सार्वजनिक कोड पर तेज़ नीतिगत पलटाव

NHS England अपने लिखे हुए सॉफ़्टवेयर को सार्वजनिक दृश्य से हटा रहा है और कर्मचारियों को बता रहा है कि source code repositories डिफ़ॉल्ट रूप से निजी होनी चाहिए, जैसा कि उपलब्ध source text में वर्णित मार्गदर्शन में कहा गया है। यह कदम उस संस्था के लिए एक तेज़ बदलाव है जिसका सॉफ़्टवेयर पारंपरिक रूप से इस आधार पर सार्वजनिक रखा जाता था कि वह करदाताओं के पैसे से बना था और दूसरों द्वारा पुन: उपयोग किया जा सकता था।

यह बदलाव इस चिंता से प्रेरित है कि अधिक सक्षम artificial intelligence systems सार्वजनिक कोड को ingest कर सकती हैं, कमजोरियों का अनुमान लगा सकती हैं और हमलावरों को vulnerabilities पहचानने में मदद कर सकती हैं। नए मार्गदर्शन में कथित तौर पर 11 मई की समयसीमा तय की गई है, जिसके बाद उन repositories को निजी बनाना होगा जिनके सार्वजनिक रहने का स्पष्ट रूप से अनुमोदित कारण नहीं है।

AI ट्रिगर: Mythos

स्रोत पाठ के अनुसार NHS England ने इस नई स्थिति के कारण के रूप में Anthropic के एक AI सिस्टम Mythos का विशेष रूप से उल्लेख किया है। मार्गदर्शन का तर्क है कि सार्वजनिक repositories न केवल source code, बल्कि architectural decisions, configuration details, और contextual information के खुलासे का जोखिम बढ़ाती हैं, जिन्हें AI systems के बड़े पैमाने पर code analysis और reasoning में बेहतर होने के साथ exploit किया जा सकता है।

यह चिंता cybersecurity thinking में एक व्यापक बदलाव को दर्शाती है। वर्षों तक रक्षकों को exposed systems और code को खंगालने वाले human attackers की चिंता रही है। नई आशंका यह है कि AI उस काम के कुछ हिस्सों को स्वचालित कर सकती है, और software artifacts को इतनी बड़ी मात्रा में संसाधित कर सकती है कि exposure और exploitation के बीच का समय काफी कम हो जाए।

Oak trees use delaying tactics to thwart hungry caterpillars
More in Science

ओक के पेड़ कैटरपिलर हमलों के बाद वसंत में पत्तियां निकलने में देरी करते दिखाई दिए

बवेरिया में उपग्रह विश्लेषण से संकेत मिलता है कि जिन ओक पेड़ों में भारी संक्रमण था, वे अगले वसंत में कली फूटने को लगभग तीन दिन टाल देते हैं, जिससे भूखे कैटरपिलर जब निकलते हैं तो उन्हें भोजन की कमी का सामना करना पड़ सकता है।

Read article

आलोचकों को क्यों लगता है कि यह उलटा पड़ सकता है

उपलब्ध रिपोर्टिंग में उद्धृत security experts का तर्क है कि यह नीति अनावश्यक और प्रतिकूल है। एक कारण यह है कि open-source software लंबे समय से सुरक्षा के एक अलग सिद्धांत पर टिका रहा है: सार्वजनिक दृश्यता गुणवत्ता में सुधार कर सकती है क्योंकि अधिक लोग code की जाँच, परीक्षण और सुधार कर सकते हैं। repositories बंद करने से vulnerabilities पूरी तरह खत्म किए बिना पारदर्शिता कम हो सकती है।

स्रोत पाठ यह भी नोट करता है कि UK government-backed AI Security Institute ने Mythos की समीक्षा की और निष्कर्ष निकाला कि यह केवल “छोटे, कमज़ोर रूप से संरक्षित और कमजोर enterprise systems” पर हमला करने में सक्षम था, और किसी वास्तविक रूप से सुरक्षित system या network के व्यापक जोखिम में होने का कोई संकेत नहीं था। यदि यह आकलन सही है, तो NHS England की प्रतिक्रिया प्रदर्शित खतरे की तुलना में अनुपातहीन हो सकती है।

