अॅड. पवन दुग्गल, आंतरराष्ट्रीय सायबर सुरक्षातज्ज्ञ
अँथ्रोपिकचे ‘क्लॉड माइथोस प्रिव्ह्यू’ नावाचे एआय मॉडेल स्वयंचलितपणे सिस्टीममधील उणिवा शोधते, विविध सुरक्षा यंत्रणांमध्ये घुसखोरी करते आणि स्वतःच्या अस्तित्वाच्या खुणाही मिटवून टाकते. जगातील कोणत्याही देशाच्या कायद्यात यावर सध्या कोणताही ठोस उपाय उपलब्ध नाही.
अँथ्रोपिकने ‘क्लॉड माइथोस प्रिव्ह्यू’ नावाचे एक एआय मॉडेल प्रसिद्ध केले आहे. वास्तविक खुद्द त्या कंपनीच्या अभियंत्यांनीच या मॉडेलला अत्यंत धोकादायक ठरवले होते. त्यामुळेच याची उपलब्धता केवळ मर्यादित आणि पडताळणी केलेल्या भागीदारांपुरतीच ठेवली होती. परंतु, ज्या दिवशी याची घोषणा झाली, त्याच दिवशी अनधिकृत वापरकर्त्यांनी त्यात शिरकाव केला. हे मॉडेल स्वयंचलितपणे सिस्टीममधील उणिवा शोधते, विविध सुरक्षा यंत्रणांमध्ये घुसखोरी करते आणि स्वतःच्या अस्तित्वाच्या खुणाही मिटवून टाकते. एआयच्या धोक्यांचे मोजमाप करण्यासाठी बनवलेले सर्व निकष या मॉडेलने मोडीत काढले आहेत. थोडक्यात सांगायचे तर नियंत्रण व्यवस्था सुरू होण्यापूर्वीच कोलमडली आहे.
हे कोणतेही काल्पनिक कथानक नसून वास्तविक क्षमतांचे अपयश आहे. विशेष म्हणजे जगातील कोणत्याही देशाच्या कायद्यात यावर सध्या कोणताही ठोस उपाय उपलब्ध नाही. याप्रकरणी कोणावरही आरोप ठेवण्यात आलेले नाहीत किंवा कोणत्याही नियामक संस्थेने यात हस्तक्षेप केलेला नाही. या माहितीफुटीमुळे भविष्यात होणार्या सायबर हल्ल्यांच्या कोणत्याही पीडित व्यक्तीकडे आज कोणताही स्पष्ट कायदेशीर मार्ग उरलेला नाही. याच समस्येची दखल आता कायद्याला घ्यावी लागेल. ही बाब सर्वसामान्य एआय तंत्रज्ञानाशी संबंधित नसून, अपयशाच्या या विशिष्ट पद्धतीशी आणि त्यातून निर्माण झालेल्या कायदेशीर पोकळीशी संबंधित आहे.
यातील पहिली त्रुटी म्हणजे स्वायत्त एआयमुळे होणार्या नुकसानीसाठी कठोर जबाबदारीचा अभाव असणे. सध्याच्या नागरी जबाबदारीच्या चौकटीत, पीडित व्यक्तीला हे सिद्ध करावे लागते की, एखाद्या विशिष्ट प्रतिवादीने हलगर्जीपणा केल्यामुळे नुकसान झाले आहे. मात्र, जेव्हा ‘माइथोस’सारखे मॉडेल स्वतःच हल्ल्यांची साखळी रचते, लक्ष्य निवडते आणि ओळख लपवून हल्ला करते, तेव्हा या प्रक्रियेतील मानवी निर्णयाचा संबंध तुटतो. विकसकाने त्या विशिष्ट हल्ल्याची परवानगी दिलेली नसते आणि तो राबवणार्याने तसे निर्देश दिलेले नसतात. येथे नुकसान तर प्रत्यक्ष झाले आहे. पण कायदेशीर उपाय मात्र उपलब्ध नाही. म्हणूनच आता स्वायत्त आक्रमक एआय विकसित करणार्यांसाठी कठोर उत्तरदायित्व निश्चित करणे आवश्यक आहे. ही जबाबदारी केवळ हलगर्जीपणावर आधारित नसून, तंत्रज्ञान उपलब्ध करून दिल्याच्या क्षणापासूनच लागू व्हायला हवी. यासाठी केवळ मार्गदर्शक तत्त्वे पुरेशी नसून न्यायालयांना अंमलात आणता येईल अशी स्पष्ट वैधानिक भाषा हवी.
