क्वांटम-युग के जोखिम AI मॉडल के स्रोत और प्रमाणीकरण पर फिर से सोचने पर मजबूर करते

रिसर्चर रॉबर्ट कैंपबेल ने एक नई स्टडी में बताया है कि आर्टिफिशियल इंटेलिजेंस (AI) सिस्टम पर भरोसा करना मुश्किल होता जा रहा है, क्योंकि कंपनियां और पब्लिक एजेंसियां ​​प्री-ट्रेंड मॉडल, थर्ड-पार्टी डेटासेट, ओपन-सोर्स सॉफ्टवेयर, ऑटोमेटेड ट्रेनिंग सिस्टम और एक्सटर्नल डिप्लॉयमेंट पाइपलाइन पर निर्भर हैं। स्टडी में AI सिक्योरिटी को मॉडल-परफॉर्मेंस चैलेंज के साथ-साथ सप्लाई चेन प्रॉब्लम भी बताया गया है।

यह स्टडी, जिसका टाइटल "AI सप्लाई चेन सिक्योरिटी: MBOM-PQC प्रोवेंस, PQC अटेस्टेशन, और क्वांटम-रेसिस्टेंट एश्योरेंस के लिए एक मैच्योरिटी मॉडल" है, सिस्टम्स में पब्लिश हुई थी। इसमें कहा गया है कि आज के AI गवर्नेंस फ्रेमवर्क सप्लाई चेन रिस्क को पहचानते हैं, लेकिन मॉडल लाइनेज, डेटासेट इंटीग्रिटी या लॉन्ग-टर्म क्रिप्टोग्राफिक ट्रस्ट को वेरिफाई करने के लिए पूरा स्ट्रक्चर नहीं देते हैं, क्योंकि पोस्ट-क्वांटम क्रिप्टोग्राफी डिजिटल सिक्योरिटी को नया आकार दे रही है।

AI की सप्लाई चेन प्रॉब्लम मॉडल चोरी से भी बड़ी है।

मॉडर्न AI सिस्टम फाउंडेशन मॉडल, फाइन-ट्यूनिंग डेटासेट, पब्लिक कोड लाइब्रेरी, क्लाउड ट्रेनिंग एनवायरनमेंट, बिल्ड टूल्स और डिप्लॉयमेंट इंफ्रास्ट्रक्चर से असेंबल किए जाते हैं। फाइनल AI सिस्टम के यूज़र्स तक पहुंचने से पहले हर लेयर एक अटैक पॉइंट बन सकती है।

लेखक ट्रेनिंग-टाइम कॉम्प्रोमाइज़ को सबसे नुकसानदायक जोखिमों में से एक मानते हैं। पॉइज़न किए गए डेटासेट शुरुआती स्टेज में मॉडल के व्यवहार को बदल सकते हैं। छेड़छाड़ किए गए मॉडल वेट दोबारा इस्तेमाल करने से आगे बढ़ सकते हैं। खराब लाइब्रेरी ट्रेनिंग लॉजिक को बदल सकती हैं या सेंसिटिव डेटा को दिखा सकती हैं। मैनिपुलेटेड प्रोवेंस रिकॉर्ड एक कॉम्प्रोमाइज़्ड मॉडल को असली दिखा सकते हैं। यह खतरा वर्कफ़्लो के एक हिस्से तक ही सीमित नहीं है। यह प्री-ट्रेनिंग और फ़ाइन-ट्यूनिंग से लेकर पैकेजिंग, डिप्लॉयमेंट और लगातार लर्निंग तक फैला हुआ है, जहाँ रिलीज़ के बाद मॉडल बदलते रहते हैं।

स्टडी में बताया गया है कि पारंपरिक सॉफ़्टवेयर की तुलना में AI आर्टिफ़ैक्ट्स की जाँच करना ज़्यादा मुश्किल होता है। सोर्स कोड को अक्सर लाइन-बाय-लाइन रिव्यू किया जा सकता है, लेकिन मॉडल वेट, ट्रेनिंग डेटासेट और हाइपरपैरामीटर सेटिंग्स ज़्यादा ओपेक होती हैं। यह क्रिप्टोग्राफ़िक वेरिफ़िकेशन और डिटेल्ड प्रोवेंस रिकॉर्ड को AI एश्योरेंस के लिए ज़रूरी बनाता है। उनके बिना, ऑर्गनाइज़ेशन को यह पता नहीं चल सकता कि कोई मॉडल किसी भरोसेमंद सोर्स से आया है, उसका ट्रेनिंग डेटा बदला गया था या नहीं, या इस्तेमाल से पहले उसका डिप्लॉयमेंट पैकेज बदला गया था या नहीं।

मौजूदा फ्रेमवर्क, जिसमें NIST AI रिस्क मैनेजमेंट फ्रेमवर्क और सिक्योर सॉफ्टवेयर डेवलपमेंट गाइडेंस शामिल हैं, को इस समस्या के लिए उपयोगी लेकिन अधूरा बताया गया है। वे गवर्नेंस, अकाउंटेबिलिटी और सॉफ्टवेयर सप्लाई चेन डिसिप्लिन को सपोर्ट करते हैं, लेकिन वे मॉडल लाइनेज के लिए एक स्टैंडर्ड AI-स्पेसिफिक रिकॉर्ड नहीं बनाते हैं या AI आर्टिफैक्ट्स के लिए पोस्ट-क्वांटम-सेफ साइनिंग ज़रूरतों को डिफाइन नहीं करते हैं। यह गैप और भी गंभीर हो जाता है क्योंकि डिफेंस, हेल्थकेयर, ट्रांसपोर्टेशन और क्रिटिकल इंफ्रास्ट्रक्चर में इस्तेमाल होने वाले कई AI सिस्टम सालों तक चल सकते हैं।

लेखक AI सिग्नेचर के लिए हार्वेस्ट-नाउ, फोर्ज-लेटर का आइडिया पेश करते हैं। यह कॉन्सेप्ट उस बेहतर-ज्ञात रिस्क को बढ़ाता है कि आज इकट्ठा की गई एन्क्रिप्टेड जानकारी को बाद में क्वांटम-कैपेबल अटैकर्स द्वारा डिक्रिप्ट किया जा सकता है। AI के संदर्भ में, चिंता यह है कि विरोधी आज क्लासिकली साइन किए गए मॉडल आर्टिफैक्ट इकट्ठा कर सकते हैं और बाद में सिग्नेचर फोर्ज कर सकते हैं, जिससे क्वांटम कैपेबिलिटीज़ मैच्योर होने के बाद मॉडल, डेटासेट या पाइपलाइन रिकॉर्ड में भरोसा कम हो जाएगा।

MBOM-PQC का मकसद मॉडल लाइनेज को वेरिफ़ाई करने लायक बनाना है।

मुख्य प्रपोज़ल एक मॉडल बिल ऑफ़ मटेरियल्स है जिसमें पोस्ट-क्वांटम-सेफ़ एक्सटेंशन हैं, जिसे MBOM-PQC कहा जाता है। इसे AI-स्पेसिफिक प्रोवेंस स्ट्रक्चर के तौर पर डिज़ाइन किया गया है जो रिकॉर्ड करता है कि मॉडल क्या है, यह कहाँ से आया है, किस डेटा और डिपेंडेंसी ने इसे बनाया है, इसे कैसे ट्रेन किया गया, इसे कैसे पैकेज किया गया और इसकी इंटीग्रिटी को कैसे वेरिफ़ाई किया गया।

स्कीमा में सात मुख्य कंपोनेंट हैं। यह मॉडल मेटाडेटा, प्री-ट्रेनिंग डेटासेट लाइनेज, प्री-ट्रेन्ड मॉडल डिपेंडेंसी, फ़ाइन-ट्यूनिंग आर्टिफ़ैक्ट, ट्रेनिंग एनवायरनमेंट और पाइपलाइन डिटेल्स, डिप्लॉयमेंट पैकेजिंग और क्रिप्टोग्राफ़िक इंटीग्रिटी फ़ील्ड रिकॉर्ड करता है। इस स्ट्रक्चर का मकसद AI एश्योरेंस को भरोसे के आम दावों से आगे ले जाकर मशीन-रीडेबल रिकॉर्ड की ओर ले जाना है जिन्हें पूरे मॉडल लाइफ़साइकल में चेक किया जा सके।

