डेल्व के अनुपालन शॉर्टकट्स के नतीजे ने अपना पहला बड़ा शिकार बना लिया। लाइटएलएलएम, एक लोकप्रिय एआई गेटवे स्टार्टअप जिसका उपयोग हजारों डेवलपर्स द्वारा बड़े भाषा मॉडल एक्सेस को प्रबंधित करने के लिए किया जाता है, ने पिछले सप्ताह क्रेडेंशियल-चोरी मैलवेयर का शिकार होने के बाद विवादास्पद सुरक्षा अनुपालन विक्रेता के साथ संबंध तोड़ दिए। यह उल्लंघन एआई स्टार्टअप्स में सुरक्षा प्रमाणपत्रों की होड़ के बारे में खतरे की घंटी बजाता है, जहां संस्थापकों पर उद्यम सौदों को बंद करने के लिए एसओसी 2 और आईएसओ अनुपालन को तेजी से ट्रैक करने का दबाव बढ़ रहा है।
लाइटएलएलएमएआई एप्लिकेशन बनाने वाले डेवलपर्स के लिए एपीआई गेटवे सेवाएं प्रदान करने वाली कंपनी ने सोमवार शाम एक संक्षिप्त ब्लॉग पोस्ट में सुरक्षा घटना का खुलासा किया। कंपनी ने पुष्टि की कि हमलावरों ने प्रमाणीकरण क्रेडेंशियल चुरा लिए थे और उसके सिस्टम में घुसपैठ करने वाले मैलवेयर के माध्यम से ग्राहक एपीआई कुंजी तक पहुंच बनाई थी। उल्लंघन पर काबू पाने के कुछ ही घंटों के भीतर, लाइटएलएलएम के नेतृत्व ने अनुपालन स्वचालन स्टार्टअप डेल्वे को तुरंत हटाने का निर्णय लिया, जिसने उन्हें सुरक्षा प्रमाणपत्र हासिल करने में मदद की थी।
डेल्व के लिए इससे बुरा समय नहीं हो सकता। अभी पिछले सप्ताह, टेकक्रंच व्हिसिलब्लोअर के आरोपों पर रिपोर्ट की गई जिसमें दावा किया गया कि कंपनी उचित सत्यापन के बिना सुरक्षा ऑडिट पर मुहर लगा रही थी। अब वे आरोप वास्तविक दुनिया के परिणामों में बदल गए हैं, लाइटएलएलएम के साथ सूत्रों का कहना है कि ग्राहकों का पलायन बढ़ रहा है और सवाल कर रहे हैं कि अनुपालन के लिए डेल्वे का सुव्यवस्थित दृष्टिकोण वास्तव में सुरक्षा प्रदान करता है या नहीं।
लाइटएलएलएम के सह-संस्थापक क्रिश ढोलकिया ने कंपनी के खुलासे में लिखा, “हम इस घटना की पूरी जिम्मेदारी लेते हैं।” “हम अपने सुरक्षा ढांचे और साझेदारियों की पूरी समीक्षा कर रहे हैं।” बयान में स्पष्ट रूप से डेल्वे को दोषी नहीं ठहराया गया, लेकिन रिश्ते को समाप्त करने का निर्णय इस बारे में बहुत कुछ बताता है कि नेतृत्व का मानना है कि कमजोरियाँ कहाँ से उत्पन्न हुईं।
लाइटएलएलएम ने अपनी वेबसाइट पर गर्व से अपने एसओसी 2 टाइप II और आईएसओ 27001 प्रमाणपत्र प्रदर्शित किए थे – एआई सुरक्षा जोखिमों से सावधान उद्यम ग्राहकों के साथ अनुबंध हासिल करने के लिए बैज की आवश्यकता बढ़ रही है। मामले से परिचित सूत्रों के अनुसार, लाइटएलएलएम ने डेल्वे के प्लेटफॉर्म के माध्यम से 60 दिनों से कम समय में दोनों प्रमाणन प्राप्त किए, एक समयावधि जिसमें आमतौर पर कंपनियों को पारंपरिक लेखा परीक्षकों के माध्यम से छह महीने से एक वर्ष तक का समय लगता है।
क्रेडेंशियल-चोरी करने वाला मैलवेयर, जिसका सुरक्षा शोधकर्ता अभी भी विश्लेषण कर रहे हैं, ऐसा प्रतीत होता है कि उसने लाइटएलएलएम के एक्सेस नियंत्रण और निगरानी प्रणालियों में कमियों का फायदा उठाया है – ठीक वही क्षेत्र जिनकी जांच करने के लिए एसओसी 2 ऑडिट डिज़ाइन किए गए हैं। उद्योग विशेषज्ञों का कहना है कि प्रमाणन और वास्तविक सुरक्षा स्थिति के बीच यह अंतर स्टार्टअप पारिस्थितिकी तंत्र में एक व्यापक समस्या को दर्शाता है।