दुसरी त्रुटी म्हणजे पुरेशा नियंत्रणासाठी कोणत्याही कायदेशीर मानकांचा अभाव असणे. अँथ्रोपिकने नियंत्रणाचे प्रयत्न केले; पण अंतर्गत प्रवेशाच्या माध्यमातून ते काही तासांतच निष्फळ ठरले. धोकादायक एआय मॉडेल्ससाठी ‘पुरेसे नियंत्रण’ कशाला म्हणावे, हे ठरवणारा कोणताही कायदा अस्तित्वात नाही. अँथ्रोपिकच्या सुरक्षा उपायांचे मूल्यमापन करण्यासाठी कोणतेही निकष नाहीत किंवा त्यांच्या प्रसिद्धीपूर्वी त्यांना प्रमाणित करणारी कोणतीही यंत्रणा नाही. तसेच जोपर्यंत प्रत्यक्ष नुकसान सिद्ध होत नाही, तोपर्यंत नियंत्रण अपयशी ठरल्याबद्दल कोणतीही दंडात्मक तरतूद नाही. आता ठरावीक क्षमता ओलांडलेल्या एआय सिस्टीमसाठी ‘कंटेनमेंट सर्टिफिकेशन’ (सुरक्षा प्रमाणपत्र) अनिवार्य करणे गरजेचे आहे. हे प्रमाणपत्र विकासकाच्या स्वतःच्या दाव्यावर नव्हे, तर स्वतंत्र तांत्रिक तपासणीवर आधारित असावे. या तपासणीमध्ये मॉडेलची स्वतःहून त्रुटी शोधण्याची आणि ओळख लपवण्याची क्षमता तपासली जावी. तसेच हे प्रमाणपत्र देणारी संस्था विकासकापासून आर्थिकदृष्ट्या पूर्णपणे स्वतंत्र असावी. नियंत्रण अपयशी ठरल्यास स्वतःहून नियामक तपास सुरू होणे गरजेचे आहे, जिथे प्राथमिक जबाबदारी विकासकावरच असेल.
तिसरी मोठी त्रुटी म्हणजे आंतरराष्ट्रीय स्तरावरील अंमलबजावणी यंत्रणेचा अभाव. माइथोस मॉडेलची माहिती फुटताच विविध देशांतील अनधिकृत वापरकर्ते सक्रिय झाले. आता ही क्षमता अनियंत्रितपणे जगभरात पसरली आहे. येथे युरोपियन युनियनचा एआय कायदा किंवा अमेरिकेची स्थानिक यंत्रणा प्रभावी ठरू शकत नाही. भारताकडेही यावर कोणताही योग्य कायदा नाही. विकसनशील देशांची स्थिती तर अधिकच गंभीर आहे. यासाठी आता एका जागतिक व्यवस्थेची गरज आहे, ज्यात तीन मुख्य घटक असतील. पहिले म्हणजे माहिती देणे बंधनकारक असणे. म्हणजेच नियंत्रण अपयशी ठरल्यास 24 तासांच्या आत एका आंतरराष्ट्रीय संस्थेला पूर्ण तांत्रिक माहितीसह कळवणे. दुसरे म्हणजे समन्वित प्रतिसाद यंत्रणा, जी सदस्य देशांमधील महत्त्वाच्या पायाभूत सुविधा संचालकांशी तत्काळ माहिती सामायिक करेल आणि तिसरे म्हणजे सीमापार उत्तरदायित्व; म्हणजेच एका देशातील विकासक इतर देशांत झालेल्या नुकसानीसाठीही जबाबदार धरला जावा. यामुळे नियम शिथिल असलेल्या देशांतून धोकादायक तंत्रज्ञान चालवण्याच्या प्रवृत्तीला आळा बसेल.
एआय सक्षम सायबर हल्ल्यांचा सर्वाधिक धोका सॅनफ्रान्सिस्को किंवा ब—सेल्सला नसून, जुन्या यंत्रणा आणि मर्यादित संसाधने असलेल्या क्षेत्रांना आहे. भारताच्या निमशहरांमधील पाणीपुरवठा प्रकल्प, आफ्रिकेतील वीज ग्रीडस् किंवा आग्नेय आशियातील बँकिंग प्रणाली ही या हल्ल्यांची सोपी लक्ष्ये आहेत. कारण तेथे कायदेशीर आणि तांत्रिक सुरक्षा दोन्ही कमकुवत आहेत. म्हणूनच हे कायदेशीर नियम प्रगत देशांप्रमाणेच या क्षेत्रांतही तितक्याच ताकदीने लागू होणे आवश्यक आहे. विकसनशील देशांनी आता ही मागणी प्रकर्षाने मांडली पाहिजे.
निष्कर्ष असा की, माइथोसने या कायदेशीर त्रुटी निर्माण केल्या नसून त्या केवळ जगासमोर उघड केल्या आहेत. सैद्धांतिक जोखीम आणि वास्तविक धोका यातील अंतर या मॉडेलने काही तासांत संपवून टाकले आहे. आपण अनेक दशकांपासून आराखडे, करार आणि तत्त्वांवर चर्चा करत आहोत. पण ते आता पुरेसे नाहीत. त्यातून अद्याप कोणतेही बंधनकारक उत्तरदायित्व किंवा अंमलात येण्यायोग्य कायदेशीर चौकट निर्माण झालेली नाही. आता स्पष्ट भाषा, बंधनकारक शक्ती आणि सार्वत्रिक अंमलबजावणी या तीन सूत्रांची गरज आहे. कायदेशीर समुदायाला आता हे ठरवावे लागेल की, त्यांना हे नियम प्रत्यक्षात आणायचे आहेत की केवळ या समस्येवर आणखी एक निबंध तयार करायचा आहे.
