Whalesbook
Mythos எனும் AI, பழமையான மென்பொருள் ஓட்டைகளை தானாகவே கண்டறிந்து தாக்கும் திறனை வெளிப்படுத்தியுள்ளது. இதனால் டிஜிட்டல் பாதுகாப்பில் பெரும் மாற்றம் ஏற்படும் என எதிர்பார்க்கப்படுகிறது. இது, மேனுவல் செக்யூரிட்டி ஆடிட்டிங்கை நம்பியிருக்கும் IT சர்வீஸ் நிறுவனங்களுக்கு பெரிய 'வேல்யூஷன் கிளிஃப்'-ஐ (valuation cliff) ஏற்படுத்துகிறது.
என்ன நடந்தது?
சைபர் செக்யூரிட்டி துறையில் ஒரு மைல்கல்லாக, Mythos என்ற AI, மிகவும் பாதுகாப்பானதாகக் கருதப்படும் OpenBSD ஆப்பரேட்டிங் சிஸ்டத்தில் உள்ள ஓட்டையை தானாகவே கண்டறிந்து, அதை வெற்றிகரமாகப் பயன்படுத்தியுள்ளது. 27 ஆண்டுகளாக யாருக்கும் தெரியாமல் இருந்த ஒரு பிழையை, வெறும் வினாடிகளில் இந்த AI செயல்பட வைத்துள்ளது. வழக்கமாக, மனித நிபுணர்கள் இதுபோன்ற பிழைகளைக் கண்டறிந்து சரிசெய்ய வாரக்கணக்கில் எடுத்துக்கொள்வார்கள். ஆனால், Mythos-ன் செயல்பாடு, AI-யால் இயக்கப்படும் தாக்குதல் திறன்கள், வழக்கமான மனிதர்களின் பாதுகாப்பு மற்றும் தணிக்கை முறைகளை விட வேகமாக முன்னேறி வருவதைக் காட்டுகிறது. இதை 'சர்ரைஸ் இல்லாத நிலை' (End of Surprise) என்று வர்ணிக்கிறார்கள்.
பாரம்பரிய IT சர்வீஸ்களுக்கு என்ன பாதிப்பு?
இந்திய IT சர்வீஸ் நிறுவனங்கள் பல ஆண்டுகளாக, 'பில் செய்யக்கூடிய மணிநேரம்' (billable hour) என்ற அடிப்படையில் தங்கள் வியாபாரத்தை நடத்தி வருகின்றன. அதாவது, மேனுவல் வேலை, பாதுகாப்பு தணிக்கை, பிழைகளை சரிசெய்வது போன்றவற்றுக்கு வாடிக்கையாளர்களிடம் கட்டணம் வசூலிப்பார்கள். ஆனால், Mythos போன்ற AI-கள் இந்த தணிக்கை வேலைகளை மாதங்களுக்குப் பதிலாக வினாடிகளில் செய்ய முடியும்.
இதனால், பாரம்பரிய சேவை மாதிரிக்கு ஆபத்து ஏற்பட்டுள்ளது. பாதுகாப்பு சோதனை, ஓட்டைகளை அடைப்பது, இணக்கத் தணிக்கை ஆகியவை தானியங்கி முறையில் உடனடியாக நடந்தால், அதிக மனித உழைப்பை நம்பியிருக்கும் வருவாய் மாதிரிக்கு ஒரு பெரிய 'வேல்யூஷன் கிளிஃப்' (valuation cliff) ஏற்படலாம். முதலீட்டாளர்கள், பழைய மேனுவல் தணிக்கை முறைகளை அதிகம் சார்ந்திருக்கும் நிறுவனங்களின் லாப வரம்புகள் (profit margins) நீடிக்குமா அல்லது அவை AI-ஐ மையமாகக் கொண்ட பாதுகாப்பு கட்டமைப்புகளுக்கு மாற வேண்டியிருக்குமா என்பதை மறுபரிசீலனை செய்ய வேண்டும்.
