्रणांसह – जसे की संस्थेने परिभाषित केलेले नियम आणि हेतू-आधारित सुरक्षा प्लॅटफॉर्ममध्ये (security platform) प्लग केलेले संदर्भ-जागरूक MCP सर्व्हर – AI प्रत्यक्षात ॲपसेक संघांना सुरुवातीपासूनच अधिक नियंत्रण देऊ शकते.’ बॅकस्लॅश सुरक्षाचे उद्दिष्ट डायनॅमिक (dynamic) धोरण-आधारित नियम, संदर्भ-संवेदनशील MCP सर्व्हर आणि IDE विस्तार याद्वारे हे नियंत्रणे प्रदान करणे आहे, हे सर्व नवीन कोडिंग युगासाठी डिझाइन केलेले आहेत.
असुरक्षित AI-व्युत्पन्न कोडचे परिणाम
बॅकस्लॅश सुरक्षाच्या संशोधनातील निष्कर्षांचे सॉफ्टवेअर विकास उद्योगासाठी (software development industry) महत्त्वपूर्ण परिणाम आहेत. AI-शक्ती कोड जनरेशन साधने (code generation tools) अधिकाधिक प्रचलित होत असल्याने, योग्य सुरक्षा उपाययोजनांशिवाय या साधनांवर अवलंबून राहण्याशी संबंधित धोके समजून घेणे महत्त्वाचे आहे.
सायबर हल्ल्यांसाठी वाढलेली असुरक्षितता
असुरक्षित AI-व्युत्पन्न कोड नवीन असुरक्षितता निर्माण करू शकतो ज्याचा सायबर गुन्हेगार (cybercriminals) फायदा घेऊ शकतात. या असुरक्षिततेमुळे डेटा उल्लंघन (data breaches), सिस्टम तडजोड आणि इतर सुरक्षा घटना (security incidents) घडू शकतात.
असुरक्षितता ओळखण्यात आणि सुधारण्यात अडचण
AI-व्युत्पन्न कोडच्या मोठ्या प्रमाणामुळे असुरक्षितता ओळखणे आणि सुधारणे कठीण होऊ शकते. सुरक्षा संघ कोड जनरेशनच्या (code generation) जलद गतीशी जुळवून घेण्यासाठी संघर्ष करू शकतात, ज्यामुळे सुरक्षा समस्यांचा बॅकलॉग (backlog) तयार होतो.
विकासकांमध्ये सुरक्षा जागृतीचा अभाव
अनेक विकासकांना AI-व्युत्पन्न कोडशी संबंधित सुरक्षा धोक्यांची पूर्ण जाणीव नसेल. या जागृतीच्या अभावामुळे विकासक नकळतपणे त्यांच्या ॲप्लिकेशन्समध्ये असुरक्षितता आणू शकतात.
नियामक अनुपालन आव्हाने (Regulatory Compliance Challenges)
AI-व्युत्पन्न कोडवर अवलंबून असलेल्या संस्थांना नियामक अनुपालन आव्हानांचा सामना करावा लागू शकतो. बर्याच नियमांनुसार (regulations) संस्थांना संवेदनशील डेटाचे संरक्षण करण्यासाठी पुरेसे सुरक्षा उपाय लागू करणे आवश्यक आहे. असुरक्षित AI-व्युत्पन्न कोडमुळे या आवश्यकता पूर्ण करणे कठीण होऊ शकते.
सुरक्षित AI-शक्ती कोड जनरेशनसाठी सर्वोत्तम पद्धती
असुरक्षित AI-व्युत्पन्न कोडशी संबंधित धोके कमी करण्यासाठी, संस्थांनी खालील सर्वोत्तम पद्धतींचा अवलंब केला पाहिजे:
विकासकांना सुरक्षा प्रशिक्षण द्या
विकासकांना AI-व्युत्पन्न कोडशी संबंधित सुरक्षा धोक्यांवर प्रशिक्षण दिले जावे. या प्रशिक्षणात सामान्य CWEs, सुरक्षित कोडिंग पद्धती आणि सुरक्षा साधने (security tools) कशी वापरायची यासारख्या विषयांचा समावेश असावा.
सुरक्षा धोरणे आणि कार्यपद्धती लागू करा
संस्थांनी सुरक्षा धोरणे आणि कार्यपद्धती लागू कराव्यात जे AI-व्युत्पन्न कोडच्या वापरास संबोधित करतात. या धोरणांमध्ये स्वीकार्य वापर प्रकरणे (use cases), सुरक्षा आवश्यकता आणि AI-व्युत्पन्न कोडचे पुनरावलोकन (review) आणि मंजूर (approve) करण्याची प्रक्रिया परिभाषित केली पाहिजे.
AI-व्युत्पन्न कोड स्कॅन (scan) करण्यासाठी सुरक्षा साधनांचा वापर करा
संस्थांनी AI-व्युत्पन्न कोडमधील असुरक्षितता शोधण्यासाठी सुरक्षा साधनांचा वापर करावा. ही साधने सामान्य CWEs आणि इतर सुरक्षा समस्या ओळखण्यात मदत करू शकतात.
