हाल ही में, वैश्विक एआई विकास पर नियामक पकड़ बनाने के प्रयास में (शायद) दुनिया का दौरा कर रहे हैं। इसमें कोई आश्चर्य नहीं कि OpenAI को ओपन-सोर्स्ड AI बिल्कुल भी पसंद नहीं है। फिर भी, यह पोस्ट एआई विकास के बारे में नहीं है, बल्कि इसकी सुरक्षा और मानकीकरण चुनौतियों के बारे में है। आम तौर पर, एक उन्नत माहौल, साथ ही रक्षकों की साइबर स्थिति जागरूकता और प्रतिक्रिया क्षमताएं (अब से 'सुरक्षा स्वचालन' क्षमताओं के रूप में संदर्भित) दोनों ही स्वचालन और एआई सिस्टम द्वारा अत्यधिक संचालित होते हैं। एक विचार प्राप्त करने के लिए, आज अपने जीमेल की जांच करने और उत्तर देने जैसा सरल कार्य करें, और एआई और स्वचालन की परतों की गणना करें जो उस सरल गतिविधि को सुरक्षित और व्यवस्थित कर सकती हैं। सैम ऑल्टमैन साइबर खतरे का इस प्रकार, ध्यान देने योग्य आकार और जटिलता वाले सभी संगठनों को अपनी साइबर सुरक्षा नीतियों को प्रभावित करने के लिए सुरक्षा स्वचालन प्रणालियों पर निर्भर रहना पड़ता है। जिस बात को अक्सर नजरअंदाज कर दिया जाता है वह यह है कि कुछ साइबर सुरक्षा " " भी मौजूद हैं जो इन सुरक्षा स्वचालन प्रणालियों के कार्यान्वयन को सक्षम बनाती हैं। इनमें स्वचालित खतरा डेटा विनिमय तंत्र, अंतर्निहित एट्रिब्यूशन कन्वेंशन और ज्ञान उत्पादन/प्रबंधन प्रणालियाँ शामिल हो सकती हैं। ये सभी विपणक और वकीलों द्वारा अक्सर "सक्रिय रक्षा" या "सक्रिय साइबर सुरक्षा" के रूप में संदर्भित पहचान और प्रतिक्रिया की स्थिति को सक्षम करते हैं। हालाँकि, यदि आप कोई राष्ट्रीय साइबर सुरक्षा नीति चुनते हैं, तो आपको इन मेटापोलिज़ पर कुछ भी खोजने में कठिनाई होगी - क्योंकि वे अक्सर अंतर्निहित होते हैं, बड़े पैमाने पर प्रभाव और नकल (यानी नेटवर्क प्रभाव) द्वारा राष्ट्रीय कार्यान्वयन में लाए जाते हैं और इतना नहीं औपचारिक या रणनीतिक विचार-विमर्श। मेटापोलिज़ ये सुरक्षा स्वचालन मेटापोलिज़ एआई शासन और सुरक्षा के लिए महत्वपूर्ण हैं क्योंकि अंत में, ये सभी एआई सिस्टम, चाहे पूरी तरह से डिजिटल हों या साइबर-भौतिक, व्यापक साइबर सुरक्षा और रणनीतिक मैट्रिक्स के भीतर मौजूद हैं। हमें यह पूछने की ज़रूरत है कि क्या प्रचलित स्वचालन मेटापॉलिसी को फिर से लगाना एआई के भविष्य के लिए अच्छा होगा या नहीं। पथ निर्भरता से बचना स्वचालित सूचना प्रणालियों में पथ निर्भरता की प्रवृत्ति को देखते हुए, अब तक जो ठीक काम कर रहा है वह बुद्धिमान/कनेक्टेड वाहन पारिस्थितिकी तंत्र जैसे सुरक्षा स्वचालन के नए और सहायक क्षेत्रों में और अधिक मजबूत हो रहा है। इसके अलावा, सॉफ्टवेयर-ऑन-व्हील्स की सुरक्षा में विकास को पूरी तरह से से लेकर विभिन्न प्रकार के जटिल ऑटोमोटिव सिस्टमों में आसानी से शामिल