بیک سلیش سکیورٹی کی نئی تحقیق سے ایک تشویشناک رجحان سامنے آیا ہے: بڑے لسانی ماڈلز (LLMs)، جیسے GPT-4.1 اور دیگر عام طور پر استعمال ہونے والے ماڈلز، بغیر کسی واضح حفاظتی ہدایات کے ڈیفالٹ کے طور پر غیر محفوظ کوڈ تیار کرتے ہیں۔ اس کا مطلب ہے کہ سکیورٹی پر توجہ مرکوز کرنے والی مخصوص ہدایات یا رہنما خطوط کے بغیر، ان AI سسٹمز کے ذریعے تیار کردہ کوڈ اکثر عام کمزوریوں اور استحصال کا شکار ہوتا ہے۔ تاہم، تحقیق یہ بھی بتاتی ہے کہ اضافی حفاظتی رہنمائی فراہم کرکے یا قواعد پر مبنی گورننس کو نافذ کرکے تیار کردہ کوڈ کی سکیورٹی کو نمایاں طور پر بہتر بنایا جا سکتا ہے۔
اس مسئلے کو مزید دریافت کرنے کے لیے، بیک سلیش سکیورٹی نے ماڈل کانٹیکسٹ پروٹوکول (MCP) سرور کے اجراء کا اعلان کیا ہے، اس کے ساتھ ساتھ ایجنٹک انٹیگریٹڈ ڈویلپمنٹ انوائرنمنٹس (IDEs) کے لیے ڈیزائن کردہ قواعد اور ایکسٹینشنز بھی متعارف کروائے ہیں۔ ان ٹولز کا مقصد LLM سے تیار کردہ کوڈ میں شناخت شدہ حفاظتی کمزوریوں کو دور کرنا اور ڈویلپرز کو زیادہ محفوظ ایپلیکیشنز بنانے کے ذرائع فراہم کرنا ہے۔
LLMs اور غیر محفوظ کوڈ کی تیاری: ڈیفالٹ منظرنامہ
بیک سلیش سکیورٹی نے OpenAI کے GPT ماڈلز، اینتھروپک کے Claude اور گوگل کے Gemini سمیت مقبول LLMs کے سات مختلف ورژنز پر ٹیسٹوں کا ایک سلسلہ منعقد کیا۔ مقصد یہ جانچنا تھا کہ مختلف پرامپٹنگ تکنیک ماڈلز کی محفوظ کوڈ تیار کرنے کی صلاحیت کو کس طرح متاثر کرتی ہیں۔ کوڈ آؤٹ پٹ کی سکیورٹی کا اندازہ دس کامن ویکنس انومریشن (CWE) استعمال کے معاملات کے خلاف اس کی لچک کی بنیاد پر کیا گیا، جو کہ عام سافٹ ویئر کی کمزوریوں کی ایک رینج کی نمائندگی کرتے ہیں۔
ان ٹیسٹوں کے نتائج نے مسلسل یہ ظاہر کیا کہ تیار کردہ کوڈ کی سکیورٹی زیادہ نفیس پرامپٹنگ تکنیک کے ساتھ بہتر ہوئی۔ تاہم، سب سے اہم بات یہ تھی کہ تمام آزمائے گئے LLMs نے عام طور پر غیر محفوظ کوڈ تیار کیا جب انہیں اپنے طور پر کام کرنے کے لیے چھوڑ دیا گیا۔ اس سے پتہ چلتا ہے کہ یہ ماڈلز، اپنی ڈیفالٹ کنفیگریشنز میں، سکیورٹی کو ترجیح نہیں دیتے اور اکثر عام کوڈنگ کی کمزوریوں کو دور کرنے میں ناکام رہتے ہیں۔
سادہ پرامپٹس: کمزوری کا نسخہ
جب انہیں سادہ، ‘سادہ’ پرامپٹس کے ساتھ پیش کیا گیا جس میں سکیورٹی کے تحفظات کا واضح طور پر ذکر نہیں تھا، تو تمام آزمائے گئے LLMs نے غیر محفوظ کوڈ تیار کیا جو کم از کم دس عام CWEs میں سے چار کا شکار تھا۔ یہ ان ماڈلز میں سکیورٹی سے متعلق شعور کی موروثی کمی کو اجاگر کرتا ہے جب وہ مخصوص رہنمائی کے بغیر کام کرتے ہیں۔
سکیورٹی پر مبنی پرامپٹس کا اثر
