पिछले साल एक ओपन सोर्स एक्सप्लॉइट ने पेशेवरों की सुरक्षा के बारे में सोच बदल दी

ओपन सोर्स सॉफ्टवेयर हर जगह है - लगभग हर आधुनिक एप्लिकेशन में इसका इस्तेमाल किया जाता है - लेकिन इसके सामने आने वाली सुरक्षा चुनौतियाँ लगातार गंभीर होती जा रही हैं। स्वयंसेवकों की रीढ़ पर निर्भर होने के कारण, कमज़ोरियाँ अब इसे दुर्भावनापूर्ण हैकर्स और सरकारी अभिनेताओं दोनों द्वारा साइबर हमलों का मुख्य लक्ष्य बनाती हैं। एक्सज़ यूटिलिटीज बैकडोर अटैक के साथ करीबी मुठभेड़ इस बात पर प्रकाश डालती है कि ओपन सोर्स सुरक्षा कितनी कमज़ोर हो सकती है। ओपन सोर्स टूल निजी कंपनियों और सरकारों दोनों के लिए महत्वपूर्ण होने के कारण, निजी क्षेत्र और सार्वजनिक क्षेत्रों से अधिक निवेश की आवश्यकता होगी।

इंटरनेट के क्राउडसोर्स कोड का अधिकांश हिस्सा बुरे लोगों और राष्ट्र-राज्यों द्वारा घुसपैठ के लिए असुरक्षित है। ओपन सोर्स सॉफ्टवेयर "इंटरनेट के दिल" में है, इसे बड़े पैमाने पर मुट्ठी भर स्वयंसेवकों द्वारा बनाए रखा जाता है और यह इसे निगमों और सरकारों के लिए एक बड़ा सुरक्षा जोखिम बनाता है, द इकोनॉमिस्ट ने रिपोर्ट किया। ओपन सोर्स सॉफ्टवेयर को आमतौर पर इसकी कम लागत के कारण डिजिटल इंफ्रास्ट्रक्चर में तैनात किया जाता है। वह बुनियादी ढांचा, जो डिजिटल दुनिया में अंतर्निहित है, विभिन्न दुश्मन राष्ट्र-राज्यों द्वारा हमला किया जा रहा है।

GitHub में डेवलपर संबंधों के उपाध्यक्ष मार्टिन वुडवर्ड ने पहले कहा था , "ओपन सोर्स सॉफ़्टवेयर दुनिया के 99% सॉफ़्टवेयर की नींव है।" लगभग 97% एप्लिकेशन ओपन सोर्स कोड का उपयोग करते हैं, 90% कंपनियाँ इसे किसी न किसी रूप में शामिल या उपयोग कर रही हैं।

पिछले वर्ष ओपन सोर्स सुरक्षा में क्या हुआ

xz Utils की घटना इस बात का एक भयावह उदाहरण है कि क्या दांव पर लगा है। 29 मार्च, 2024 को, Microsoft के एक सॉफ़्टवेयर इंजीनियर, एन्ड्रेस फ़्रेंड ने "अनजाने में एक ऐसे सॉफ़्टवेयर में एक बैकडोर पाया जो Linux ऑपरेटिंग सिस्टम का हिस्सा है।" यह बैकडोर xz Utils के रिलीज़ टारबॉल से आया था, जिसके साथ छेड़छाड़ की गई थी, और प्रभावित संस्करणों का उपयोग करने वाले सिस्टम तक अनधिकृत पहुँच की अनुमति दी थी। जिस स्रोत कोड से समझौता किया गया था, वह Linux सिस्टम में xz Utils ओपन सोर्स डेटा कम्प्रेशन यूटिलिटी का था। न्यूयॉर्क टाइम्स ने लिखा कि इंजीनियर ने "संभावित ऐतिहासिक साइबर हमले" को रोका।

चूँकि xz Utils एक ओपन सोर्स सॉफ़्टवेयर है, इसलिए इसका कोड सार्वजनिक रूप से सुलभ है, जिससे कोई भी व्यक्ति किए गए परिवर्तनों को देख सकता है। हालाँकि, इस खुलेपन का विशेष रूप से चालाकी से फायदा उठाया गया: हमले ने केवल रिलीज़ टारबॉल (सॉफ़्टवेयर रिलीज़ के संस्करण के लिए संपीड़ित संग्रह फ़ाइल) में कोड को लक्षित किया, जिससे रिपॉजिटरी की मुख्य शाखा अछूती रह गई। इस चतुर रणनीति ने समझौता का पता लगाना कठिन बना दिया। डेवलपर की सतर्कता और किस्मत के बिना, हमला दुनिया भर में अनगिनत सिस्टम को नुकसान पहुँचा सकता था।