किया जा रहा है, जो चालक दल के आकार में कमी और स्वचालित प्रबंधन के मानकों के लिए बढ़ी हुई घातकता का वादा करते हैं और ड्रोन परिवहन प्रणाली। नतीजतन, वाहन एसओसी (सुरक्षा संचालन केंद्र) में वृद्धि हुई है जो साइबर सुरक्षा एसओसी की तर्ज पर काम करते हैं और सुरक्षा स्वचालन और सूचना वितरण के समान कार्यान्वयन को उधार लेते हुए समान डेटा विनिमय तंत्र का उपयोग करते हैं। यह बिल्कुल ठीक होगा यदि मौजूदा साधन उभरते खतरे के माहौल में आँख मूँद कर फिर से फिट होने के लिए पर्याप्त हों। लेकिन वे इससे कोसों दूर हैं. डिजिटलीकृत टैंकों बेड़े सुरक्षा उदाहरण के लिए, अधिकांश साइबर सुरक्षा खतरा डेटा एक्सचेंज ट्रैफिक लाइट प्रोटोकॉल का उपयोग करते हैं, हालांकि टीएलपी स्वयं केवल जानकारी का एक वर्गीकरण है - इसका निष्पादन, और इच्छित वितरण को प्रतिबंधित करने के लिए किसी भी एन्क्रिप्शन व्यवस्था को सुरक्षा स्वचालन के डिजाइनरों पर छोड़ दिया जाता है। सिस्टम. इस प्रकार पूर्ण या आंशिक रूप से स्वचालित प्रणालियों के साथ डेटा साझा करने पर न केवल अधिक सूक्ष्म और समृद्ध नियंत्रण की आवश्यकता है, बल्कि इसके अनुपालन को सुनिश्चित करने की भी आवश्यकता है। टीएलपी जैसी अधिकांश ख़तरनाक संचार नीतियां कुख्यात तेलिन मैनुअल के समान हैं, इस तरह से ये लगभग विचारों की अभिव्यक्ति हैं जिन्हें साइबर सुरक्षा विक्रेता लागू करने पर विचार कर सकते हैं, या नहीं भी कर सकते हैं। यह तब और अधिक समस्याग्रस्त हो जाता है जब खतरे के डेटा मानकों से स्वचालित पहचान और प्रतिक्रिया को कवर करने की उम्मीद की जाती है (जैसा कि ऑटोमोटिव और औद्योगिक स्वचालन के मामले में है) - और किसी भी अनुपालन आवश्यकताओं की कमी के लिए एक उपयुक्त डेटा सुरक्षा और विनिमय नीति को एकीकृत किया जा सकता है या नहीं भी किया जा सकता है। इसलिए। (टीएलपी) असंगत मेटापोलिज़ियों का एक और उदाहरण, कई अन्य में से, भाषा निर्माण प्रणालियों और संवादात्मक एआई एजेंटों के हालिया उदय में पाया जा सकता है। बात यह है कि सभी संवादी एजेंट चैटजीपीटी-एस्क बड़े तंत्रिका नेटवर्क नहीं हैं। इनमें से अधिकांश दशकों से नियम-आधारित, कार्य-विशिष्ट भाषा निर्माण कार्यक्रमों के रूप में तैनात हैं। ऐसे कार्यक्रमों के बीच संवाद मॉडलिंग और संदर्भ के ग्राफ-आधारित प्रतिनिधित्व द्वारा एक "सामान्य संचालन चित्र" रखना (जैसा कि कई डोमेन/थिएटर में काम करने वाले संगठन को आवश्यकता हो सकती है) दुनिया के सामने एक सतत चुनौती थी कि "आपको केवल ध्यान देने की आवश्यकता है"। तो अब मूल रूप से हमारे पास मानव-मशीन इंटरफ़ेस में विरासत आईटी बुनियादी ढांचे और एक मल्टी-मोडल एआई स्वचालन प्रतिमान है जो इसे चुनौती देता है। "डिजिटल परिवर्तन" से गुजर रहे