ایسے پرامپٹس جو عام طور پر سکیورٹی کی ضرورت کو واضح کرتے ہیں، ان کے نتیجے میں زیادہ محفوظ نتائج برآمد ہوئے، جس سے یہ ظاہر ہوتا ہے کہ LLMs زیادہ محفوظ کوڈ تیار کرنے کے قابل ہیں جب انہیں واضح طور پر ایسا کرنے کی ہدایت کی جائے۔ مزید برآں، پرامپٹس جو اوپن ویب ایپلیکیشن سکیورٹی پروجیکٹ (OWASP) کے بہترین طریقوں کے مطابق کوڈ کی درخواست کرتے ہیں، نے اس سے بھی بہتر نتائج دیئے۔ OWASP ایک غیر منافع بخش فاؤنڈیشن ہے جو سافٹ ویئر کی سکیورٹی کو بہتر بنانے کے لیے کام کرتی ہے۔ تاہم، ان زیادہ نفیس پرامپٹس کے ساتھ بھی، کچھ کوڈ کی کمزوریاں آزمائے گئے سات LLMs میں سے پانچ میں موجود رہیں، جس سے LLMs کے ساتھ مسلسل محفوظ کوڈ تیار کرنے میں چیلنجز کو اجاگر کیا گیا۔
قواعد پر مبنی پرامپٹس: محفوظ کوڈ کی راہ
محفوظ کوڈ تیار کرنے کا سب سے مؤثر طریقہ بیک سلیش کے ذریعے مخصوص CWEs کو حل کرنے کے لیے بتائے گئے قواعد سے منسلک پرامپٹس پر مشتمل تھا۔ ان قواعد پر مبنی پرامپٹس کے نتیجے میں ایسا کوڈ تیار ہوا جو محفوظ تھا اور آزمائے گئے CWEs کا شکار نہیں تھا۔ اس سے پتہ چلتا ہے کہ LLMs کو مخصوص، ہدف شدہ رہنمائی فراہم کرنا تیار کردہ کوڈ کی سکیورٹی کو یقینی بنانے کے لیے بہت ضروری ہے۔
LLMs کے درمیان کارکردگی میں تغیرات
مجموعی طور پر، OpenAI کے GPT-4o نے تمام پرامپٹس میں سب سے کم کارکردگی کا مظاہرہ کیا، اور ‘سادہ’ پرامپٹس کا استعمال کرتے وقت صرف 10 میں سے 1 کا محفوظ کوڈ نتیجہ حاصل کیا۔ یہاں تک کہ جب اسے محفوظ کوڈ تیار کرنے کے لیے کہا گیا، تو اس نے پھر بھی غیر محفوظ آؤٹ پٹ تیار کیے جو دس میں سے آٹھ مسائل کا شکار تھے۔ GPT-4.1 نے بھی سادہ پرامپٹس کے ساتھ نمایاں طور پر بہتر کارکردگی کا مظاہرہ نہیں کیا، اور اس نے 10 میں سے 1.5 اسکور کیا۔
اس کے برعکس، Claude 3.7 Sonnet آزمائے گئے GenAI ٹولز میں سب سے بہتر کارکردگی کا مظاہرہ کرنے والا ثابت ہوا۔ اس نے سادہ پرامپٹس کا استعمال کرتے ہوئے 10 میں سے 6 اور سکیورٹی پر مبنی پرامپٹس کا استعمال کرتے ہوئے ایک کامل 10 میں سے 10 اسکور کیا۔ اس سے پتہ چلتا ہے کہ کچھ LLMs واضح ہدایات کی عدم موجودگی میں بھی سکیورٹی کے تحفظات کو سنبھالنے کے لیے بہتر طور پر لیس ہیں۔
محفوظ Vibe Coding کے لیے بیک سلیش سکیورٹی کے حل
LLM پرامپٹ ٹیسٹنگ کے ذریعے ظاہر ہونے والے مسائل کو حل کرنے کے لیے، بیک سلیش سکیورٹی کئی نئی خصوصیات متعارف کروا رہی ہے جو محفوظ وائب کوڈنگ کو فعال کرنے کے لیے ڈیزائن کی گئی ہیں۔ وائب کوڈنگ سے مراد AI ٹولز، جیسے LLMs کا استعمال کرتے ہوئے کوڈ تیار کرنے کا عمل ہے۔
بیک سلیش AI قواعد اور پالیسیاں
