Red Hat: jesteśmy świadomi konsekwencji AI [WYWIAD]
Gdy branża IT masowo, niemal bezkrytycznie wprowadza AI wszędzie, gdzie tylko się da, trudno dokopać się do racjonalnych argumentów wśród gąszczu frazesów. Szukając sensownych wdrożeń AI, zapytałem w firmie Red Hat, jak pracują nad tym, żeby sztuczna inteligencja nie była tylko pustosłowiem.
Kamil Dudek, dobreprogramy: Pierwsze pytanie dotyczy oczywiście bańki AI, czyli częstych, a nierzadko niestety słusznych domysłów, że sztuczna inteligencja jest wprowadzana na siłę, bez powodu i tylko dlatego, że jest modna. Czy Red Hat także padł ofiarą hype’u na AI?
Wojciech Furmankiewicz, dyrektor Red Hat ds. technologii i rozwiązań w regionie Europy Środkowo-Wschodniej: Owszem, wątek AI obecnie często pojawia się w mediach. Widzimy ogromny potencjał, jaki niesie ze sobą ta technologia, ale także wiele niewiadomych z nią związanych. Dla nas kluczowa jest perspektywa naszych klientów, a ci decydują się na korzystanie ze sztucznej inteligencji, żeby szybciej testować i wdrażać swoje własne rozwiązania. Odpowiadając na te potrzeby Red Hat skupił się na budowaniu platform AI, opierając się na naszych dotychczasowych doświadczeniach w obszarze data science i big data. Ważnym krokiem było również przejęcie firmy Neural Magic, która rozwija technologię vLLM, silnik rozwiązania Red Hat AI Inference Server.
Naszą strategią jest wspieranie programistów poprzez zapewnienie środowiska, w którym można uruchomić praktycznie dowolny model, przy zachowaniu wysokiego poziomu kompatybilności i zgodności z obowiązującymi standardami. Umożliwia to właśnie Red Hat AI Inference Server. Chodzi o to, by pozwolić deweloperom skupić się na tworzeniu aplikacji, zamiast na zarządzaniu platformą.
Czy w ofercie Red Hat istnieje usługa, wykorzystująca AI do badania kondycji wdrożeń? Chodzi zarówno o wdrożenia dla administratorów (stacje robocze masowo), jak i dla programistów (deployments/workflows kontenerowe i kubernetesowe). Pamiętam dashboardy prezentowane w zbliżonym kontekście na konferencjach już jakiś czas temu.
Do masowego zarządzania, stosujemy Red Hat Ansible Automation Platform. Jej komponentem, opartym na sztucznej inteligencji, jest Ansible Lightspeed - rozwiązanie wspierające tworzenie polityk, skryptów i playbooków. Ogólne duże modele językowe (LLM) często dostarczają szerokich informacji, którym brakuje specyficznego kontekstu wymaganego w wyspecjalizowanych branżach lub konkretnych zastosowaniach. Zamiast tego Red Hat rekomenduje ukierunkowane, mniejsze modele AI, dostosowane do realizacji jasno określonych celów, jak Ansible Lightspeed. Należy tutaj jednak podkreślić, że to nie eliminuje potrzeby zarządzania konfiguracją ani nie zastępuje realizacji procesów bezpieczeństwa. Automatyzacja może je usprawnić, ale bezpieczeństwo wciąż wymaga stałego nadzoru.
![Red Hat chce, żeby programista mógł odetchnąć [WYWIAD]](https://v.wpimg.pl/Mjc5ZTY1YgsCVyxndkpvHkEPeD0wE2FIFhdgdnYAf1JTTXUyMF0oGAZFNXo-QzgaAkIqeildYgsTXHUiaB4pAxBFNjUgHigHAVA-e2gHK1NUUWpndAAvWVcYbmBhVWBSUVFjeWtTK1hUDD9ibAIvXEFI)
A jak to wygląda pod względem obserwowalności? Platformy chmurowe umożliwiają zaawansowane zbieranie logów, a aplikacje produkują ich dużą objętość. Te logi często nie są analizowane w tej samej chmurze, bo po pierwsze jest to uznawane za niegodne zaufania, a poza tym bywa kosmicznie drogie, przez co są ekspediowane na zewnątrz – do zewnętrznych analizatorów. Być może ten trend da się odwrócić? Coraz częściej słychać o oczekiwaniu, żeby AI szukało w logach potencjalnych incydentów bezpieczeństwa. Zatem czy rozwiązania Red Hat ułatwiają obserwowalność z wykorzystaniem AI?
