Berkongsi data perniagaan yang sensitif dengan ChatGPT mungkin berisiko

Memandangkan selok-belok potensi chatbots AI terus menjadi tajuk utama, kegilaan di sekeliling ChatGPT kekal pada tahap demam. Satu soalan yang telah menarik perhatian ramai dalam komuniti keselamatan ialah sama ada pengambilan data perniagaan yang sensitif oleh teknologi menimbulkan risiko kepada organisasi. Terdapat kebimbangan bahawa jika seseorang memasukkan maklumat sensitif — laporan suku tahunan, bahan pembentangan dalaman, nombor jualan, dll. — dan meminta ChatGPT untuk menulis teks di sekelilingnya, sesiapa sahaja boleh mendapatkan maklumat syarikat hanya dengan bertanya kepada ChatGPT.

​Impaknya boleh meluas: bayangkan bekerja pada pembentangan dalaman yang mengandungi data syarikat baharu, mendedahkan sesuatu untuk dibincangkan pada mesyuarat lembaga pengarah isu korporat dibincangkan di atas. Membocorkan maklumat proprietari ini boleh merosakkan harga saham, sikap pengguna dan keyakinan pelanggan. Lebih buruk lagi, item undang-undang dalam agenda bocor boleh mendedahkan syarikat kepada liabiliti sebenar. Tetapi bolehkah mana-mana perkara ini benar-benar berlaku hanya dengan bahan yang dimasukkan ke dalam chatbot?

Firma penyelidikan Cyberhaven meneroka konsep ini pada bulan Februari, memfokuskan pada cara OpenAI menggunakan perkara yang dimasukkan orang ke dalam ChatGPT sebagai data latihan untuk meningkatkan teknologinya, dengan output yang hampir sama dengan input. Cyberhaven mendakwa bahawa data sulit yang dimasukkan ke dalam ChatGPT boleh dibocorkan kepada pihak ketiga jika pihak ketiga bertanya kepada ChatGPT soalan tertentu berdasarkan maklumat yang diberikan oleh eksekutif.

ChatGPT tidak menyimpan data input pengguna - adakah ia?

Pusat Keselamatan Siber Kebangsaan (NCSC) UK berkongsi pandangan lanjut tentang perkara itu pada bulan Mac, menyatakan bahawa ChatGPT dan model bahasa besar (LLM) lain pada masa ini tidak menambah maklumat secara automatik daripada pertanyaan kepada model untuk Lain-lain bertanya. Iaitu, memasukkan maklumat dalam pertanyaan tidak menyebabkan data peribadi yang berpotensi dimasukkan ke dalam LLM. "Bagaimanapun, pertanyaan akan dapat dilihat oleh organisasi yang menyediakan LLM (dan dalam kes ChatGPT, juga kepada OpenAI)," tulisnya.

"Pertanyaan ini telah disimpan dan hampir pasti akan digunakan untuk membangunkan perkhidmatan atau model LLM pada satu ketika. Ini mungkin bermakna pembekal LLM (atau rakan kongsi/kontraktornya) dapat membaca pertanyaan dan Mereka mungkin dimasukkan ke dalam keluaran masa depan dalam beberapa cara," tambahnya. Risiko lain, yang meningkat apabila lebih banyak organisasi menghasilkan dan menggunakan LLM, ialah pertanyaan yang disimpan dalam talian boleh digodam, dibocorkan atau didedahkan kepada umum secara tidak sengaja, tulis NCSC.

Akhirnya, terdapat sebab sebenar untuk bimbang tentang data perniagaan sensitif yang dimasukkan dan digunakan oleh ChatGPT, walaupun risikonya mungkin tidak begitu meluas seperti yang dicadangkan oleh beberapa tajuk utama.

Kemungkinan Risiko Memasukkan Data Sensitif ke dalam ChatGPT

LLM mempamerkan sejenis tingkah laku yang timbul yang dipanggil pembelajaran terpusat. Semasa sesi, apabila model menerima input, ia boleh melaksanakan tugas berdasarkan konteks yang terkandung dalam input tersebut. "Ini kemungkinan besar fenomena yang dirujuk oleh orang ramai apabila mereka bimbang tentang kebocoran maklumat. Walau bagaimanapun, adalah mustahil untuk maklumat daripada satu sesi pengguna dibocorkan kepada pengguna lain," kata Andy Patel, penyelidik kanan di WithSecure, kepada CSO. "Satu lagi kebimbangan adalah bahawa gesaan yang dimasukkan ke dalam antara muka ChatGPT akan dikumpulkan dan digunakan untuk data latihan masa hadapan." dilatih untuk mengintegrasikan data ini. Melatih LLM adalah proses yang mahal dan panjang, dan dia berkata dia akan terkejut jika model boleh dilatih mengenai data yang dikumpul oleh ChatGPT dalam masa terdekat. "Jika model baharu akhirnya dicipta yang mengandungi pembayang ChatGPT yang dikumpul, kebimbangan kami beralih kepada serangan inferens keahlian. Serangan sedemikian berpotensi untuk mendedahkan nombor kad kredit atau maklumat peribadi dalam data latihan. Walau bagaimanapun, tiada sasaran untuk menyokong ChatGPT dan yang lain menyukainya LLM sistem membuktikan serangan inferens keahlian." Ini bermakna model masa depan sangat tidak mungkin terdedah kepada serangan inferens keahlian.

