Braintrust, kampuni ya kuanza ya tathmini ya AI inayotumiwa na timu za uhandisi zinazojenga bidhaa za AI, imewaambia wateja wafute na wabadilishe funguo za API zilizohifadhiwa kwenye jukwaa lake baada ya tukio la kiusalama linalohusisha moja ya akaunti zake za wingu za Amazon Web Services.
Kulingana na TechCrunch, kampuni ilithibitisha “ufikiaji usioidhinishwa” wa akaunti ya AWS iliyokuwa na funguo za API za wateja zilizotumiwa kufikia miundo ya AI inayotegemea wingu. Braintrust ilisema kuwa ilikuwa imewasiliana na mteja mmoja aliyeathirika na haikuwa imepata ushahidi wa mfichuo mpana zaidi wakati wa notisi yake kwa wateja.
Kampuni pia ilifichua tukio hilo katika kituo chake cha uaminifu, ikisema kuwa ilikuwa imeudhibiti tatizo, imeufunga akaunti iliyoathiriwa, imezuia ufikiaji katika mifumo inayohusiana, na imebadilisha siri za ndani.
Somo lenye manufaa si kwamba kampuni moja ya kuanza ya AI ilikuwa na tukio la kiusalama. Ni kwamba miundombinu ya AI sasa inategemea minyororo ya uaminifu ambayo ni rahisi kuidharau.
Bidhaa inaweza kuita OpenAI, Anthropic, Google, Mistral, AWS, Azure, zana za uangalizi, hifadhidata za vekta, majukwaa ya tathmini, huduma za CI/CD, na mifumo ya ndani ya usimamizi. Kila muunganisho unaweza kutegemea siri. Ikiwa siri hizo zimehifadhiwa vibaya, zimepewa ruhusa kupita kiasi, hazibadilishwi mara kwa mara, au zimetawanywa kwenye zana nyingi mno, bidhaa inakuwa dhaifu zaidi kuliko inavyoonekana.
Kwa wajenzi, funguo za API si tena kigezo kidogo cha msanidi programu. Ni sehemu ya mpaka wa usalama.
Nini kilitokea
TechCrunch iliripoti kwamba Braintrust ilituma barua pepe kwa wateja ikiomba kila mteja azungushe funguo za API zilizohifadhiwa na kampuni. Tukio hilo lilihusisha moja ya akaunti za wingu za AWS za Braintrust, ambazo zilikuwa na funguo ambazo wateja walitumia kufikia miundo ya AI inayotegemea wingu.
Msemaji wa Braintrust Martin Bergman aliambia TechCrunch kwamba kampuni ilituma barua pepe hiyo “kwa tahadhari nyingi” na akasema Braintrust ilikuwa imethibitisha tukio la kiusalama lakini haikuwa na ushahidi wa uvunjaji wakati wa tamko hilo.
Maneno hayo yana umuhimu. Matukio ya kiusalama mara nyingi hupitia hatua: shughuli ya kushukiwa, ufikiaji usioidhinishwa uliothibitishwa, kudhibiti tukio, uchunguzi, taarifa kwa wateja, marekebisho, na tathmini ya mwisho baada ya tukio.
Kwa wateja, hata hivyo, mwitikio wa vitendo ni rahisi: badilisha siri zilizofichuliwa au zinazoweza kuwa zimefichuliwa kabla mtu mwingine hajazitumia.
Ndiyo sababu Braintrust iliwaomba wateja wabadilishe funguo.
Kwa nini funguo za API ni zenye nguvu
Funguo ya API si tu nenosiri katika umbo tofauti. Katika mifumo mingi, ni kitambulisho kinachoruhusu programu kutenda.
Kwa ufunguo sahihi, mfumo unaweza kuita muundo, kufikia data, kuanzisha michakato, kutumia rasilimali za wingu, kusoma kumbukumbu, au kuingiliana na miundombinu ya uzalishaji. Ikiwa ufunguo huo umeibiwa, mshambulizi huenda asihitaji kuvunja mfumo mkuu wa mteja. Ufunguo unaweza kumruhusu aonekane halali.
TechCrunch iliweka jambo hili wazi: washambuliaji mara nyingi hulenga akaunti za wingu za kampuni na majukwaa ya wahusika wengine kwa sababu kuiba siri kunaweza kuwapa ufikiaji bila kuathiri moja kwa moja mifumo ya kampuni lengwa.
Hicho ndicho kinachofanya funguo za API kuwa hatari sana zinapochukuliwa kirahisi.
Ufunguo uliovuja unaweza kusababisha ufichuzi wa data, bili zilizopanda za wingu au miundo, matumizi mabaya ya miundo, kuathirika kwa wateja, au ufikiaji wa kina zaidi ikiwa siri hiyo hiyo ina ruhusa pana. Katika bidhaa za AI, hatari inaweza kuwa kubwa zaidi kwa sababu funguo zinaweza kuunganisha kwa watoa huduma wa miundo, hifadhidata za wateja, kumbukumbu za maelekezo, matokeo ya tathmini, na zana za ndani.