जिया टैन नामक एक डेवलपर ने परियोजना में सहायक कोड योगदान देना शुरू किया और धीरे-धीरे विश्वास अर्जित किया। फिर समय के साथ, बुरे अभिनेता ने मैलवेयर की तस्करी की। XZ Utils बैकडोर हमले के सबसे आश्चर्यजनक तत्वों में से एक यह था कि दुर्भावनापूर्ण कोड को हानिरहित git कमिट के माध्यम से कैसे पेश किया गया था। XZ Utils स्रोत कोड को सीधे बदलने के बजाय, मैलवेयर को बाइनरी टेस्ट फ़ाइलों के भीतर x86_64 ऑब्जेक्ट कोड के रूप में छुपाया गया था, जिसे XZ डिकंप्रेशन में एज केस के लिए यूनिट टेस्ट के रूप में प्रच्छन्न किया गया था। रूस की विदेशी खुफिया सेवा, SVR, जिस पर हमलों के पीछे होने का संदेह है, सोलरविंड्स हमले के पीछे वही खुफिया सेवा है।

यह घटना अकेली नहीं है। ओपन सोर्स प्रोजेक्ट सरकारी अधिकारियों के लिए आकर्षक लक्ष्य होते हैं क्योंकि कोड सार्वजनिक होता है। जबकि यह खुलापन सहयोग के लिए बहुत बढ़िया है, यह हमलावरों को कोड और उसके अपडेट का अध्ययन करने के लिए आसान पहुँच भी देता है। ओपन सोर्स वैश्विक बुनियादी ढांचे में एक महत्वपूर्ण भूमिका निभाता है; 2023 में Lineaje की एक रिपोर्ट से पता चला है कि आज सभी सॉफ़्टवेयर का 70% ओपन सोर्स है और 82% ओपन सोर्स सॉफ़्टवेयर घटक "स्वाभाविक रूप से जोखिम भरे" हैं। दुर्भाग्य से, इसका सर्वव्यापी उपयोग इसकी कमज़ोरियों को और भी खतरनाक बना देता है।

Lineaje और अन्य की रिपोर्ट जोखिमों को उजागर करती है: 82% ओपन सोर्स घटकों को खराब रखरखाव, पुराने कोड या सुरक्षा खामियों के कारण जोखिम भरा माना जाता है। इनमें से कई परियोजनाएँ सीमित संसाधनों के साथ छोटी टीमों या व्यक्तिगत स्वयंसेवकों द्वारा चलाई जाती हैं, जिससे वे हमलों के प्रति संवेदनशील हो जाती हैं।

एआई कैसे निभाएगी बड़ी भूमिका

इन जोखिमों में बड़े भाषा मॉडल (LLM) का उदय शामिल है । जबकि LLM डेवलपर्स को डीबगिंग या वर्कफ़्लो को स्वचालित करने जैसे कार्यों में मदद करते हैं, उनका दुरुपयोग भी किया जा सकता है। हमलावर LLM का उपयोग कमज़ोरियों के लिए ओपन सोर्स कोड का तेज़ी से विश्लेषण करने के लिए कर सकते हैं, जिससे शोषण योग्य खामियों को ढूंढना आसान हो जाता है। ये AI उपकरण फ़िशिंग संदेश या ओपन सोर्स प्रोजेक्ट्स में नकली योगदान भी तैयार कर सकते हैं, जिससे बुरे लोगों को पहचानना मुश्किल हो जाता है। LLM की मानवीय बातचीत की नकल करने की क्षमता फ़िशिंग और अन्य हमले के वैक्टर के माध्यम से किसी का ध्यान न जाने वाले दुर्भावनापूर्ण कोड के फिसलने की संभावना को बढ़ाती है जिन्हें स्वचालित किया जा सकता है।