Pautan pihak ketiga kepada AI boleh mendedahkan data

Wicus Ross, penyelidik keselamatan kanan di Orange Cyberdefense, berkata isu itu berkemungkinan besar disebabkan oleh pembekal luar yang tidak menyatakan privasinya dengan jelas polisi , jadi menggunakannya dengan alat dan platform keselamatan lain boleh meletakkan sebarang data peribadi dalam risiko. “Platform SaaS seperti Slack dan Microsoft Teams mempunyai data yang jelas dan sempadan pemprosesan, dan risiko pendedahan data kepada pihak ketiga adalah rendah, bagaimanapun, jika pemalam atau bot pihak ketiga digunakan untuk meningkatkan perkhidmatan, sama ada ia berkaitan kepada kecerdasan buatan atau tidak, berkaitan, garis jelas ini boleh menjadi kabur dengan cepat,” katanya. "Jika tiada kenyataan yang jelas daripada pemproses pihak ketiga bahawa maklumat itu tidak akan didedahkan, anda mesti menganggap bahawa ia tidak lagi peribadi."

Neil Thacker, ketua pegawai keselamatan maklumat EMEA di Netskope, memberitahu CSO bahawa sebagai tambahan kepada data sensitif yang dikongsi oleh pengguna biasa, syarikat juga harus sedar tentang serangan suntikan segera yang boleh mendedahkan arahan sebelumnya yang diberikan oleh pembangun semasa melaraskan alat, atau Menyebabkannya mengabaikan arahan yang telah diprogramkan sebelum ini. "Contoh terkini termasuk pelawak Twitter mengubah tingkah laku bot dan isu dengan Bing Chat, di mana penyelidik menemui cara untuk membuat ChatGPT mendedahkan arahan yang sebelum ini sepatutnya disembunyikan, mungkin ditulis oleh Microsoft

Kawal data diserahkan kepada ChatGPT

Menurut Cyberhaven, data sensitif pada masa ini menyumbang 11% daripada kandungan yang disiarkan oleh pekerja kepada ChatGPT, dan purata syarikat membocorkan data sensitif kepada ChatGPT ratusan kali seminggu. "ChatGPT beralih daripada gembar-gembur ke dunia nyata, dan organisasi cuba melaksanakan pelaksanaan sebenar dalam operasi mereka untuk menyertai alatan berasaskan ML/AI yang lain, tetapi berhati-hati perlu dilaksanakan, terutamanya apabila berkongsi maklumat sulit," kata Thacker. "Semua aspek pemilikan data harus dipertimbangkan, serta kesan yang berpotensi jika organisasi yang menganjurkan data dilanggar. Sebagai latihan mudah, profesional keselamatan maklumat sekurang-kurangnya dapat mengenal pasti data yang mungkin diakses jika perkhidmatan ini telah dilanggar Kategori ”

Akhirnya, adalah menjadi tanggungjawab perniagaan untuk memastikan pengguna mereka memahami sepenuhnya maklumat yang patut dan tidak patut didedahkan kepada ChatGPT. NCSC berkata organisasi harus berhati-hati tentang data yang mereka pilih untuk diserahkan dalam gesaan: "Anda harus memastikan bahawa mereka yang ingin mencuba LLM boleh, tetapi jangan meletakkan data organisasi pada risiko

Amaran kepada kakitangan The potensi bahaya chatbots

Walau bagaimanapun, Cyberhaven memberi amaran bahawa mengenal pasti dan mengawal data yang diserahkan oleh pekerja kepada ChatGPT bukan tanpa cabarannya. "Apabila pekerja memasukkan data syarikat ke dalam ChatGPT, mereka tidak memuat naik fail, sebaliknya menyalin dan menampal kandungan ke dalam penyemak imbas web mereka. Banyak produk keselamatan direka untuk melindungi fail (ditandakan sebagai sulit) daripada dimuat naik , tetapi setelah kandungan tersebut telah telah disalin daripada fail, mereka tidak dapat menjejakinya," bunyinya. Selain itu, Cyberhaven berkata data korporat yang masuk ke dalam ChatGPT selalunya tidak mengandungi corak yang boleh dikenal pasti yang dicari oleh alat keselamatan, seperti nombor kad kredit atau nombor Keselamatan Sosial. "Alat keselamatan hari ini tidak dapat membezakan antara seseorang yang menaip menu kafeteria dan rancangan penggabungan dan pengambilalihan syarikat tanpa memahami konteksnya, Thacker berkata, organisasi harus menambah lebih banyak ciri pada gerbang web selamat mereka Melaksanakan dasar pada ( SWG) untuk mengenal pasti penggunaan alatan AI, dan juga menggunakan dasar pencegahan kehilangan data (DLP) untuk mengenal pasti data yang diserahkan kepada alatan ini.

Michael Covington, naib presiden strategi portfolio di Jamf, berkata organisasi harus mengemas kini dasar perlindungan maklumat mereka untuk memastikan jenis aplikasi yang boleh diterima untuk mengendalikan data sulit didokumenkan dengan betul. "Mengawal aliran maklumat bermula dengan dasar yang didokumentasikan dengan baik dan termaklum," katanya. "Selain itu, organisasi harus meneroka cara mereka boleh memanfaatkan teknologi baharu ini untuk meningkatkan perniagaan mereka dengan cara yang bertimbang rasa. Daripada menjauhi perkhidmatan ini kerana ketakutan dan ketidakpastian, melabur dalam orang yang meneroka alat baharu yang menunjukkan potensi supaya anda boleh Memahami risiko lebih awal. dan pastikan perlindungan yang mencukupi disediakan apabila pengguna awal pengguna akhir mahu mula menggunakan alat ini”

Atas ialah kandungan terperinci Berkongsi data perniagaan yang sensitif dengan ChatGPT mungkin berisiko. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!