संगठनों को न केवल विरासत में मिले बचना होगा, बल्कि एआई-केंद्रित डिलीवरी मॉडल को कुशलतापूर्वक संचालित करने के लिए संसाधनों और संगठनात्मक पर भी विचार करना होगा। जाहिर है, कुछ संगठन (सरकारों सहित) तुरंत पूर्ण परिवर्तन नहीं चाहेंगे। उभरती और पुरानी स्वचालित प्रणालियों के बीच मानकीकृत डेटा और संदर्भ विनिमय की कमी के कारण, कई उपयोगकर्ता उस प्रतिमान के साथ जारी रहने की संभावना रखते हैं जिससे वे सबसे अधिक परिचित हैं, न कि वह जो सबसे क्रांतिकारी है। तकनीकी ऋणों से आवश्यकताओं वास्तव में आज साइबर सुरक्षा का अधिकांश हिस्सा इन समय पर डेटा एक्सचेंजों और स्वचालित ऑर्केस्ट्रेशन पर निर्भर करता है, और इस प्रकार ये अंतर्निहित सूचना मानक आधुनिक (उत्तर-औद्योगिक) समाजों और साइबर-भौतिक प्रणालियों के शासन के लिए बिल्कुल महत्वपूर्ण हो जाते हैं। फिर भी, हाइपर-कनेक्टेड और अंतरराष्ट्रीय खतरे वाले माहौल में एआई सुरक्षा को नियंत्रित करने के लिए आवश्यक ज्ञान उत्पादन रूपक नीतियों को तैयार करने या उनमें सामंजस्य स्थापित करने के बजाय - हम अस्तित्वगत मुक्ति और अंतहीन अलौकिक घाटियों के विनाशकारी जाल में फंसते दिख रहे हैं। जैसा कि कहा गया है, सुरक्षा डेटा उत्पादन में अनुपालन की कमी और अराजक मानक विकास परिदृश्य का एक प्राथमिक कारण प्राथमिक प्रशासन एजेंट की कमी है। (साइबर) सुरक्षा सूचना का शासन वर्तमान स्वचालन-केंद्रित साइबर खतरा सूचना-साझाकरण आम तौर पर एक बहुहितधारक शासन मॉडल का पालन करते हैं। इसका मतलब है कि ये मूल रूप से नीचे से ऊपर जीवन-चक्र दृष्टिकोण का पालन करते हैं, यानी एक साइबर सुरक्षा सूचना मानक विकसित किया जाता है और फिर आईटीयू और आईएसओ के साथ क्रॉस-मानकीकरण के लिए इसे "ऊपर की ओर" धकेला जाता है। तकनीकी मानकों की यह ऊर्ध्वगामी गतिशीलता आसान नहीं है। स्ट्रक्चर्ड थ्रेट इंफॉर्मेशन एक्सप्रेशन (STIX), जो शायद अब मशीन-पठनीय साइबर थ्रेट इंटेलिजेंस (CTI) प्रसारित करने के लिए वास्तविक उद्योग मानक है, अभी भी ITU से अनुमोदन की प्रतीक्षा कर रहा है। ऐसा नहीं है कि इसकी वास्तव में आवश्यकता है, क्योंकि जिस तरह से प्रौद्योगिकी में वैश्विक शासन की संरचना की गई है, उसका नेतृत्व उद्योग द्वारा किया जाता है, न कि राष्ट्रों द्वारा। जी7 इसे की हद तक चला गया है, और कुछ सदस्य किसी भी अलग मानदंड के लिए किसी भी राजनयिक प्रयास को भी । मानक औपचारिक रूप देने रोक रहे हैं यह उन राष्ट्र-राज्यों के लिए अच्छा काम करता है जिनके पास सार्वजनिक-निजी प्रौद्योगिकी भागीदारी के भीतर अपेक्षित संरचनात्मक और उत्पादक हैं। परिणामस्वरूप, साइबर प्रौद्योगिकी मानकों का वैश्विक प्रशासन वैश्विक व्यवस्था का प्रतिबिंब बन जाता है। साइबर खतरे वाले अभिनेताओं