>> अॅड. पवन दुग्गल
अँथ्रोपिकने नुकतेच ‘क्लॉड माइथोस प्रिह्यू’ नावाचे एक एआय मॉडेल प्रसिद्ध केले आहे. हे मॉडेल स्वयंचलितपणे सिस्टममधील उणिवा शोधते, विविध सुरक्षा यंत्रणांमध्ये घुसखोरी करते आणि स्वतच्या अस्तित्वाच्या खुणाही मिटवून टाकते. ‘एआय’च्या धोक्यांचे मोजमाप करण्यासाठी बनवलेले सर्व निकष या मॉडेलने मोडीत काढले आहेत.
अँथ्रोपिकने नुकतेच ‘क्लॉड माइथोस प्रिह्यू’ नावाचे एक एआय मॉडेल प्रसिद्ध केले आहे. वास्तविक, खुद्द त्या कंपनीच्या अभियंत्यांनीच या मॉडेलला अत्यंत धोकादायक ठरवले होते. त्यामुळेच, याची उपलब्धता केवळ मर्यादित आणि पडताळणी केलेल्या भागीदारांपुरतीच ठेवली होती. परंतु ज्या दिवशी याची घोषणा झाली, त्याच दिवशी अनधिकृत वापरकर्त्यांनी त्यात शिरकाव केला. हे मॉडेल स्वयंचलितपणे सिस्टिममधील उणिवा शोधते, विविध सुरक्षा यंत्रणांमध्ये घुसखोरी करते आणि स्वतच्या अस्तित्वाच्या खुणाही मिटवून टाकते. एआयच्या धोक्यांचे मोजमाप करण्यासाठी बनवलेले सर्व निकष या मॉडेलने मोडीत काढले आहेत.
विशेष म्हणजे, जगातील कोणत्याही देशाच्या कायद्यात यावर सध्या कोणताही ठोस उपाय उपलब्ध नाही. या प्रकरणी कोणावरही आरोप ठेवण्यात आलेले नाहीत किंवा कोणत्याही नियामक संस्थेने यात हस्तक्षेप केलेला नाही. या माहितीफुटीमुळे भविष्यात होणाऱया सायबर हल्ल्यांच्या कोणत्याही पीडित व्यक्तीकडे आज कोणताही स्पष्ट कायदेशीर मार्ग उरलेला नाही.
यातील पहिली त्रुटी म्हणजे स्वायत्त एआयमुळे होणाऱया नुकसानीसाठी कठोर जबाबदारीचा अभाव असणे. सध्याच्या नागरी जबाबदारीच्या चौकटीत, पीडित व्यक्तीला हे सिद्ध करावे लागते की एखाद्या विशिष्ट प्रतिवादीने हलगर्जीपणा केल्यामुळे नुकसान झाले आहे. मात्र, जेव्हा ‘माइथोस’ स्वतच हल्ल्यांची साखळी रचते, लक्ष्य निवडते आणि ओळख लपवून हल्ला करते, तेव्हा या प्रक्रियेतील मानवी निर्णयाचा संबंध तुटतो. विकासकाने त्या विशिष्ट हल्ल्याची परवानगी दिलेली नसते आणि तो राबविणाऱ्याने तसे निर्देश दिलेले नसतात. येथे नुकसान तर प्रत्यक्ष झाले आहे, पण कायदेशीर उपाय मात्र उपलब्ध नाही. म्हणूनच, आता स्वायत्त आक्रमक एआय विकसित करणाऱ्यांसाठी कठोर उत्तरदायित्व निश्चित करणे आवश्यक आहे. यासाठी केवळ मार्गदर्शक तत्त्वे पुरेशी नसून, न्यायालयांना अंमलात आणता येईल अशी स्पष्ट वैधानिक भाषा हवी.