जोखिमों के बावजूद, एलएलएम ओपन सोर्स सुरक्षा में सुधार के अवसर भी प्रदान करते हैं। लेकिन एक संतुलन बनाना होगा क्योंकि यह लागत निषेधात्मक हो सकता है, क्योंकि कंपनियाँ बिना बजट के ओपन सोर्स कोड पर एलएलएम आधारित विश्लेषक चलाने में निवेश करने की संभावना नहीं रखती हैं। उदाहरण के लिए, AI सिस्टम कोडबेस में संदिग्ध परिवर्तनों को चिह्नित कर सकते हैं या योगदानकर्ता व्यवहार में असामान्य पैटर्न का पता लगा सकते हैं। ओपन सोर्स एलएलएम "डेवलपर समुदायों के तेजी से बढ़ते आधार से भी लाभान्वित होते हैं जो अपनी सीमाओं को आगे बढ़ाते हैं और जटिल साइबर सुरक्षा चुनौतियों को हल करने के लिए दैनिक रूप से स्केलिंग करते हैं।"

हालाँकि, वही तकनीक जो सुरक्षा को मजबूत करती है, उसे हथियार भी बनाया जा सकता है। सर्वर या क्लाउड वातावरण में ओपन सोर्स LLM को तैनात करने से मॉडल या उसके द्वारा संभाले जाने वाले संवेदनशील डेटा तक अनधिकृत पहुँच का जोखिम पैदा होता है, अगर वहाँ उचित सुरक्षा नियंत्रण नहीं हैं। दुर्भावनापूर्ण अभिनेता प्रशिक्षण डेटा या मॉडल के साथ छेड़छाड़ कर सकते हैं, हानिकारक कोड या पूर्वाग्रहों को इंजेक्ट कर सकते हैं जिसके परिणामस्वरूप भ्रामक या दुर्भावनापूर्ण सामग्री होती है। इसके अतिरिक्त, अनुचित तरीके से सुरक्षित LLM संवेदनशील जानकारी लीक कर सकते हैं, या तो उत्पन्न पाठ के माध्यम से या मॉडल की वास्तुकला को लक्षित करने वाले हमलों के माध्यम से।

जो काम पहले xz Utils जैसे उपकरणों का उपयोग करके एक ही रिपॉजिटरी से पूरा किया जाता था, उसे जल्द ही अगले कुछ वर्षों में उन्नत GenAI तकनीकों का लाभ उठाकर एक ही व्यक्ति द्वारा सैकड़ों में बढ़ाया जा सकता है - और यह बदलाव संभवतः पहले ही शुरू हो चुका है। प्रवेश की बाधा नाटकीय रूप से कम हो गई है, राष्ट्र-राज्य-स्तरीय संसाधनों या अत्यधिक समर्पण की आवश्यकता से हटकर अब ऐसी चीज़ बन गई है जिसका बड़े पैमाने पर उत्पादन किया जा सकता है। यह पूरी तरह से संभव है कि आने वाले वर्षों में, रिपॉजिटरी के अधिकांश छोटे या मामूली अपडेट GenAI द्वारा तैयार किए जाएंगे।

जबकि सार्थक, उच्च-गुणवत्ता वाले विकास योगदान एक अलग चुनौती बने हुए हैं, अनुरक्षकों की भूमिका भी बदल सकती है। सक्रिय रूप से कोड योगदान देने वाले कुशल डेवलपर्स होने के बजाय, अनुरक्षक तेजी से वे लोग हो सकते हैं जो कठिन काम को संभालने में माहिर हैं और मददगार की छवि पेश करते हैं, जिससे अधिक जटिल या अभिनव कार्य समर्पित डेवलपर्स के एक छोटे समूह के लिए छोड़ दिए जाते हैं।

एआई से भरोसा खत्म हो रहा है

पारंपरिक फ़िशिंग हमले किसी कंपनी की आंतरिक निर्देशिका प्राप्त करने और प्रमुख व्यक्तियों को लक्षित करने पर ध्यान केंद्रित करते हैं - या जिन पर वे भरोसा करते हैं। NPM के व्यापक निर्भरता पारिस्थितिकी तंत्र के साथ, जो सार्वजनिक रूप से सुलभ है, हमलावरों के पास एक अलग दृष्टिकोण है। वे किसी दिए गए पैकेज के लिए रखरखाव करने वालों की छोटी संख्या की पहचान कर सकते हैं, मुद्दों के बैकलॉग का आकलन कर सकते हैं, और उस जानकारी का उपयोग उन बॉट को तैनात करने के लिए कर सकते हैं जो फ़िक्स में योगदान देकर या सहायता की पेशकश करके मददगार लगते हैं। यह विश्वास हासिल करने और विकास प्रक्रिया के भीतर खुद को एम्बेड करने का एक रास्ता बनाता है।