सुरक्षित विकास जीवनचक्र (Secure Development Lifecycle - SDLC) लागू करा
संस्थांनी सुरक्षित विकास जीवनचक्र (SDLC) लागू करावे जे विकास प्रक्रियेदरम्यान सुरक्षा विचारांचा समावेश करते. यामध्ये AI-व्युत्पन्न कोडचे सुरक्षा पुनरावलोकन करणे, पेनिट्रेशन टेस्टिंग (penetration testing) करणे आणि सुरक्षा देखरेख (security monitoring) लागू करणे समाविष्ट आहे.
बग बाउंटी कार्यक्रम (Bug Bounty Program) स्थापित करा
संस्थांनी बग बाउंटी कार्यक्रम स्थापित करावा जेणेकरून सुरक्षा संशोधकांना AI-व्युत्पन्न कोडमधील असुरक्षितता शोधण्यासाठी आणि नोंदवण्यासाठी प्रोत्साहित केले जाईल. यामुळे अंतर्गत सुरक्षा संघांनी (internal security teams) गमावलेल्या असुरक्षितता ओळखण्यास मदत होऊ शकते.
नवीनतम सुरक्षा धोक्यां (security threats) विषयी माहिती ठेवा
संस्थांनी AI-व्युत्पन्न कोडवर परिणाम करणाऱ्या नवीनतम सुरक्षा धोक्यां (security threats) आणि असुरक्षिततांबद्दल माहिती ठेवावी. यामुळे त्यांना संभाव्य सुरक्षा समस्यांचे सक्रियपणे निराकरण करण्यात मदत मिळू शकते.
सुरक्षा तज्ञांसोबत सहयोग करा
संस्थांनी त्यांच्या AI-व्युत्पन्न कोडच्या सुरक्षिततेचे मूल्यांकन करण्यासाठी आणि धोके कमी करण्यासाठी धोरणे विकसित करण्यासाठी सुरक्षा तज्ञांसोबत सहयोग करावा.
सुरक्षित AI-शक्ती कोड जनरेशनचे भविष्य
AI-शक्ती कोड जनरेशन साधने विकसित होत असताना, सुरक्षिततेला प्राधान्य देणे महत्त्वाचे आहे. वर नमूद केलेल्या सर्वोत्तम पद्धती अंमलात आणून, संस्था असुरक्षित कोडशी संबंधित धोके कमी करत AI-शक्ती कोड जनरेशनच्या फायद्यांचा उपयोग करू शकतात.
AI सुरक्षेतील प्रगती
AI प्रणालींची सुरक्षा सुधारण्यावर सतत संशोधन आणि विकास प्रयत्न केंद्रित आहेत. या प्रयत्नांमध्ये प्रतिकूल हल्ले (adversarial attacks) शोधण्यासाठी आणि प्रतिबंधित करण्यासाठी नवीन तंत्र विकसित करणे, AI मॉडेलची मजबूती सुधारणे आणि अधिक सुरक्षित AI आर्किटेक्चर तयार करणे यांचा समावेश आहे.
AI विकासात सुरक्षेचे एकत्रीकरण
सुरक्षा AI विकास प्रक्रियेत अधिकाधिक समाकलित होत आहे. यामध्ये AI मॉडेलच्या डिझाइनमध्ये सुरक्षा विचारांचा समावेश करणे, सुरक्षित कोडिंग पद्धती वापरणे आणि संपूर्ण विकास जीवनचक्रात सुरक्षा चाचणी करणे समाविष्ट आहे.
AI आणि सुरक्षा तज्ञांमधील सहकार्य
AI प्रणालींची सुरक्षा सुनिश्चित करण्यासाठी AI आणि सुरक्षा तज्ञांमधील सहकार्य आवश्यक आहे. हे सहकार्य संभाव्य सुरक्षा धोके ओळखण्यास आणि प्रभावी निवारण धोरणे (mitigation strategies) विकसित करण्यास मदत करू शकते.
AI सुरक्षा धोक्यांविषयी वाढलेली जागृती
AI सुरक्षा धोक्यांविषयी वाढलेल्या जागृतीमुळे नवीन सुरक्षा साधने आणि तंत्रज्ञानाचा विकास होत आहे. यामध्ये प्रतिकूल हल्ले शोधण्यासाठी, AI मॉडेलच्या सुरक्षिततेचे विश्लेषण करण्यासाठी आणि संशयास्पद (suspicious) क्रियाकलापांसाठी AI प्रणालींचे परीक्षण करण्यासाठी साधने समाविष्ट आहेत.
AI-व्युत्पन्न कोडशी संबंधित सुरक्षा आव्हानांना संबोधित करून, संस्था सायबर हल्ल्यांपासून त्यांच्या प्रणाली आणि डेटाचे संरक्षण करताना AI-शक्ती विकासाची पूर्ण क्षमता अनलॉक करू शकतात.