بیک سلیش AI قواعد اور پالیسیاں مشین کے ذریعے پڑھنے کے قابل قواعد فراہم کرتی ہیں جنہیں CWE کوریج کو یقینی بنانے کے لیے پرامپٹس میں شامل کیا جا سکتا ہے۔ یہ قواعد Cursor جیسے ٹولز کے ساتھ استعمال کیے جا سکتے ہیں، جو کہ ایک مقبول کوڈ ایڈیٹر ہے۔ اس کے علاوہ، AI پالیسیاں بیک سلیش پلیٹ فارم کے ذریعے IDEs میں کون سے AI قواعد فعال ہیں اس پر کنٹرول رکھتی ہیں، جس سے تنظیموں کو اپنی سکیورٹی کی ترتیبات کو اپنی مرضی کے مطابق بنانے کی اجازت ملتی ہے۔
بیک سلیش IDE توسیع
بیک سلیش IDE توسیع براہ راست ڈویلپرز کے موجودہ ورک فلو میں ضم ہو جاتی ہے، جس سے انہیں انسانوں اور AI دونوں کے ذریعہ لکھے گئے کوڈ پر بیک سلیش سکیورٹی کے جائزے حاصل کرنے کی اجازت ملتی ہے۔ یہ انضمام اس بات کو یقینی بنانے کے لیے بہت ضروری ہے کہ ترقی کے پورے عمل میں سکیورٹی کے تحفظات کو حل کیا جائے۔
بیک سلیش ماڈل کانٹیکسٹ پروٹوکول (MCP) سرور
بیک سلیش ماڈل کانٹیکسٹ پروٹوکول (MCP) سرور ایک سیاق و سباق سے آگاہ API ہے جو MCP معیار کے مطابق ہے۔ یہ بیک سلیش کو AI ٹولز سے جوڑتا ہے، جو محفوظ کوڈنگ، سکیننگ اور فکسنگ کو فعال کرتا ہے۔ MCP معیار AI ٹولز کے لیے بات چیت کرنے اور معلومات کا اشتراک کرنے کے لیے ایک مشترکہ فریم ورک فراہم کرتا ہے، جو محفوظ AI سے چلنے والی ایپلیکیشنز کی ترقی کو آسان بناتا ہے۔
AI سے تیار کردہ کوڈ کے چیلنجز سے نمٹنا
بیک سلیش سکیورٹی کے شریک بانی اور CTO، یوسی پک، ان چیلنجز پر زور دیتے ہیں جو AI سے تیار کردہ کوڈ سکیورٹی ٹیموں کے لیے پیش کرتا ہے۔ انہوں نے نوٹ کیا کہ ‘AI سے تیار کردہ کوڈ – یا وائب کوڈنگ – سکیورٹی ٹیموں کے لیے ایک ڈراؤنے خواب کی طرح محسوس ہو سکتا ہے۔ یہ نئے کوڈ کا ایک سیلاب پیدا کرتا ہے اور LLM کے خطرات جیسے کہ ہیلوسینیشنز اور پرامپٹ حساسیت لاتا ہے۔’ ہیلوسینیشنز سے مراد وہ مثالیں ہیں جہاں LLMs غلط یا بے معنی معلومات تیار کرتے ہیں، جبکہ پرامپٹ حساسیت سے مراد ان پٹ پرامپٹ میں لطیف تغیرات کی بنیاد پر مختلف آؤٹ پٹ تیار کرنے کے لیے LLMs کا رجحان ہے۔
تاہم، پک کا یہ بھی ماننا ہے کہ AI AppSec ٹیموں کے لیے ایک قیمتی ٹول ہو سکتا ہے جب اسے صحیح کنٹرول کے ساتھ استعمال کیا جائے۔ ان کا کہنا ہے کہ ‘صحیح کنٹرولز کے ساتھ – جیسے کہ تنظیم کے متعین کردہ قواعد اور ایک سیاق و سباق سے آگاہ MCP سرور جو ایک مقصد سے تیار کردہ سکیورٹی پلیٹ فارم میں پلگ ان کیا گیا ہے – AI دراصل AppSec ٹیموں کو شروع سے ہی زیادہ کنٹرول دے سکتا ہے۔’ بیک سلیش سکیورٹی ان کنٹرولز کو اپنی متحرک پالیسی پر مبنی قواعد، سیاق و سباق کے لحاظ سے حساس MCP سرور اور IDE توسیع کے ذریعے فراہم کرنے کا ارادہ رکھتی ہے، یہ سبھی نئے کوڈنگ دور کے لیے ڈیزائن کیے گئے ہیں۔
غیر محفوظ AI سے تیار کردہ کوڈ کے مضمرات
بیک سلیش سکیورٹی کی تحقیق کے نتائج کے سافٹ ویئر ڈویلپمنٹ انڈسٹری کے لیے اہم مضمرات ہیں۔ جیسے جیسے AI سے چلنے والے کوڈ کی تیاری کے ٹولز تیزی سے عام ہوتے جا رہے ہیں، ان ٹولز پر مناسب سکیورٹی اقدامات کے بغیر انحصار کرنے سے وابستہ خطرات کو سمجھنا بہت ضروری ہے۔