सबसे अच्छी नकली पहचान वास्तविक दुनिया के डेटा से तैयार की जाती है, जिसे समय के साथ सोशल मीडिया पोस्ट, अकादमिक रिकॉर्ड और बहुत कुछ के माध्यम से समृद्ध किया जाता है। एक विश्वसनीय नकली पहचान में विस्तृत बैकस्टोरी शामिल होती है, जिसमें फ़ोटो, कनेक्शन और ऑनलाइन उपस्थिति शामिल होती है। GenAI इन पहचानों के निर्माण को सरल बनाता है, साथ ही GitHub जैसे प्लेटफ़ॉर्म पर कोडिंग गतिविधि का अनुकरण करके उन्हें बेहतर बनाता है।

ओपन सोर्स प्रोजेक्ट्स में कई शुरुआती योगदान छोटे और सत्यापित करने में आसान होते हैं - जैसे टिप्पणियों में टाइपो को ठीक करना या निर्भरता को अपडेट करना। ये गतिविधियाँ LLM का उपयोग करने वाले हमलावरों के लिए आदर्श हैं, क्योंकि उन्हें बड़े पैमाने पर स्वचालित किया जा सकता है। यह सैकड़ों नकली पहचान बनाने में सक्षम बनाता है, जिनमें से प्रत्येक में लिंक्डइन प्रोफाइल, सोशल मीडिया अकाउंट और GitHub इतिहास होते हैं, जिसमें हजारों छोटे लेकिन वैध योगदान होते हैं।

ये पहचानें कई परियोजनाओं में भाग ले सकती हैं, संभावित रूप से ओवरलैपिंग कर सकती हैं, और मददगार होने का ट्रैक रिकॉर्ड बना सकती हैं। समय के साथ, एक दुर्भावनापूर्ण अभिनेता इनमें से किसी एक पहचान का उपयोग अधिक महत्वपूर्ण योगदान प्रस्तुत करने के लिए कर सकता है। यहां तक कि ये योगदान भी शुरू में वैध और लाभकारी लग सकते हैं। समन्वित प्रयासों में, जैसे कि राष्ट्र-राज्यों या हैकर समूहों द्वारा, एक पहचान दूसरे की विश्वसनीयता को बढ़ा सकती है, एक कथा को मजबूत कर सकती है या प्रभाव प्राप्त कर सकती है।

हम पहले ही xz utils घटना जैसे उदाहरण देख चुके हैं, जहाँ विश्वास में हेरफेर करने के लिए कई पहचानों का उपयोग किया गया था। जब हमला उजागर हुआ, तो उन पहचानों को त्याग दिया गया। मैन्युअल संचालन में, ऐसी संपत्तियों को खोना महंगा होगा। हालाँकि, GenAI के साथ, नई पहचान बनाने में न्यूनतम खर्च आता है, जिससे हमलावरों के लिए जोखिम काफी कम हो जाता है।

आपूर्ति श्रृंखला पर हमले बढ़ेंगे

हाल ही में एक सॉफ्टवेयर सप्लाई चेन अटैक ने लोकप्रिय @solana/web3.js npm लाइब्रेरी को निशाना बनाया , जिसका इस्तेमाल सोलाना-आधारित एप्लिकेशन बनाने के लिए व्यापक रूप से किया जाता है, उपयोगकर्ताओं की निजी कुंजी चुराने और क्रिप्टोकरेंसी वॉलेट को खत्म करने के लिए दुर्भावनापूर्ण कोड के साथ संस्करण 1.95.6 और 1.95.7 से समझौता किया। इस हमले ने एक फ़िशिंग अभियान का फायदा उठाया जिसने धमकी देने वाले अभिनेताओं को प्रकाशन-पहुंच प्राप्त करने और एक बैकडोर फ़ंक्शन को इंजेक्ट करने की अनुमति दी, वैध दिखने वाले क्लाउडफ्लेयर हेडर के माध्यम से निजी कुंजियों को बाहर निकाला। प्रभावित संस्करणों को हटा दिया गया है, और उपयोगकर्ताओं से अनुरोध किया जाता है कि वे संस्करण 1.95.8 में अपडेट करें और जोखिमों को कम करने के लिए अपनी कुंजियों को घुमाने पर विचार करें।