का नाम बताए बिना, यह अभी भी स्वभाव से अपेक्षाकृत उद्देश्यपूर्ण रहा है। लेकिन आक्रामक साइबर संचालन और राष्ट्रीय साइबर सुरक्षा नीतियों में ऑनलाइन दुष्प्रचार के एकीकरण के साथ यह अब सच नहीं है - न केवल पारंपरिक सूचना मानक अर्थ संबंधी में चल सकते हैं, सूचना पर्यावरण पर नए मूल्य-संचालित मानक भी हैं। चूंकि स्वचालन-संचालित सामाजिक/राजनीतिक खतरे संकेतकों का उत्पादन और साझाकरण राजनीतिक प्राथमिकताओं को आकार दे सकता है और उन्हें प्रभावित कर सकता है, जैसे-जैसे एआई उत्पन्न जानकारी और सामाजिक बॉटनेट के खतरे बढ़ते हैं, साइबर सुरक्षा खतरे की जानकारी के मानक भी पर्याप्त उद्देश्य से अधिक व्यक्तिपरक की ओर खिसक जाते हैं। आसन। और राज्य इस वर्तमान प्रणाली को पुन: कॉन्फ़िगर करने के लिए बहुत कम कर सकते हैं क्योंकि साइबर सुरक्षा मानकों की राजनीति उनके बाजार के नेतृत्व वाले बहुहितधारक विकास के साथ गहराई से जुड़ी हुई है। क्षमताएं संघर्षों सामने आ रहे साइबर ख़तरे का आरोप एक अच्छा मामला है। MITER एक DARPA ठेकेदार के रूप में शुरू हुआ, और आज कंप्यूटर नेटवर्क खतरों और कमजोरियों के लिए एक उद्योग व्यापी वास्तविक ज्ञान आधार के रूप में कार्य करता है। MITER ATT&CK में सूचीबद्ध एडवांस्ड पर्सिस्टेंट थ्रेट समूहों में से, लगभग 1/3 साइबर खतरे चीनी हैं, अन्य 1/3 रूस/कोरिया/मध्य-पूर्व/भारत/दक्षिण-अमेरिका आदि से आते हैं, और शेष 1/3 ( जिसमें सबसे परिष्कृत टीटीपी, शून्य-दिवसीय शोषण का सबसे बड़ा हिस्सा और भू-राजनीतिक रूप से संरेखित लक्ष्य शामिल हैं) जिम्मेदार नहीं हैं। हम यहां अटकलें नहीं लगाएंगे, लेकिन अज्ञात के बारे में एक अपमानजनक तर्क पाठकों को वैश्विक सीटीआई उत्पादन की प्राथमिकताओं और राजनीति के बारे में कुछ विचार दे सकता है। खतरे के समूह जीवन का एक तथ्य यह है कि साइबरस्पेस में सत्ता चाहने वाले राज्य भूमिका निभाते रहे हैं एक ही समय में शासन करने वाले अभिनेता और परिष्कृत अपराधी, इसलिए इस बाजार के नेतृत्व वाले बहुहितधारकवाद ने उनके परिचालन तर्क के लिए अच्छा काम किया है - घोषणा की है। लेकिन यह साइबर खतरे के ज्ञान के उत्पादन और सुरक्षा स्वचालन के लिए बुरा है, जो कभी-कभी इंटरनेट पर काफी पक्षपाती और राजनीति से हो सकता है। समाज इस रास्ते पर इतने लंबे समय से चल रहा है कि तेजी से स्वायत्त प्रणालियों से घिरी दुनिया में जाने पर इसे एक समस्या के रूप में सोचा भी नहीं है। अंतरसंचालनीयता की वैश्विक राजनीति की प्रेरित आगे का रास्ता सामाजिक एआई जोखिम बड़े होने के साथ, आज एक रक्षात्मक साइबर सुरक्षा स्वचालन स्थिति को लागू करने का इरादा रखने वाले राज्यों को साइबर सुरक्षा खतरे की जानकारी, कई सीटीआई विक्रेताओं और मेटापोलिज़ के साथ-साथ उद्योग और अंतरराष्ट्रीय दबाव में उच्च सिग्नल-टू-शोर अनुपात को नेविगेट करना पड़ सकता है। "एआई नैतिकता" और "साइबर मानदंडों" के बारे में संगठन (हम यहां "किसकी नैतिकता?" की चर्चा में शामिल नहीं होंगे)। जैसा कि हमने देखा, यह अराजकता बॉटम-अप दृष्टिकोण के डिज़ाइन का परिणाम है। हालाँकि, ऊपर से नीचे के दृष्टिकोण में नीचे से ऊपर के दृष्टिकोण के लचीलेपन और चपलता की कमी हो सकती है। इस कारण से, सर्वोत्तम बहुहितधारकवाद को सर्वोत्तम बहुपक्षवाद के साथ एकीकृत करना आवश्यक है। इसका मतलब बहुपक्षीय दृष्टि और ढांचे के तहत सूचना मानकों की वर्तमान निचली-ऊपर व्यवस्था को तर्कसंगत बनाना होगा। हालाँकि हम डेटा उत्पादन के पक्षपातपूर्ण खतरों से बचना चाहते हैं, हम उद्योग विशेषज्ञता के असमान पूल का भी उपयोग करना चाहते हैं जिसके लिए समन्वय, समाधान और संचालन की आवश्यकता होती है। जबकि संयुक्त राष्ट्र के कुछ अंग, जैसे आईटीयू और यूएनडीआईआर, वैश्विक साइबर सुरक्षा मेटापोलिज़ में एक महत्वपूर्ण भूमिका निभाते हैं - उनके पास इंटरनेट पर दुर्भावनापूर्ण सामाजिक एआई को नियंत्रित करने या खतरे को साझा करने पर किसी भी मेटापोलिसी नियंत्रण को लागू करने के लिए आवश्यक टॉप-डाउन नियामक प्रभाव नहीं है। वितरित स्वायत्त मंच। इसलिए, बहुपक्षवाद के साथ बहुहितधारकवाद का यह एकीकरण यूएनएससी, या किसी अन्य समकक्ष अंतरराष्ट्रीय सुरक्षा संगठन से ही शुरू होने की जरूरत है। ऐसा नहीं है कि यह अप्रत्याशित था. जब 1998 में सूचना प्रौद्योगिकी, विशेष रूप से इंटरनेट का आकलन करते हुए पहला संयुक्त राष्ट्र प्रस्ताव बनाया गया था, तो कुछ देशों ने स्पष्ट रूप से था कि ये प्रौद्योगिकियां अंतरराष्ट्रीय सुरक्षा और स्थिरता के लिए प्रतिकूल होंगी, जो अंतरराष्ट्रीय सुरक्षा के उच्चतम स्तर पर आवश्यक सुधारों की ओर इशारा करती हैं। दरअसल, एक संस्था के रूप में यूएनएससी डिजिटल प्रौद्योगिकियों और इंटरनेट के बाद की सुरक्षा वास्तविकता के साथ अच्छी तरह से विकसित नहीं हुआ है। राज्य-संबद्ध एपीटी संचालन का अप्रतिबंधित प्रसार राज्य की अस्थिर गतिविधियों को विनियमित करने में इसकी विफलता का एक उदाहरण है। इसके अलावा, जबकि परिषद अभी भी रणनीतिक सुरक्षा के 1945 के दृष्टिकोण में फंसी हुई है, रणनीतिक रूप से तैनात आक्रामक साइबर और एआई क्षमताओं के प्रकाश में "राज्य हिंसा" के विचार को स्थानांतरित करने के लिए और सबूत हैं। बताया पर्याप्त कारण हालांकि वैश्विक व्यवस्था और इसकी जड़ें जमा चुकी नौकरशाही के लचीलेपन पर काबू पाना आसान नहीं है, लेकिन अगर इसके चार्टर और संरचना में सुधार किया जाए, तो परिषद (या इसका प्रतिस्थापन) एक मूल्यवान संस्था के रूप में काम कर सकती है, जो एक की कमी से उभरने वाले शून्य