खुली सरकार बनाम रक्षात्मक गोपनीयता

यह विवाद दो नीतिगत प्रवृत्तियों के संगम पर है जो अब अधिक बार टकरा रही हैं। एक कहती है कि सार्वजनिक रूप से वित्तपोषित digital infrastructure को खुले तौर पर साझा किया जाना चाहिए ताकि दोहराव से बचा जा सके, सार्वजनिक सेवाएँ सुधरें, और अन्य लोग राज्य-वित्तपोषित कार्य पर निर्माण कर सकें। दूसरी कहती है कि जैसे-जैसे AI हमलावरों के लिए reconnaissance की लागत कम कर रही है, रक्षात्मक गोपनीयता अधिक मूल्यवान होती जा रही है।

NHS England का नया नियम, कम-से-कम अभी के लिए, स्पष्ट रूप से दूसरे दृष्टिकोण को प्राथमिकता देता है। लेकिन इसका समझौता महत्वपूर्ण है। एक बार code डिफ़ॉल्ट रूप से बंद हो जाए, तो सहयोग कठिन हो जाता है, बाहरी समीक्षा सीमित हो जाती है, और healthcare operations तथा data systems को आकार देने वाले software पर जनता की दृश्यता कम हो जाती है।

एक व्यापक बहस की झलक

NHS का निर्णय ब्रिटेन से बाहर भी महत्वपूर्ण है क्योंकि कई सार्वजनिक संस्थाएँ इसी तरह के सवाल पूछ रही हैं। क्या AI-युग के सुरक्षा खतरे open-source publication के पीछे की डिफ़ॉल्ट मान्यताओं को बदल दें? या openness से पीछे हटना अल्पकालिक नियंत्रण की भावना के लिए दीर्घकालिक लचीलापन त्यागना है?

इसका जवाब संभवतः सभी के लिए एक जैसा नहीं होगा। कुछ code bases वास्तव में संवेदनशील operational details उजागर कर सकती हैं जिन्हें सार्वजनिक नहीं होना चाहिए। दूसरी ओर, कुछ बाहरी scrutiny के बिना कम सुरक्षित हो सकती हैं। चुनौती यह है कि भय के बजाय साक्ष्य के आधार पर इन मामलों में अंतर किया जाए।

निर्णय क्या संकेत देता है

तत्काल संकेत यह है कि उन्नत AI models पहले से ही वास्तविक संस्थागत नीति को प्रभावित कर रही हैं, भले ही तकनीकी साक्ष्य पर विवाद बना हुआ हो। NHS England software handling के तरीके को बदलने से पहले किसी अंतिम consensus की प्रतीक्षा नहीं कर रहा। वह default-closed स्थिति की ओर पूर्व-नियोजित रूप से बढ़ रहा है।

क्या यह दृष्टिकोण सुरक्षा में सुधार करता है, यह अभी अनिश्चित है। लेकिन यह निश्चित है कि AI security बहस अब सिद्धांत से आगे बढ़ चुकी है। यह अब procurement rules, publication standards, और सार्वजनिक क्षेत्र के संगठनों के भीतर digital transparency की सीमाओं को पुनर्परिभाषित कर रही है।

यदि अधिक सरकारें NHS के रास्ते पर चलती हैं, तो AI के सबसे बड़े अप्रत्यक्ष प्रभावों में से एक एक शांत इंटरनेट हो सकता है: कम सार्वजनिक code, कम open repositories, और इस बात की नई परिभाषा कि सार्वजनिक digital infrastructure कैसा दिखना चाहिए।

यह लेख New Scientist की रिपोर्टिंग पर आधारित है। मूल लेख पढ़ें.

Originally published on newscientist.com