ओपन सोर्स लाइब्रेरी पर बढ़ती निर्भरता और फ़िशिंग और सोशल इंजीनियरिंग जैसे परिष्कृत हमले के तरीकों के बढ़ने के कारण 2025 में सॉफ़्टवेयर सप्लाई चेन हमलों में वृद्धि होने की उम्मीद है। सिनोप्सिस के एक अध्ययन के अनुसार, ओपन सोर्स सॉफ़्टवेयर में कमज़ोरियाँ लगातार बढ़ रही हैं। इसके अतिरिक्त, एंटरप्राइज़ सिस्टम में ओपन सोर्स टूल के बढ़ते एकीकरण से हमलावरों को निवेश पर अधिक लाभ मिलता है, जिससे साइबर अपराधियों और राज्य प्रायोजित अभिनेताओं दोनों के लिए इस तरह के उल्लंघन और भी अधिक आकर्षक हो जाते हैं।

राज्य के अभिनेताओं का प्रभाव और स्वयंसेवकों को निशाना बनाना

सोलरविंड्स हमले की तरह ही एक्सजेड यूटिल्स की घटना भी एक चेतावनी है, जो ओपन सोर्स सॉफ्टवेयर को सुरक्षित रखने और डिजिटल सार्वजनिक वस्तु के रूप में इसके मूल्य को बनाए रखने के लिए सार्वजनिक और निजी क्षेत्रों के बीच अधिक निवेश और सहयोग की आवश्यकता को उजागर करती है। ओपन सोर्स टूल से लाभ उठाने वाली कंपनियों को आगे आकर इन परियोजनाओं का समर्थन करना चाहिए। इस समर्थन में फंडिंग, डेवलपर को समय देना या सुरक्षा विशेषज्ञता प्रदान करना शामिल हो सकता है। ओपन सोर्स परियोजनाओं को बेहतर शासन की भी आवश्यकता होती है, जैसे कि सख्त कोड समीक्षा प्रक्रिया और अपडेट के लिए साझा जिम्मेदारी। कमजोरियों को तेजी से ठीक करना एक और प्राथमिकता है, क्योंकि देरी से सिस्टम लंबे समय तक हमलों के संपर्क में रहते हैं।

सरकारी तत्व सबसे बड़े खतरों में से एक बने हुए हैं। ओपन सोर्स सॉफ्टवेयर उन्हें जासूसी, तोड़फोड़ और व्यवधान के लिए कम लागत वाला, उच्च-पुरस्कार वाला लक्ष्य प्रदान करता है। सोलरविंड्स हमला, हालांकि मालिकाना सॉफ्टवेयर से जुड़ा हुआ है, यह इस बात का एक प्रमुख उदाहरण है कि आपूर्ति श्रृंखला उल्लंघन कितने हानिकारक हो सकते हैं।

हमलावर संभवतः व्यक्तिगत अनुरक्षकों को अधिक बार निशाना बनाना जारी रखेंगे, परियोजनाओं से समझौता करने के लिए उन्नत सामाजिक इंजीनियरिंग रणनीति का उपयोग करेंगे। एआई उपकरण हमलावरों और रक्षकों दोनों की क्षमताओं को बढ़ाना जारी रखेंगे, जिससे नए खतरों से आगे रहने की होड़ पैदा होगी। सरकारों के भी अधिक शामिल होने की संभावना है, जिससे व्यापक पारिस्थितिकी तंत्र में सुरक्षा को बेहतर बनाने के लिए सार्वजनिक-निजी भागीदारी को बढ़ावा देने में मदद मिलेगी। साथ ही, सख्त नियम पेश किए जा सकते हैं, जिससे कंपनियों को उनके द्वारा उपयोग किए जाने वाले ओपन सोर्स घटकों के लिए अधिक जिम्मेदारी लेने के लिए प्रेरित किया जा सकता है।