'சாவரின் ரெசிலியன்ஸ்'-ஐ நோக்கிய நகர்வு
உலகளவில், AI-ஐ ஒரு வழக்கமான மென்பொருளாகப் பார்ப்பது மாறி, ஒரு இரட்டைப் பயன்பாட்டு மூலோபாய சொத்தாக (dual-use strategic asset) பார்க்கப்படுகிறது. அமெரிக்க அரசு, அதிநவீன AI மாடல்களின் மீது இறுக்கமான கட்டுப்பாடுகளை விதிக்க முயல்வதாகக் கூறப்படுகிறது. இந்தியாவுக்கு, அதன் டிஜிட்டல் பொது உள்கட்டமைப்பு (Digital Public Infrastructure - DPI) போன்ற India Stack-ல் அதன் பலம் உள்ளது. இந்திய தொழில்நுட்ப நிறுவனங்கள் மற்றும் கொள்கை வகுப்பாளர்களின் கவனம் 'சாவரின் ரெசிலியன்ஸ்' (sovereign resilience) மீது திரும்பும் என எதிர்பார்க்கப்படுகிறது. அதாவது, 'பூட்டிய கதவு' போன்ற பாதுகாப்பு வியூகத்திலிருந்து, தாக்குதலின் தீவிரத்தைப் பொருட்படுத்தாமல், நிகழ்நேரத்தில் (real-time) அசாதாரணங்களைக் கண்டறிந்து தன்னைத்தானே சரிசெய்து கொள்ளக்கூடிய ஒரு சுய-குணப்படுத்தும் (self-healing) அமைப்புக்கு மாறுவது.
ஆபத்துகள் மற்றும் வணிக மாதிரி அழுத்தம்
பாதுகாப்பு தானியங்கிமயமாக்கப்படுவதால் செயல்திறன் அதிகரித்தாலும், அது அமைப்பு ரீதியான ஆபத்துகளையும் (systemic risks) கொண்டுள்ளது. AI ஏஜெண்டுகள் ஹேக்கிங்கில் சிறப்பாக மாறும்போது, ஒரு மீறலில் இருந்து மீண்டு வரத் தேவையான 'டைம்-டு-ரெசிலியன்ஸ்' (time-to-resilience) வேகத்தைப் பராமரிக்க வேண்டிய அழுத்தம் நிறுவனங்களுக்கு அதிகரிக்கும். IT சர்வீஸ் துறைக்கு, இந்த மாற்றத்தில்தான் ஆபத்து உள்ளது. மேனுவல் தணிக்கை வருவாயை, மதிப்பு அடிப்படையிலான 'ரெசிலியன்ஸ் கட்டணங்களுடன்' (resilience architecture fees) மாற்றத் தவறும் நிறுவனங்கள், லாப வரவு இழப்பை சந்திக்க நேரிடும். மேலும், நாடுகள் AI உளவுத்துறையை தேசியமயமாக்கும்போது, உலகளாவிய, இறையாண்மையற்ற AI மாடல்களுடன் அதிக ஈடுபாடு கொண்ட நிறுவனங்கள், வருவாய் ஸ்திரத்தன்மையை பாதிக்கக்கூடிய ஒழுங்குமுறை சிக்கல்கள் அல்லது புவிசார் அரசியல் இணக்கச் சவால்களை எதிர்கொள்ளக்கூடும்.
முதலீட்டாளர்கள் அடுத்து எதைக் கண்காணிக்க வேண்டும்?
முக்கிய IT சேவை வழங்குநர்கள் தங்கள் சேவைப் போர்ட்ஃபோலியோக்களை எவ்வாறு சரிசெய்கிறார்கள் என்பதை முதலீட்டாளர்கள் கண்காணிக்கலாம். நிறுவனங்கள் தங்கள் பாதுகாப்பு வணிகத்தை மேனுவல் ஊடுருவல் சோதனையிலிருந்து (penetration testing) தானியங்கு, AI-இயங்கும் 'சுய-குணப்படுத்தும்' (self-healing) சேவை சலுகைகளுக்கு மாற்றுகிறதா என்பதைக் கவனிக்க வேண்டும். காலாண்டு கருத்துக்களில் (quarterly commentary) 'மதிப்பு அடிப்படையிலான' (value-based) மற்றும் 'நேர அடிப்படையிலான' (time-based) பில்லிங் பற்றி நிர்வாகக் குழுக்கள் எவ்வாறு பேசுகின்றன என்பதைக் கவனிப்பது முக்கியம். கூடுதலாக, AI நிர்வாகம் மற்றும் டிஜிட்டல் உள்கட்டமைப்பிற்கான தேசிய பாதுகாப்பு தரநிலைகள் குறித்த அரசாங்கக் கொள்கைகளைக் கண்காணிப்பது, இந்த நிறுவனங்கள் செயல்படும் ஒழுங்குமுறை சூழலைப் பற்றிய தெளிவைத் தரும்.