To jest szerszy temat. Dostarczamy narzędzia umożliwiające budowę obserwowalnych systemów oraz rekomendacje dotyczące ich projektowania. Kluczowe jest jednak nie tyle gromadzenie logów, co wyciąganie z nich wniosków. W tym celu od lat rozwijamy naszą bazę wiedzy. Identyfikujemy powtarzalne problemy i generujemy konkretne rekomendacje, często w formie gotowych działań automatyzacyjnych, takich jak playbooki Ansible. Regularnie okazuje się, że to, co zgłasza klient jest już znanym i rozpracowanym problemem. Wtedy można zautomatyzować taki proces. Obserwowalność jest fundamentem, ale realną wartość przynosi dopiero połączenie jej z automatyczną analizą. To jest nasza siła. Klienci, którzy mają dostęp do naszej subskrypcji, są w stanie samodzielnie rozwiązać swoje problemy.
Inną kwestią, wywołującą dziś dużo emocji, są wieści pochodzące z rosnącej liczby firm, które mocno wdrażają AI. Słyszymy, że np. 30% kodu jest tworzone przez sztuczną inteligencję lub że ogłaszają downsizing, bo udało się zmniejszyć liczebność zespołów dostarczających jakiś komponent. Jednocześnie odbywa się to w atmosferze ogólnego spadku jakości produkowanego oprogramowania. Dlatego też warto zapytać, czy w Red Hat nastąpiła jakaś zmiana pod względem ilości dostarczanego kodu lub funkcji, w związku z oczekiwaniem wspomagania AI?
W ramach korporacyjnego modelu open source Red Hat kod przechodzi rygorystyczny proces weryfikacji i zatwierdzania. Zarówno kod, jak i sam proces są transparentne. AI nie zmienia rygoru kontroli jakości, a zmiany trafiają do wieloetapowego systemu testów i inspekcji. Jeżeli kod okaże się niestabilny albo niebezpieczny, to po prostu zostanie cofnięty do produkcji i będzie poprawiany, aż osiągnie oczekiwaną jakość.
Czyli nie ma planów zastąpienia kontroli jakości ani procesu recenzji przez AI, nawet w kwestii kodu generowanego przez sztuczną inteligencję?
Absolutnie nie. Jesteśmy świadomi potencjalnych konsekwencji. W kwestii rozwoju AI jest tu wciąż wiele pracy przed nami. Wkładamy mnóstwo energii w dbanie o jakość naszych produktów i bez arogancji można powiedzieć, że takie rozwiązania, jak Red Hat OpenShift są wiodącymi "flagowcami" w branży. Nie zamierzamy podważać pozycji, jaką wypracowaliśmy ryzykując spadek jakości w testowaniu naszych narzędzi.
Jak zmienia się krajobraz bezpieczeństwa platformy w czasach, gdy można cały projekt stworzyć niemal "zbyt łatwo" za pomocą vibe-codingu? Czy nadmierne ułatwienia nie sprawią, że nic nie powtrzyma niedoświadczonego programisty przed wdrożeniem czegoś, co po prostu nie jest bezpieczne? Na ile takie "security posture" jest weryfikowane – innymi słowy, czy platformy Red Hat umieją się bronić przed fundamentalnymi błędami popełnianymi w pracy z AI?
Bezpieczeństwo to obszar, w który wkładamy chyba najwięcej energii i traktujemy go wielowymiarowo. Niezależnie od tego, w jakim stopniu używamy w pracy AI, analizę bezpieczeństwa należy maksymalnie przesuwać na wczesne etapy cyklu życia oprogramowania (shift-left). Dzięki temu programista już na etapie tworzenia aplikacji otrzyma informacje o znanych podatnościach w używanych bibliotekach czy zależnościach. Każdy artefakt, który trafia na produkcję może być skanowany pod kątem znanych podatności, jak i autentyczności, aby wykryć złośliwy kod. Dodatkowo polityki dostępu i komunikacji między komponentami mogą być definiowane centralnie i egzekwowane we wszystkich wdrożeniach. Kluczowe jest objęcie kontrolą całego łańcucha dostarczania oprogramowania.
Dziękuję za rozmowę!
Przekonani?
Red Hat zdecydowanym głosem stara się przekazać, że nie wdraża sztucznej inteligencji na siłę. Czy brzmi to przekonująco? Pod względem samego przekazu - tak. Wystarczy porównać materiały Microsoftu i Red Hata. U tego pierwszego, "AI" pojawia się w pierwszym zdaniu, u drugiego - na trzeciej stronie. Nie jest sprzedawane jako produkt sam w sobie. Być może jest to dobra wskazówka dla reszty rynku, acz głównie wizerunkowa.
