টোকেন খরচ বাঁচাতে গিয়ে আবিষ্কার করলেন বাংলাদেশি ডেভেলপারের বড় নিরাপত্তা ফাঁক
একজন ডেভেলপার তার MCP সার্ভারের টোকেন খরচ নিরীক্ষণের জন্য তৈরি করা টুল দিয়েই আবিষ্কার করেছেন একটি চলমান নেমস্কোয়াটিং আক্রমণ, যা npx এবং PyPI প্যাকেজের মাধ্যমে ছড়িয়ে পড়ছে।
একজন ডেভেলপার তার MCP সার্ভারের টোকেন খরচ নিরীক্ষণের জন্য তৈরি করা টুল দিয়েই আবিষ্কার করেছেন একটি চলমান নেমস্কোয়াটিং আক্রমণ, যা npx এবং PyPI প্যাকেজের মাধ্যমে ছড়িয়ে পড়ছে।
একজন ডেভেলপার এমসিপি টোলবুথ নামে একটি কমান্ড লাইন টুল তৈরি করেছেন, যা এমসিপি সার্ভারের টোকেন খরচ নিরীক্ষণ করে। এই টুল তৈরি করতে গিয়েই তিনি একটি চলমান নেমস্কোয়াটিং আক্রমণ আবিষ্কার করেছেন। আক্রমণটি এনপিএক্স এবং পাইপিআই প্যাকেজের মাধ্যমে ছড়িয়ে পড়ছে এবং অনেক ব্যবহারকারী অজান্তেই ক্ষতিগ্রস্ত হচ্ছেন।
এমসিপি বা মডেল কনটেক্সট প্রোটোকল হলো একটি মান যা এআই এজেন্টদের বিভিন্ন টুল এবং ডেটা উৎসের সঙ্গে সংযোগ করতে সাহায্য করে। কিন্তু অনেক এমসিপি সার্ভার ব্যবহারকারীর কোনো কাজ শুরু করার আগেই ৫০ হাজারের বেশি টোকেন খরচ করে ফেলে। টোকেন হলো এআই মডেলের ভাষা প্রক্রিয়াকরণের একক এবং প্রতিটি টোকেনের জন্য অর্থ খরচ হয়। অধিকাংশ ব্যবহারকারীই জানেন না তাদের ইনস্টল করা সার্ভারগুলোর মধ্যে কোনটি বেশি ব্যয়বহুল।
এমসিপি টোলবুথ টুলটি ক্লড ডেস্কটপ, ক্লড কোড, কার্সর এবং ভিএস কোডের মতো এমসিপি কনফিগারেশন স্ক্যান করে। এটি ব্যবহারকারীদের দেখায় যে তাদের প্রতিটি সার্ভার কত টোকেন খরচ করছে এবং কোন সার্ভারগুলো অপ্রয়োজনীয়ভাবে ব্যয়বহুল। এই টুল তৈরি করতে গিয়েই ডেভেলপার লক্ষ্য করেন যে এনপিএক্স এবং পাইপিআই প্যাকেজ রেজিস্ট্রিতে একই নামের অসংখ্য প্যাকেজ রয়েছে যা আসল প্যাকেজের নামের সঙ্গে মিল রেখে তৈরি করা হয়েছে।
এই নেমস্কোয়াটিং আক্রমণের মাধ্যমে আক্রমণকারীরা জনপ্রিয় প্যাকেজের নামের কাছাকাছি নাম ব্যবহার করে ব্যবহারকারীদের বিভ্রান্ত করে। ব্যবহারকারীরা যখন ভুল করে এই প্যাকেজগুলি ইনস্টল করে, তখন আক্রমণকারীরা তাদের সিস্টেমে অননুমোদিত প্রবেশাধিকার পেতে পারে। এই আক্রমণটি এখনও সক্রিয় রয়েছে এবং অনেক ডেভেলপার এখনও সচেতন নন।
বাংলাদেশের ডেভেলপার এবং ফ্রিল্যান্সারদের জন্য এই খবর অত্যন্ত গুরুত্বপূর্ণ। যারা এআই টুলস এবং সার্ভার নিয়ে কাজ করেন, তাদের উচিত তাদের ইনস্টল করা প্যাকেজগুলো যাচাই করা। বিশেষ করে যারা ক্লড বা অন্যান্য এআই সার্ভার ব্যবহার করেন, তাদের টোকেন খরচের দিকে নজর দেওয়া উচিত। এমসিপি টোলবুথের মতো টুল ব্যবহার করে তারা সহজেই তাদের সার্ভারের খরচ নিরীক্ষণ করতে পারেন এবং সন্দেহজনক প্যাকেজ চিহ্নিত করতে পারেন।
ভবিষ্যতে এই ধরনের আক্রমণ থেকে বাঁচতে ডেভেলপারদের উচিত প্যাকেজ ইনস্টল করার আগে সঠিক নাম যাচাই করা এবং শুধুমাত্র বিশ্বস্ত উৎস থেকে প্যাকেজ ডাউনলোড করা। প্যাকেজ রেজিস্ট্রিগুলোরও উচিত নেমস্কোয়াটিং প্রতিরোধে আরও কঠোর নীতি গ্রহণ করা।
আরও পড়ুন
এই সংবাদটি আন্তর্জাতিক সূত্রের তথ্য অবলম্বনে AI-সহায়তায় বাংলায় উপস্থাপন ও বাংলাদেশের প্রেক্ষাপটে সম্পাদিত। মূল তথ্যের জন্য নিচের সূত্র দেখুন।
মূল প্রতিবেদন: dev.to AI
সোর্স দেখুন ↗মন্তব্য০
লোড হচ্ছে...