Triggerfish

العربية

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
हिन्दी
Filipino
עברית
فارسی
Português (Brasil)
Deutsch
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu

العربية

English (US)
English (UK)
Español (Latinoamérica)
Español (España)
Français
简体中文
繁體中文
한국어
हिन्दी
Filipino
עברית
فارسی
Português (Brasil)
Deutsch
Italiano
日本語
Norsk
Nederlands
Svenska
اردو
ಕನ್ನಡ
मराठी
தமிழ்
Bahasa Melayu
المدونة →

بنيتُ AI Agent الذي تمنّيت وجوده

·Greg Havens
aiai agentssecurityopen sourceself-hostedllmprompt injectionagent securitytriggerfish

منذ فترة بدأت أراقب عن كثب ما يمكن لـ AI agents فعله حقًا. ليس العروض التوضيحية، بل الأنظمة الحقيقية التي تعمل على بيانات حقيقية في بيئات حقيقية حيث للأخطاء عواقب وخيمة. ما وجدته هو أن القدرة موجودة فعلًا. يمكنك ربط agent ببريدك الإلكتروني وتقويمك وأكوادك وملفاتك، ويمكنه إنجاز عمل ذي قيمة. هذا الجانب أبهرني.

ما لم يُبهرني هو نموذج الأمان. أو بالأحرى، غيابه. كل منصة نظرت إليها كانت تفرض قواعدها بالطريقة ذاتها: بإخبار الـ model بما لا يجوز له فعله. اكتب system prompt جيدًا، صِف الحدود، وثق بأن الـ model سيبقى ضمنها. يعمل هذا حتى يجد أحدهم طريقة لصياغة طلب يُقنع الـ model بأن القواعد لا تنطبق هنا، الآن، في هذه الحالة بالذات. والناس يكتشفون ذلك. ليس أمرًا صعبًا.

ظللت أنتظر أن يبني أحدهم النسخة التي أريد استخدامها فعلًا. نسخة تتصل بكل شيء، وتعمل عبر كل قناة أستخدمها بالفعل، وتتعامل مع بيانات حساسة حقًا دون أن أضطر لعقد أصابعي آملًا أن يكون الـ model في يوم جيد. لم تظهر تلك النسخة.

فبنيتُها بنفسي.

Triggerfish هو الـ agent الذي أردته. يتصل ببريدك الإلكتروني وتقويمك وملفاتك وأكوادك وتطبيقات المراسلة. يعمل بشكل استباقي، لا فقط عندما تطلب منه. يعمل حيثما تعمل أنت بالفعل. لكن الجانب الذي آخذه بأكبر قدر من الجدية هو بنية الأمان. القواعد المتعلقة بما يمكن للـ agent الوصول إليه وأين يمكن للبيانات أن تتدفق لا توجد في prompt. إنها في طبقة تنفيذ تقع خارج الـ model تمامًا. يُخبر الـ model النظام بما يريد فعله، وطبقة منفصلة تقرر ما إذا كان ذلك سيحدث فعلًا. لا يستطيع الـ model التفاوض مع تلك الطبقة. لا يستطيع الالتفاف حولها بالمنطق. لا يستطيع حتى رؤيتها.

هذا الفرق أهم مما قد يبدو. يعني أن خصائص أمان النظام لا تتدهور كلما أصبح الـ model أكثر قدرة. يعني أن أداة خارجية مخترقة لا تستطيع إقناع الـ agent بفعل ما لا ينبغي له. يعني أنك تستطيع فعلًا قراءة القواعد وفهمها والوثوق بها، لأنها شيفرة برمجية وليست نصًا نثريًا.

جعلت enforcement core مفتوح المصدر لهذا السبب تحديدًا. إن لم تستطع قراءته، فلا يمكنك الوثوق به. هذا صحيح لأي ادعاء أمني، وصحيح بشكل خاص عندما يكون ما تؤمّنه agent مستقلًا يملك الوصول إلى أكثر بياناتك حساسية.

المنصة مجانية للأفراد ويمكنك تشغيلها بنفسك. إذا كنت تفضل عدم التفكير في البنية التحتية، هناك خيار اشتراك نتولى فيه الـ model والبحث. في كلتا الحالتين، نموذج الأمان واحد.

هذا هو الـ agent الذي تمنيت وجوده قبل عامين. أعتقد أن كثيرين كانوا ينتظرون الشيء ذاته.