दुसरी त्रुटी म्हणजे पुरेशा नियंत्रणासाठी कोणत्याही कायदेशीर मानकांचा अभाव असणे. अँथ्रोपिकने नियंत्रणाचे प्रयत्न केले, पण अंतर्गत प्रवेशाच्या माध्यमातून ते काही तासांतच निष्फळ ठरले. धोकादायक एआय मॉडेल्ससाठी ‘पुरेसे नियंत्रण’ कशाला म्हणावे, हे ठरवणारा कोणताही कायदा अस्तित्वात नाही. अँथ्रोपिकच्या सुरक्षा उपायांचे मूल्यमापन करण्यासाठी कोणतेही निकष नाहीत किंवा त्यांच्या प्रसिद्धीपूर्वी त्यांना प्रमाणित करणारी कोणतीही यंत्रणा नाही. तसेच, जोपर्यंत प्रत्यक्ष नुकसान सिद्ध होत नाही, तोपर्यंत नियंत्रण अपयशी ठरल्याबद्दल कोणतीही दंडात्मक तरतूद नाही. आता ठराविक क्षमता ओलांडलेल्या एआय सिस्टिमसाठी ‘कंटेनमेंट सर्टिफिकेशन’ (सुरक्षा प्रमाणपत्र) अनिवार्य करणे गरजेचे आहे. हे प्रमाणपत्र विकासकाच्या स्वतच्या दाव्यावर नव्हे, तर स्वतंत्र तांत्रिक तपासणीवर आधारित असावे.
तिसरी मोठी त्रुटी म्हणजे आंतरराष्ट्रीय स्तरावरील अंमलबजावणी यंत्रणेचा अभाव. माइथोस मॉडेलची माहिती फुटताच विविध देशांतील अनधिकृत वापरकर्ते सक्रिय झाले. आता ही क्षमता अनियंत्रितपणे जगभरात पसरली आहे. येथे युरोपियन युनियनचा एआय कायदा किंवा अमेरिकेची स्थानिक यंत्रणा प्रभावी ठरू शकत नाही. भारताकडेही यावर कोणताही योग्य कायदा नाही. विकसनशील देशांची स्थिती तर अधिकच गंभीर आहे. यासाठी आता एका जागतिक व्यवस्थेची गरज आहे, ज्यात तीन मुख्य घटक असतील. पहिले म्हणजे माहिती देणे बंधनकारक असणे; म्हणजेच नियंत्रण अपयशी ठरल्यास 24 तासांच्या आत एका आंतरराष्ट्रीय संस्थेला पूर्ण तांत्रिक माहितीसह कळवणे. दुसरे म्हणजे समन्वित प्रतिसाद यंत्रणा, जी सदस्य देशांमधील महत्त्वाच्या पायाभूत सुविधा संचालकांशी तत्काळ माहिती सामायिक करेल. आणि तिसरे म्हणजे सीमापार उत्तरदायित्व; म्हणजेच एका देशातील विकासक इतर देशांत झालेल्या नुकसानीसाठीही जबाबदार धरला जावा. यामुळे नियम शिथिल असलेल्या देशांतून धोकादायक तंत्रज्ञान चालवण्याच्या प्रवृत्तीला आळा बसेल.
एआय-सक्षम सायबर हल्ल्यांचा सर्वाधिक धोका सॅन फ्रान्सिस्को किंवा ब्रसेल्सला नसून, जुन्या यंत्रणा आणि मर्यादित संसाधने असलेल्या क्षेत्रांना आहे. भारताच्या निमशहरांमधील पाणीपुरवठा प्रकल्प, आफ्रिकेतील वीज ग्रीड्स किंवा आग्नेय आशियातील बँकिंग प्रणाली ही या हल्ल्यांची सोपी लक्ष्ये आहेत, कारण तेथे कायदेशीर आणि तांत्रिक सुरक्षा दोन्ही कमकुवत आहेत.
निष्कर्ष असा की, माइथोसने या कायदेशीर त्रुटी निर्माण केल्या नसून, त्या केवळ जगासमोर उघड केल्या आहेत. सैद्धांतिक जोखीम आणि वास्तविक धोका यातील अंतर या मॉडेलने काही तासांत संपवून टाकले आहे. आपण अनेक दशकांपासून आराखडे, करार आणि तत्त्वांवर चर्चा करत आहोत, पण ते आता पुरेसे नाहीत. त्यातून अद्याप कोणतेही बंधनकारक उत्तरदायित्व किंवा अंमलात येण्यायोग्य कायदेशीर चौकट निर्माण झालेली नाही. आता स्पष्ट भाषा, बंधनकारक शक्ती आणि सार्वत्रिक अंमलबजावणी या तीन सूत्रांची गरज आहे. कायदेशीर समुदायाला आता हे ठरवावे लागेल की, त्यांना हे नियम प्रत्यक्षात आणायचे आहेत की केवळ या समस्येवर आणखी एक निबंध तयार करायचा आहे.
(लेखक आंतरराष्ट्रीय सायबर सुरक्षा तज्ञ आहेत)
Comments are closed.