को भर सकती है। साइबरस्पेस में सुरक्षा स्वचालन और एआई अनुप्रयोगों को चलाने वाले सुरक्षा और शासन मानकों का मार्गदर्शन करने में प्राथमिक एजेंट। यह प्रक्रिया है इस बिंदु पर, यह आवश्यक है कि हम कुछ गलतफहमियों को दूर करें। ऐसा लगता है कि नियामकों के पास "एआई उत्पादों" को नियंत्रित करने के बारे में कुछ विचार हैं, कम से कम ईयू का एआई अधिनियम भी यही । यहां हमें "एआई" या "स्वायत्त व्यवहार" क्या है, इस पर विचार करने के लिए कुछ क्षण मौन रहना चाहिए - और यह जल्द ही हममें से अधिकांश को समझ में आ जाएगा कि उत्पादों को प्रमाणित करने के वर्तमान तरीके अंतर्निहित अनुकूली प्रणालियों को संबोधित करने के लिए पर्याप्त नहीं हो सकते हैं। वास्तविक दुनिया के साथ निरंतर सीखना और डेटा का आदान-प्रदान करना। हम जो कहना चाह रहे हैं वह यह है कि नियामकों को एआई को विनियमित करने के लिए उत्पाद-केंद्रित बनाम प्रक्रिया-केंद्रित दृष्टिकोण के पेशेवरों और विपक्षों पर गंभीरता से विचार करने की आवश्यकता है। सुझाव देता है एआई, अंततः, एक परिणाम है। यह अंतर्निहित प्रक्रियाएं और नीतियां हैं, डेटा इंजीनियरिंग प्रथाओं और मॉडल आर्किटेक्चर से लेकर मशीन-टू-मशीन सूचना आदान-प्रदान और अनुकूलन तंत्र तक, जहां शासन और मानकों पर ध्यान केंद्रित करने की आवश्यकता है, न कि परिणाम पर। इसके अलावा, जैसे-जैसे सॉफ़्टवेयर ऑब्जेक्ट-ओरिएंटेड से एजेंट-ओरिएंटेड इंजीनियरिंग प्रतिमान में बदलता है, नियामकों को कोड के संदर्भ में नीति और कोड के संदर्भ में नीति के बारे में सोचना शुरू करना होगा - कुछ भी अन्यथा हमेशा इरादे और कार्यान्वयन के बीच एक बड़ा अंतर छोड़ देगा। यदि आज के मल्टीस्टेकहोल्डर साइबर सिक्योरिटी गवर्नेंस की उपरोक्त अराजकता को देखा जाए, तो एआई सुरक्षा और गवर्नेंस के लिए हमें साक्ष्य-आधारित (डेटा पर विचार करें जिससे अंतिम सीटीआई हुई, और नए प्रकार के तकनीकी साक्ष्य के साथ जुड़ना) खतरा डेटा ऑर्केस्ट्रेशन, रनटाइम सत्यापन की आवश्यकता है साइबर रक्षा और सुरक्षा प्रणालियों में एआई-संचालित स्वचालन, साइबर खतरे की सूचना प्रशासन के लिए स्पष्ट गैर-पक्षपातपूर्ण चैनल और मानक और उस पर एक बहुपक्षीय सहमति। अकेले अंतिम एआई उत्पाद पर ध्यान केंद्रित करने से बहुत कुछ अनदेखा और संभावित रूप से पक्षपातपूर्ण हो सकता है - जैसा कि हम दुनिया भर में सुरक्षा स्वचालन प्रणालियों को संचालित करने वाली सूचना मेटापॉलिसी के पारिस्थितिकी तंत्र से देखते हैं - इसलिए हमें उन अंतर्निहित प्रक्रियाओं और नीतियों को बेहतर ढंग से नियंत्रित करने पर ध्यान केंद्रित करने की आवश्यकता है जो इन प्रणालियों को संचालित करती हैं, न कि उन प्रक्रियाओं और नीतियों के परिणाम। यहाँ भी प्रकाशित किया गया।
