৪ দিন আগে
৩
সফটওয়্যার-অ্যাজ-এ-সার্ভিস প্ল্যাটফর্ম পকেটওএস-এর প্রতিষ্ঠাতা জের ক্রেন গত ২৫ এপ্রিল সামাজিক মাধ্যম এক্স-এ দেয়া একটি দীর্ঘ পোস্টে এই ঘটনাটির বিস্তারিত বর্ণনা দেন। পরে সেই খবর বিভিন্ন গণমাধ্যমে আসতে শুরু করে।
পকেটওএস এমন সফটওয়্যার তৈরি করে যা ভাড়া ব্যবসা, প্রধানত গাড়ি ভাড়া পরিচালনাকারীরা রিজার্ভেশন, পেমেন্ট, গ্রাহকের রেকর্ড এবং যানবাহন ট্র্যাকিং ব্যবস্থাপনার জন্য ব্যবহার করে।
জের ক্রেন লিখেছেন, ‘কিছু গ্রাহক পাঁচ বছর ধরে সাবস্ক্রাইবার হিসেবেও আছেন এবং আক্ষরিক অর্থেই আমাদের ছাড়া তারা তাদের ব্যবসা চালাতে পারেন না।’
পোস্টে তিনি লেখেন,
গতকাল বিকেলে, অ্যানথ্রোপিকের ফ্ল্যাগশিপ ক্লড ওপাস ৪.৬ চালিত কার্সর নামের একটি এআই কোডিং এজেন্ট, আমাদের অবকাঠামো সরবরাহকারী রেলওয়েকে পাঠানো একটিমাত্র এপিআই কলের মাধ্যমে আমাদের প্রোডাকশন ডেটাবেস এবং সমস্ত ভলিউম-লেভেল ব্যাকআপ মুছে দিয়েছে। এটি মাত্র ৯ সেকেন্ড সময় নিয়েছে।
ঘটনাটি গ্রাহকদের ওপরও প্রভাব ফেলে এবং গত শনিবার সকাল নাগাদ গাড়ি ভাড়া দেয়া সংস্থাগুলো এমন সব জায়গায় পৌঁছাচ্ছিল যেখানে কোনো বুকিংয়ের রেকর্ড ছিল না।
ঘটনাটির পর, দলগুলো স্ট্রাইপ পেমেন্ট লগ, গুগল ক্যালেন্ডারের এন্ট্রি এবং ইমেল কনফার্মেশন থেকে রিজার্ভেশনগুলো পুনরায় সাজানো শুরু করে।
আরও পড়ুন: যুদ্ধের রণকৌশলে এআই: পৃথিবীতে প্রায় চলে এসেছে সেই দানব!
ক্রেন উল্লেখ করেন, পকেটওএস তার দৈনন্দিন কার্যক্রমের জন্য কার্সর (Cursor) ব্যবহার করে, যা অ্যানথ্রোপিকের ক্লদ ওপাস ৪.৬ (Claude Opus 4.6)-এর মাধ্যমে চালিত একটি এআই কোডিং এডিটর। কোডিংয়ের কাজে এই মডেলটি ইন্ডাস্ট্রির সবচেয়ে সক্ষম মডেল হিসেবে ব্যাপকভাবে বিবেচিত।
এজেন্টটি একটি স্টেজিং এনভায়রনমেন্টে অবকাঠামোর নিয়মিত অপ্টিমাইজেশনের কাজ করার সময় ক্রেডেনশিয়াল অমিলের সম্মুখীন হয়।
ক্রেন বলেন, “ত্রুটি চিহ্নিত করা বা সাহায্য চাওয়ার পরিবর্তে, এআই-টি ‘সম্পূর্ণ নিজের উদ্যোগে’ একটি রেলওয়ে ভলিউম মুছে দিয়ে সমস্যাটি ‘সমাধান’ করার সিদ্ধান্ত নেয়।”
সেটা করার জন্য, এটি একটি এপিআই টোকেন খুঁজতে থাকে, কাজটি থেকে সম্পূর্ণ ভিন্ন একটি ফাইলে সেটি খুঁজে পায় এবং ব্যবহার করে। রেলওয়ে সিএলআই-এর মাধ্যমে কাস্টম ডোমেইন যোগ ও অপসারণ করার জন্য তৈরি করা সেই টোকেনটিতে ভলিউম ডিলিট করার অনুমতিসহ সম্পূর্ণ রুট অ্যাক্সেস ছিল।
এরপর ওই এআই এজেন্ট রেলওয়ের গ্রাফকিউএল এপিআই-তে একটিমাত্র ‘curl’ কমান্ড পাঠায়। কোনো নিশ্চিতকরণ ধাপ ছিল না। ‘নিশ্চিত করতে DELETE টাইপ করুন’ এমন কোনো কথা ছিল না। ‘এই ভলিউমে প্রোডাকশন ডেটা আছে, আপনি কি নিশ্চিত?’ এমন কোনো কথাও ছিল না। কোনো এনভায়রনমেন্ট স্কোপিংও করা হয়নি। ভলিউমটি উধাও হয়ে যায়। যেহেতু রেলওয়ে একই ভলিউমে স্ন্যাপশট সংরক্ষণ করে, তাই ব্যাকআপগুলোও এর সাথে মুছে যায়।
এরপর ক্রেনের প্রকৌশল দল যখন চ্যাট ইন্টারফেসে এজেন্টটিকে প্রশ্ন করে, তখন সেটি স্বীকারোক্তির পাশাপাশি তার লঙ্ঘিত সুনির্দিষ্ট নিরাপত্তা বিধিগুলোর একটি তালিকা দেয়।
এজেন্টটি স্বীকার করেছে যে, এটি প্রতিটি নিরাপত্তা নিয়ম লঙ্ঘন করেছে: এটি ভলিউম স্কোপ অনুমান করেছে, অনুমতি ছাড়া একটি ধ্বংসাত্মক কমান্ড চালিয়েছে, ডকুমেন্টেশন এড়িয়ে গেছে এবং অনুমতি ছাড়া ডিলিট করার বিষয়ে প্রকল্পের সুস্পষ্ট নিয়ম উপেক্ষা করেছে।
ক্রেনের পোস্টটি ৪৮ ঘন্টায় ৭ লাখের বেশি এবং ২৮ এপ্রিলের মধ্যে ৬০ লাখ ভিউ পায়। এ ঘটনা প্রতিষ্ঠানে স্বায়ত্তশাসিত এআই-এর ব্যবহার নিয়ে বিতর্কেরও জন্ম দিয়েছে।
]]>
Bengali (BD) · 
English (US) ·