सोलरविंड्स घटना की बात करें तो, क्या यह स्मृति से मिट गई है, यह परिप्रेक्ष्य पर निर्भर करता है। जबकि जनता का ध्यान भले ही बदल गया हो, लेकिन सरकारी अधिकारी और साइबर सुरक्षा विशेषज्ञ सीखे गए सबक को संबोधित करने पर ध्यान केंद्रित करते हैं। सॉफ़्टवेयर आपूर्ति श्रृंखला सुरक्षा में चल रहे अधिकांश कार्य, जैसे कि ओपनएसएसएफ (एसएलएसए और जीयूएसी जैसे) द्वारा की गई पहल, सीआईएसए जैसी एजेंसियों द्वारा संचालित मजबूत सुरक्षा की आवश्यकता का प्रत्यक्ष जवाब है, लेकिन प्रगति धीमी रही है, और सभी संगठनों ने इन सुरक्षाओं को नहीं अपनाया है। संघीय सरकार स्वयं ओपन सोर्स सॉफ़्टवेयर के सबसे बड़े उपभोक्ताओं में से एक है और इस क्षेत्र में अपनी भागीदारी बढ़ाना जारी रखेगी।

हालांकि पर्दे के पीछे ये प्रयास जारी हैं, लेकिन घटना का प्रभाव आम जनता पर पूरी तरह से नहीं पड़ा है, विशेष रूप से स्वतंत्र या शौकिया सॉफ्टवेयर डेवलपर्स पर, जो इसके व्यापक निहितार्थों को पूरी तरह से नहीं समझ पाए हैं।

अंततः, जैसा कि विशेषज्ञ मिशल ज़ालेव्स्की ने कहा , "अंतिम निष्कर्ष यह है कि हमारे पास शौकिया लोगों द्वारा विकसित कोड के शीर्ष पर अनगिनत खरबों डॉलर हैं।" यह इस संभावना को रेखांकित करता है कि इंटरनेट की रीढ़ बनाने वाले महत्वपूर्ण सॉफ़्टवेयर के भीतर अन्य बैकडोर अभी भी छिपे हुए, अनदेखे हो सकते हैं।

जबकि कमज़ोरियों की पहचान करना चिंता का विषय है, बड़ा मुद्दा ओपन सोर्स पारिस्थितिकी तंत्र के भीतर विश्वास के क्षरण में निहित है। ओपन सोर्स उन फेसलेस डेवलपर्स के योगदान पर पनपता है जो अक्सर बिना किसी प्रत्यक्ष बातचीत या पहचान के सत्यापन के, सद्भावना से काम करते हैं। GenAI इस नींव को कमजोर करता है, क्योंकि यह उन कई फेसलेस योगदानकर्ताओं के लिए पूरी तरह से मनगढ़ंत होना संभव बनाता है।

फ़िशिंग हमले पहले से ही ख़तरनाक हैं क्योंकि वे तकनीकी सुरक्षा को तोड़ने के बजाय भरोसे का फ़ायदा उठाते हैं - वे लोगों को एक भरोसेमंद माहौल में दुर्भावनापूर्ण कोड निष्पादित करने के लिए प्रेरित करते हैं। GenAI हमलावरों को वैध योगदान की आड़ में भरोसेमंद ओपन सोर्स पैकेज में दुर्भावनापूर्ण कोड एम्बेड करने में सक्षम बनाकर इस जोखिम को बढ़ाता है।

इससे संभवतः परियोजनाओं में घुसपैठ करने के लिए GenAI का उपयोग करने वाले दुर्भावनापूर्ण अभिनेताओं और शोषण से पहले कमजोरियों का पता लगाने और उनका मुकाबला करने के लिए GenAI का लाभ उठाने वाले रक्षात्मक उपकरणों के बीच होड़ शुरू हो जाएगी। फिर सवाल यह उठता है कि क्या ओपन सोर्स पर भरोसा ऐसी दुनिया में बना रह सकता है, जहाँ योगदानकर्ता तेजी से AI-संचालित धोखेबाजों से अलग नहीं हो सकते।

जैसे-जैसे हम 2025 में प्रवेश कर रहे हैं, ओपन सोर्स सॉफ्टवेयर एक महत्वपूर्ण बिंदु पर है। खतरे अधिक परिष्कृत होते जा रहे हैं, जो राज्य के अभिनेताओं, एलएलएम जैसे एआई उपकरणों के दुरुपयोग और अधिकतम नुकसान पहुंचाने के लिए आपूर्ति श्रृंखला हस्तक्षेप पर ध्यान केंद्रित करने से प्रेरित हैं। हालांकि, सक्रिय उपायों, अधिक निवेश और साझा जिम्मेदारी के साथ, एक ऐसा भविष्य बनाना संभव है जहां ओपन सोर्स नवाचार और प्रगति के लिए एक शक्ति के रूप में पनपना जारी रखे, न कि शोषण की प्रतीक्षा कर रही कमजोरी के रूप में।