डेटासेट लाइनेज को बेसिक माना जाता है क्योंकि कॉम्प्रोमाइज़्ड डेटा बाद के सभी मॉडल बिहेवियर को शेप दे सकता है। फ्रेमवर्क डेटासेट आइडेंटिफ़ायर, वर्शन, सोर्स, लाइसेंसिंग जानकारी, इंटीग्रिटी चेक और सिग्नेचर की मांग करता है। प्री-ट्रेंड मॉडल डिपेंडेंसी के लिए, यह अपस्ट्रीम मॉडल आइडेंटिफायर, सोर्स रिपॉजिटरी, सिक्योरिटी इश्यू और जहां उपलब्ध हो, वहां साइन्ड प्रोवेंस रिकॉर्ड करेगा। फाइन-ट्यूनिंग रिकॉर्ड में डोमेन-स्पेसिफिक डेटा, स्क्रिप्ट, सेटिंग्स और कॉन्फ़िगरेशन फ़ाइलें शामिल होंगी, जिससे एक बड़ा गैप खत्म हो जाएगा जहां ऑर्गनाइज़ेशन अक्सर बिना ड्यूरेबल इंटीग्रिटी ट्रेल के मॉडल बदलते हैं।

क्रिप्टोग्राफिक कंपोनेंट बहुत ज़रूरी है। पेपर में ऑपरेशनल AI आर्टिफैक्ट के लिए FIPS 204, जिसे ML-DSA भी कहते हैं, और लॉन्ग-टर्म नॉन-नेशनल-सिक्योरिटी आर्काइवल रिकॉर्ड के लिए FIPS 205, जिसे SLH-DSA भी कहते हैं, इस्तेमाल करने का प्रस्ताव है। क्लासिकल क्रिप्टोग्राफी से ट्रांज़िशन के दौरान, फ्रेमवर्क हाइब्रिड सिग्नेचर बंडल को सपोर्ट करता है, क्लासिकल सिग्नेचर को पोस्ट-क्वांटम सिग्नेचर के साथ पेयर करता है ताकि लेगेसी सिस्टम अभी भी आर्टिफैक्ट को वेरिफाई कर सकें जबकि ऑर्गनाइज़ेशन क्वांटम-रेसिस्टेंट एश्योरेंस बनाते हैं।

स्टडी में पांच-स्टेज वाली साइनिंग और अटेस्टेशन पाइपलाइन का भी प्रस्ताव है। AI आर्टिफैक्ट पहले इंजेक्शन के ज़रिए आते हैं, जहां मॉडल, डेटासेट और डिपेंडेंसी को कैटलॉग और चेक किया जाता है। फिर वेरिफिकेशन मौजूदा सिग्नेचर और प्रोवेंस को वैलिडेट करता है। साइनिंग, आर्टिफैक्ट की लाइफटाइम और सेंसिटिविटी के आधार पर सही क्रिप्टोग्राफ़िक मोड लागू करता है। अटेस्टेशन, साइन किए गए आर्टिफैक्ट को उस हार्डवेयर और सॉफ़्टवेयर एनवायरनमेंट से जोड़ता है जिसने उसे प्रोसेस किया था। फिर डिप्लॉयमेंट, मॉडल को इस्तेमाल करने की इजाज़त देने से पहले रिकॉर्ड की जाँच करता है।

कंटीन्यूअस-लर्निंग सिस्टम के लिए, जहाँ डिप्लॉयमेंट के बाद मॉडल अपडेट होते हैं, पेपर में तीन ऑपरेटिंग मोड जोड़े गए हैं। फुल री-साइनिंग, बड़े या सिक्योरिटी-सेंसिटिव अपडेट पर पूरी प्रोसेस लागू करता है। डेल्टा-साइनिंग, पहले के भरोसेमंद चेकपॉइंट से बदलाव को साइन करता है। बैच्ड चेकपॉइंटिंग, तय समय पर कुल स्टेट्स को साइन करता है, जब अपडेट बहुत ज़्यादा बार होते हैं और हर बदलाव को अलग से साइन नहीं किया जा सकता। यह तरीका हर ज़रूरी मॉडल अपडेट को एक नए सप्लाई चेन इवेंट के तौर पर मानता है, न कि एक रूटीन इंटरनल एडजस्टमेंट के तौर पर।