Tatizo la hatari za wahusika wengine
Braintrust inajiweka kama jukwaa la wahandisi wanaojenga programu za AI. Mwanzilishi na Mkurugenzi Mtendaji wake, Ankur Goyal, awali aliiambia TechCrunch kuwa ni “mfumo wa uendeshaji kwa wahandisi wanaojenga programu za AI.”
Nafasi hiyo ndiyo hasa inayofanya tukio hili liwe na umuhimu.
Timu za kisasa za AI mara chache hujenga kila kitu peke yao. Huziba pamoja zana. Jukwaa moja huchambua matokeo. Jingine huhifadhi upachikaji. Jingine hurekodi maelekezo. Jingine huendesha miundo. Jingine hushughulikia upelekaji. Jingine husimamia msaada kwa wateja. Hii ni yenye ufanisi, lakini pia hutawanya uaminifu kwa wauzaji wengi.
Wakati mtoa huduma mmoja huhifadhi siri za wateja, mtoa huduma huyo anakuwa sehemu ya mpaka wa usalama wa mteja.
Jaime Blasco, mwanzilishi mwenza wa Nudge Security, aliambia TechCrunch kwamba tukio hilo lingeweza kuwa na “athari za mfululizo kwa wateja walioathirika,” ikiwemo kampuni za AI zinazotegemea Braintrust.
Hilo ndilo neno ambalo wajenzi wanapaswa kulizingatia: athari za mfululizo.
Uvunjaji katika zana moja unaweza kusambaa kupitia rundo lote la mifumo. Unaweza kuathiri ufikiaji wa miundo, data za wateja, mfichuo wa bili, na shughuli za ndani kwingineko. Kadiri rundo linavyounganishwa zaidi, ndivyo usalama wa mtoa huduma unavyokuwa muhimu zaidi.
Wajenzi wa AI wanapaswa kujifunza nini kutokana na hili
Somo si kuepuka zana za wahusika wengine. Hilo lingekuwa lisilo la kweli. Kampuni za kuanza hutumia majukwaa ya nje kwa sababu zinahitaji kasi, uaminifu, na uwezo maalumu.
Somo ni kubuni kwa ajili ya kushindwa.
Dhania kuwa mtoa huduma anaweza kuathiriwa. Dhania kuwa mhandisi anaweza kufichua siri kwa bahati mbaya. Dhania kuwa ufunguo unaweza kunakiliwa. Dhania kuwa akaunti ya wingu inaweza kufikiwa na mtu asiye sahihi. Kisha jenga mifumo inayopunguza jinsi uharibifu unavyoweza kusambaa.
Kanuni ya kwanza ni ruhusa ya chini kabisa. Ufunguo unapaswa kuwa na ufikiaji unaohitaji tu. Ikiwa ufunguo umekusudiwa kuita muundo fulani tu, haupaswi pia kuwa na ufikiaji mpana wa mifumo isiyohusiana.
Kanuni ya pili ni kuzungusha. Siri zinapaswa kubadilishwa bila mshtuko. Ikiwa kubadilisha ufunguo kunavunja bidhaa kwa siku nzima, timu ina tatizo la mchakato.
Kanuni ya tatu ni kutenganisha. Funguo za uzalishaji, funguo za maendeleo, funguo za wateja mahususi, na funguo za zana za ndani hazipaswi zote kuwa mahali pamoja zikiwa na muundo sawa wa ufikiaji.
Kanuni ya nne ni uonekano. Timu zinapaswa kujua ni funguo zipi zipo, zimehifadhiwa wapi, nani anaweza kuzifikia, zilitumiwa mara ya mwisho lini, na kama matumizi yanabadilika ghafla.
Kanuni ya tano ni ukaguzi wa mtoa huduma. Kabla ya kuhifadhi siri za wateja na zana ya mhusika wa tatu, timu zinapaswa kuuliza maswali magumu kuhusu usimbaji fiche, udhibiti wa ufikiaji, kumbukumbu za ukaguzi, mwitikio wa matukio, utengaji wa funguo, na taarifa kwa mteja.
Hakuna lolote kati ya haya ni la kuvutia. Ni kazi inayolinda bidhaa isiangamie wakati kitu kinapokwenda vibaya.
Pembe ya kampuni za kuanza za Afrika
Kwa kampuni za kuanza za AI za Afrika, tukio la Braintrust linafaa kuzingatiwa kwa sababu timu nyingi zinajenga kwa kasi juu ya miundombinu ya kimataifa.
Kampuni ya kuanza ya AI ya Lagos au Nairobi inaweza kutumia mtoa huduma wa miundo wa Marekani, zana ya uchanganuzi ya Ulaya, akaunti ya wingu katika eneo jingine, vifurushi huria, wakandarasi wa nje, na huduma nyingi za bila msimbo au zenye msimbo mdogo. Hilo ni jambo la kawaida. Lakini kila tabaka linaongeza utegemezi.
