AI-তৈরি web apps চোখের সামনেই sensitive data ফাঁস করছে

এই app-গুলো কীভাবে খুঁজে পাওয়া গেল

RedAccess জানিয়েছে, অনুসন্ধান প্রক্রিয়া আশ্চর্যজনকভাবে সহজ ছিল। প্রতিবেদনে নাম থাকা platforms user-দের নিজেদের নিয়ন্ত্রিত domain-এর বদলে কোম্পানিগুলোর নিজস্ব domain-এ app host করতে দেয়। তারপর গবেষকেরা সেই domain-গুলিকে লক্ষ্য করে সাধারণ Google ও Bing search, এবং আরও কিছু search term ব্যবহার করে বিপুল সংখ্যক AI-built app চিহ্নিত করেন।

এই তথ্য platform provider এবং অভ্যন্তরীণভাবে এই tools ব্যবহারকারী সংস্থাগুলোর জন্য উদ্বেগজনক হওয়া উচিত। এতে বোঝা যায় exposed app-গুলো ওয়েবের কোনো গোপন কোণে লুকিয়ে ছিল না। এগুলো সাধারণ search method দিয়েই খুঁজে পাওয়া যাচ্ছিল। একবার discoverable হয়ে গেলে, absent বা দুর্বল authentication data exposure-এর সরাসরি পথ হয়ে ওঠে।

এটি বড় organizational সমস্যা কেন হতে পারে

Zvi leak pattern-কে unusually strong ভাষায় বর্ণনা করে বলেছেন, vibe-coding application-এর মাধ্যমে সংস্থাগুলো private data উন্মুক্ত করছে, এবং এটি বিশ্বজুড়ে sensitive information যে কারও জন্য খুলে দেওয়ার সবচেয়ে বড় ঘটনাগুলোর একটি। security disclosure-এর সঙ্গে প্রায়ই যে rhetoric থাকে, তা বাদ দিলেও underlying patternটি গুরুত্বপূর্ণ।

কোম্পানির মধ্যে AI development tool ছড়িয়ে পড়ার ফলে software creation আর traditional engineering team-এর মধ্যে সীমাবদ্ধ নেই। Product manager, analyst, marketer, এবং operations staff এখন একটি prompt ও deploy button দিয়ে internal tool বা customer-facing prototype তৈরি করতে পারেন। এতে software কে লিখছে, তা বদলে যায়; কিন্তু software কী ফাঁস করতে পারে, তা বদলায় না।

যদি কোনো employee AI-built app-কে internal data-এর সঙ্গে যুক্ত করে default settings-এ publish করে, তাহলে কোনো malicious attacker perimeter breach না করেও একেবারে বড়সড় leak ঘটতে পারে। application-ই breach হয়ে যায়।

সমস্যার পেছনের সাংস্কৃতিক পরিবর্তন

এই কাহিনির এক অংশ technical, আরেক অংশ cultural। AI coding platform-গুলো immediacy-এর উপর বিক্রি হয়। সেগুলো প্রতিশ্রুতি দেয় যে software এমনভাবে তৈরি করা যাবে যেমন presentation বা document তৈরি করা হয়: দ্রুত, iterative, এবং খুব বেশি specialized training ছাড়াই। সেই প্রতিশ্রুতি শক্তিশালী, বিশেষ করে এমন সংস্থার মধ্যে যারা দ্রুত experimentation চায়।

কিন্তু software শুধু একটি creative artifact নয়। এটি একটি access surface-ও বটে। app তৈরি যত সহজ হবে, insecure app-ও তত সহজে ব্যাপকভাবে তৈরি হবে। সেই অর্থে, Wired-এর প্রতিবেদনটি একটি isolated vendor issue-এর চেয়ে নতুন ধরনের shadow IT নিয়ে প্রাথমিক সতর্কবার্তা হিসেবে পড়া যায়।

যখন hosting, deployment, এবং discoverability একই workflow-এ built-in থাকে, তখন সমস্যা আরও বেড়ে যায়। যদি কোনো user app generate করতে পারে, data connect করতে পারে, এবং কয়েক মিনিটের মধ্যে সেটিকে major platform domain-এ publish করতে পারে, তবে governance-কে upstream-এ যেতে হবে। Deployment-এর পরে security review অনেক দেরি হয়ে যেতে পারে।

এখন কী হওয়া উচিত

প্রতিবেদনটি named platformগুলোর সবকটির কাছ থেকে formal response দেয় না, তাই সবচেয়ে defensible takeaway কোনো একক কোম্পানির চেয়ে বড় হওয়া উচিত। AI app-building ecosystem-গুলোর authentication ও data exposure নিয়ে শক্তিশালী default দরকার। Users-কে কী public হয়ে যাচ্ছে, সে বিষয়ে পরিষ্কার warning দরকার। আর সংস্থাগুলোর prompt-based app builder-কে harmless productivity tool না ভেবে বাস্তব software development environment হিসেবে দেখা উচিত।

মূল শিক্ষা পরিষ্কার। app creation যখন instantaneous হয়ে যায়, তখন security optional বা assumed থাকতে পারে না। AI software tooling-এর আসল breakthrough কেবল code কত দ্রুত publish করতে পারে, তা দিয়ে মাপা হবে না। বরং সেটি মাপা হবে, কতটা দক্ষভাবে inexperienced builder-দের নিজেদের data তার মাধ্যমে publish করা থেকে আটকাতে পারে।

এই নিবন্ধটি Wired-এর প্রতিবেদনের ভিত্তিতে লেখা। মূল নিবন্ধ পড়ুন.