سائبر حملوں کا بڑھتا ہوا خطرہ
غیر محفوظ AI سے تیار کردہ کوڈ نئی کمزوریاں پیدا کر سکتا ہے جن کا سائبر مجرم استحصال کر سکتے ہیں۔ یہ کمزوریاں ڈیٹا کی خلاف ورزیوں، نظام کے سمجھوتے اور دیگر سکیورٹی واقعات کا باعث بن سکتی ہیں۔
کمزوریوں کی شناخت اور ان کا ازالہ کرنے میں دشواری
AI سے تیار کردہ کوڈ کی محض مقدار کمزوریوں کی شناخت اور ان کا ازالہ کرنا مشکل بنا سکتی ہے۔ سکیورٹی ٹیمیں کوڈ کی تیاری کی تیز رفتار کے ساتھ چلنے کے لیے جدوجہد کر سکتی ہیں، جس کی وجہ سے سکیورٹی کے مسائل کا ایک بیک لاگ پیدا ہو سکتا ہے۔
ڈویلپرز میں سکیورٹی سے متعلق شعور کی کمی
بہت سے ڈویلپرز کو AI سے تیار کردہ کوڈ سے وابستہ سکیورٹی کے خطرات کے بارے میں پوری طرح آگاہ نہیں ہو سکتا ہے۔ شعور کی اس کمی کی وجہ سے ڈویلپرز نادانستہ طور پر اپنی ایپلی کیشنز میں کمزوریاں متعارف کروا سکتے ہیں۔
ریگولیٹری تعمیل کے چیلنجز
وہ تنظیمیں جو AI سے تیار کردہ کوڈ پر انحصار کرتی ہیں انہیں ریگولیٹری تعمیل کے چیلنجز کا سامنا کرنا پڑ سکتا ہے۔ بہت سے ضوابط کے تحت تنظیموں کو حساس ڈیٹا کی حفاظت کے لیے مناسب سکیورٹی اقدامات نافذ کرنے کی ضرورت ہوتی ہے۔ غیر محفوظ AI سے تیار کردہ کوڈ ان ضروریات کو پورا کرنا مشکل بنا سکتا ہے۔
محفوظ AI سے چلنے والی کوڈ کی تیاری کے لیے بہترین طریقے
غیر محفوظ AI سے تیار کردہ کوڈ سے وابستہ خطرات کو کم کرنے کے لیے، تنظیموں کو درج ذیل بہترین طریقوں کو اپنانا چاہیے۔
ڈویلپرز کو سکیورٹی کی تربیت فراہم کریں
ڈویلپرز کو AI سے تیار کردہ کوڈ سے وابستہ سکیورٹی کے خطرات کے بارے میں تربیت حاصل کرنی چاہیے۔ اس تربیت میں عام CWEs، محفوظ کوڈنگ کے طریقوں اور سکیورٹی ٹولز کو استعمال کرنے کے طریقے جیسے موضوعات شامل ہونے چاہئیں۔
سکیورٹی کی پالیسیاں اور طریقہ کار نافذ کریں
تنظیموں کو سکیورٹی کی پالیسیاں اور طریقہ کار نافذ کرنے چاہئیں جو AI سے تیار کردہ کوڈ کے استعمال کو حل کریں۔ ان پالیسیوں کو قابل قبول استعمال کے معاملات، سکیورٹی کی ضروریات اور AI سے تیار کردہ کوڈ کے جائزے اور منظوری کے عمل کی وضاحت کرنی چاہیے۔
AI سے تیار کردہ کوڈ کو اسکین کرنے کے لیے سکیورٹی ٹولز کا استعمال کریں
تنظیموں کو AI سے تیار کردہ کوڈ کو کمزوریوں کے لیے اسکین کرنے کے لیے سکیورٹی ٹولز کا استعمال کرنا چاہیے۔ یہ ٹولز عام CWEs اور دیگر سکیورٹی مسائل کی شناخت میں مدد کر سکتے ہیں۔
ایک محفوظ ڈویلپمنٹ لائف سائیکل (SDLC) نافذ کریں
تنظیموں کو ایک محفوظ ڈویلپمنٹ لائف سائیکل (SDLC) نافذ کرنا چاہیے جو پورے ترقیاتی عمل میں سکیورٹی کے تحفظات کو شامل کرے۔ اس میں AI سے تیار کردہ کوڈ کے سکیورٹی جائزے کرنا، پینیٹریشن ٹیسٹنگ کرنا اور سکیورٹی مانیٹرنگ کو نافذ کرنا شامل ہے۔