Hatari ni kwamba timu za awali husonga kwa kasi bila kuchora ramani ya mnyororo wao wa uaminifu.
Nani ana ufikiaji wa siri za uzalishaji? Ni wauzaji gani wanaohifadhi funguo? Je, funguo za API zimefungamanishwa na watengenezaji binafsi au akaunti za huduma? Ni nini kinatokea mtengenezaji anapoondoka? Je, timu inaweza kuzungusha vitambulisho haraka? Je, siri za wateja zimechanganywa na funguo za ndani? Je, kumbukumbu zinahifadhi maelekezo au tokeni nyeti?
Maswali haya yanakuwa muhimu zaidi bidhaa za AI zinapohama kutoka maonyesho hadi biashara halisi.
Katika fintech, healthtech, edtech, legaltech, HR tech, na AI ya biashara, wateja hawatauliza tu kama bidhaa inafanya kazi. Watauliza kama kampuni inaweza kuaminiwa na data zao, michakato yao, na vitambulisho vyao.
Usalama unakuwa sehemu ya uaminifu wa bidhaa.
Orodha ya ukaguzi ya vitendo kwa timu
Kabla ya kampuni ya kuanza ya AI kuhifadhi au kushiriki funguo za API kwenye rundo lake la mifumo, timu inapaswa kuweza kujibu maswali machache ya msingi.
Ni nani anayemiliki usimamizi wa siri ndani ya kampuni?
Funguo za API zimehifadhiwa wapi?
Ni funguo zipi zinatumika?
Ni funguo zipi zimepewa ruhusa kupita kiasi?
Ni zana au wauzaji gani wana ufikiaji wa siri za wateja?
Je, funguo zinaweza kuzungushwa bila kuvunja uzalishaji?
Je, kumbukumbu zinahifadhi kwa bahati mbaya tokeni, maelekezo, data za wateja, au vitambulisho?
Je, kuna mpango wa tukio ikiwa mtoa huduma ataathiriwa?
Je, wateja wanaambiwa wazi ni siri zipi zimehifadhiwa na kwa nini?
Haya si maswali ya biashara kubwa pekee. Yanahusika hata katika hatua ya mwanzo ya ufadhili wa awali. Kadiri timu inavyojenga tabia safi mapema, ndivyo ilivyo rahisi kuzikuza.
Ukweli mgumu zaidi kuhusu miundombinu ya AI
Bidhaa za AI zinaweza kuonekana kuwa rahisi kupita kiasi kutoka nje. Mtumiaji huingiza maelekezo. Muundo hurejesha jibu. Dashibodi huonyesha alama ya tathmini. Mchakato hukamilika.
Nyuma ya uzoefu huo rahisi kuna mnyororo wa mifumo.
API za miundo. Akaunti za wingu. Siri. Kumbukumbu. Zana za ufuatiliaji. Tabaka za tathmini. Hifadhi za maelekezo. Hifadhidata za vekta. Watoa huduma wa uthibitishaji. Paneli za ndani za usimamizi. Wakaguzi wa kibinadamu. Data za wateja.
Kila sehemu inaweza kushindwa. Kila sehemu inaweza kuvuja. Kila sehemu inaweza kuwa njia ya kuingia kwenye mfumo uliobaki.
Ndiyo sababu nidhamu ya funguo za API ina umuhimu. Sio tu kuhusu kuepuka kichwa cha habari kibaya. Ni kuhusu kujenga bidhaa zinazoweza kustahimili kukutana na wateja halisi, washambuliaji halisi, na shinikizo halisi la uendeshaji.
Nini cha kufuatilia baadaye
Braintrust inasema sababu ya tukio bado inachunguzwa. Uchunguzi huo utakuwa muhimu, hasa kwa wateja wanaojaribu kuelewa upeo wa mfichuo na kama tatizo lilitokana na udhibiti wa ufikiaji, usanidi wa wingu, ushughulikiaji wa vitambulisho, kuathirika kwa mfanyakazi, utegemezi wa mtoa huduma, au njia nyingine.
Kwa wajenzi, hitimisho la haraka tayari liko wazi.
Ikiwa bidhaa yako inategemea zana za AI za wahusika wengine, mtindo wako wa usalama lazima uzijumuishe zana hizo. Ikiwa jukwaa lako linahifadhi siri za wateja, wewe ni sehemu ya eneo la hatari la mteja wako. Ikiwa timu yako haiwezi kuzungusha funguo haraka, haiko tayari kwa tukio zito.
Rundo la AI linazidi kuwa na nguvu. Pia linazidi kuunganishwa.
Hilo hufanya uaminifu kuwa tatizo la kiufundi, si ahadi ya chapa tu.