ایک بگ باؤنٹی پروگرام قائم کریں
تنظیموں کو ایک بگ باؤنٹی پروگرام قائم کرنا چاہیے تاکہ سکیورٹی محققین کو AI سے تیار کردہ کوڈ میں کمزوریاں تلاش کرنے اور ان کی اطلاع دینے کی ترغیب دی جا سکے۔ یہ ان کمزوریوں کی شناخت میں مدد کر سکتا ہے جو داخلی سکیورٹی ٹیموں سے چھوٹ گئی ہوں۔
تازہ ترین سکیورٹی خطرات کے بارے میں باخبر رہیں
تنظیموں کو تازہ ترین سکیورٹی خطرات اور کمزوریوں کے بارے میں باخبر رہنا چاہیے جو AI سے تیار کردہ کوڈ کو متاثر کرتے ہیں۔ یہ انہیں ممکنہ سکیورٹی مسائل کو فعال طور پر حل کرنے میں مدد کر سکتا ہے۔
سکیورٹی کے ماہرین کے ساتھ تعاون کریں
تنظیموں کو اپنے AI سے تیار کردہ کوڈ کی سکیورٹی کا جائزہ لینے اور خطرات کو کم کرنے کے لیے حکمت عملی تیار کرنے کے لیے سکیورٹی کے ماہرین کے ساتھ تعاون کرنا چاہیے۔
محفوظ AI سے چلنے والی کوڈ کی تیاری کا مستقبل
جیسے جیسے AI سے چلنے والے کوڈ کی تیاری کے ٹولز تیار ہوتے رہتے ہیں، سکیورٹی کو ترجیح دینا بہت ضروری ہے۔ اوپر بیان کردہ بہترین طریقوں کو نافذ کرکے، تنظیمیں غیر محفوظ کوڈ سے وابستہ خطرات کو کم کرتے ہوئے AI سے چلنے والی کوڈ کی تیاری کے فوائد سے فائدہ اٹھا سکتی ہیں۔
AI سکیورٹی میں پیشرفت
جاری تحقیق اور ترقی کی کوششیں AI سسٹمز کی سکیورٹی کو بہتر بنانے پر مرکوز ہیں۔ ان کوششوں میں مخالف حملوں کا پتہ لگانے اور ان سے بچنے کے لیے نئی تکنیکیں تیار کرنا، AI ماڈلز کی مضبوطی کو بہتر بنانا اور زیادہ محفوظ AI فن تعمیرات بنانا شامل ہیں۔
AI ڈویلپمنٹ میں سکیورٹی کا انضمام
سکیورٹی تیزی سے AI ڈویلپمنٹ کے عمل میں ضم ہو رہی ہے۔ اس میں AI ماڈلز کے ڈیزائن میں سکیورٹی کے تحفظات کو شامل کرنا، محفوظ کوڈنگ کے طریقوں کا استعمال کرنا اور پورے ترقیاتی لائف سائیکل میں سکیورٹی ٹیسٹنگ کرنا شامل ہے۔
AI اور سکیورٹی کے ماہرین کے درمیان تعاون
AI سسٹمز کی سکیورٹی کو یقینی بنانے کے لیے AI اور سکیورٹی کے ماہرین کے درمیان تعاون بہت ضروری ہے۔ یہ تعاون ممکنہ سکیورٹی خطرات کی نشاندہی کرنے اور مؤثر تخفیف کی حکمت عملی تیار کرنے میں مدد کر سکتا ہے۔
AI سکیورٹی خطرات کے بارے میں بڑھتی ہوئی آگاہی
AI سکیورٹی خطرات کے بارے میں بڑھتی ہوئی آگاہی نئے سکیورٹی ٹولز اور تکنیکوں کی ترقی کو آگے بڑھا رہی ہے۔ اس میں مخالف حملوں کا پتہ لگانے، AI ماڈلز کی سکیورٹی کا تجزیہ کرنے اور مشکوک سرگرمیوں کے لیے AI سسٹمز کی نگرانی کرنے کے لیے ٹولز شامل ہیں۔
AI سے تیار کردہ کوڈ سے وابستہ سکیورٹی چیلنجز کو حل کرکے، تنظیمیں سائبر حملوں سے اپنے سسٹمز اور ڈیٹا کی حفاظت کرتے ہوئے AI سے چلنے والی ترقی کی مکمل صلاحیت کو کھول سکتی ہیں۔