雖然ChatGPT提供了非凡的功能,但理解和管理相關(guān)的安全風(fēng)險是至關(guān)重要的。下面���,我們概述了一些關(guān)鍵問題��,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險提供了建議�。
您已經(jīng)在使用ChatGPT了嗎���?或者您正在考慮使用它來簡化操作或改善客戶服務(wù)��?雖然ChatGPT提供了許多好處�����,但重要的是�����,您要意識到與ChatGPT這樣的人工智能工具共享敏感業(yè)務(wù)數(shù)據(jù)相關(guān)的安全風(fēng)險���。下面,我們概述了一些關(guān)鍵問題��,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險提供了建議�。
ChatGPT不存儲用戶的輸入數(shù)據(jù)��,是嗎����?
聊天機器人從用戶輸入中記憶和學(xué)習(xí)的影響可能是深遠(yuǎn)的:想象一下�,您正在做一場內(nèi)部演示�,其中包含了新的企業(yè)數(shù)據(jù),揭示了一個將在董事會會議上討論的企業(yè)問題��。將這些專有信息泄露出去可能會損害股價���、消費者態(tài)度和客戶信心��。更糟糕的是��,議程上的法律事項被泄露可能會使公司承擔(dān)真正的責(zé)任�����。但是�����,僅僅把這些東西輸入聊天機器人中�,這些事情真的會發(fā)生嗎�����?
研究公司Cyberhaven于今年2月就這一問題進行了深入探索,結(jié)果指出�,如果第三方根據(jù)該高管提供的信息向ChatGPT詢問某些問題,那么輸入ChatGPT的機密數(shù)據(jù)可能會被泄露給第三方�。
英國國家網(wǎng)絡(luò)安全中心(NCSC)在3月份分享了對此事的進一步見解,指出ChatGPT和其他大型語言模型(LLM)目前不會自動將信息從查詢添加到模型中供其他人查詢���。也就是說���,在查詢中包含信息不會導(dǎo)致潛在的私有數(shù)據(jù)被合并到LLM中。然而����,提供LLM的組織(就ChatGPT而言,指的是OpenAI)將能看到查詢�����。
這些查詢會被存儲起來�����,幾乎肯定會在某個時候用于開發(fā)和訓(xùn)練LLM服務(wù)或模型�。這可能意味著LLM提供商(或其合作伙伴/承包商)能夠讀取查詢��,并可能以某種方式將它們合并到未來的版本中。
2021年6月��,來自蘋果�����、斯坦福大學(xué)����、谷歌、哈佛大學(xué)等的研究人員發(fā)表了一篇論文�����,揭示了類似于ChatGPT的語言學(xué)習(xí)模型GPT-2可以準(zhǔn)確地從訓(xùn)練文檔中回憶起敏感信息��。
報告發(fā)現(xiàn)�����,GPT-2可以調(diào)用具有特定個人標(biāo)識符的信息�,重新創(chuàng)建精確的文本序列,并在提示時提供其他敏感信息�。這些“訓(xùn)練數(shù)據(jù)提取攻擊”可能會對機器學(xué)習(xí)模型研究人員的安全構(gòu)成越來越大的威脅,因為黑客可能能夠訪問機器學(xué)習(xí)研究人員的數(shù)據(jù)并竊取他們受保護的知識產(chǎn)權(quán)��。
總而言之,我們有理由擔(dān)憂與ChatGPT共享敏感業(yè)務(wù)數(shù)據(jù)會威脅企業(yè)安全����,并造成無法挽回的后果。
與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險
據(jù)數(shù)據(jù)安全公司Cyberhaven發(fā)布的統(tǒng)計數(shù)據(jù)顯示����,平均每家公司每周會向ChatGPT發(fā)布數(shù)百次敏感數(shù)據(jù),涉及客戶或患者信息�、源代碼、機密數(shù)據(jù)和監(jiān)管信息等等�,這些請求引起了嚴(yán)重的網(wǎng)絡(luò)安全問題。
【ChatGPT在工作場所使用情況】
對于組織來說�,理解并緩解與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險,以保護其資產(chǎn)�、維護客戶信任并遵守法規(guī)要求是至關(guān)重要的。具體來說�,這些風(fēng)險涵蓋以下幾點:
1. 數(shù)據(jù)隱私和保密風(fēng)險
優(yōu)先考慮公司敏感信息的隱私和機密性是至關(guān)重要的。請注意����,當(dāng)您使用ChatGPT時,實際上是在與外部實體共享組織數(shù)據(jù)���。人工智能模型處理這些數(shù)據(jù)以生成所需的輸出�����,這可能導(dǎo)致意外地將敏感信息暴露給第三方����。
您可以始終決定不允許ChatGPT將企業(yè)數(shù)據(jù)用于培訓(xùn)目的��。然而���,即使在這種情況下����,您與ChatGPT分享的任何公司數(shù)據(jù)都將通過互聯(lián)網(wǎng)發(fā)送�,并可能存儲在某個地方進行處理,以便回答您的問題�。
在將業(yè)務(wù)數(shù)據(jù)輸入ChatGPT之前,請確保您了解人工智能提供商的數(shù)據(jù)存儲���、使用和保留策略�����,并實施強大的數(shù)據(jù)保護措施�。
2. 知識產(chǎn)權(quán)風(fēng)險
當(dāng)與ChatGPT共享信息時,企業(yè)的知識產(chǎn)權(quán)(IP)可能會無意泄露����。為了減輕這種風(fēng)險,請避免與人工智能工具共享專有數(shù)據(jù)��、商業(yè)機密或版權(quán)材料�����。最近的一個突出案例是三星員工在ChatGPT中無意泄露了公司的秘密��。
3. 數(shù)據(jù)合規(guī)風(fēng)險
許多國家都有數(shù)據(jù)保護法規(guī)����,例如歐盟的《通用數(shù)據(jù)保護條例(GDPR)》和《加州消費者隱私法案》(CCPA)。這些法案管理企業(yè)如何收集���、存儲和處理個人信息��。如果您在ChatGPT中無意地分享了個人數(shù)據(jù)��,可能會讓企業(yè)暴露于合規(guī)風(fēng)險上�����。
緩解建議
1.制定使用政策
ChatGPT的使用和可訪問性可以是一把雙刃劍�����,因為它增加了員工濫用或濫用的風(fēng)險�。此外��,員工也可能會被誘惑使用人工智能工具來實現(xiàn)非相關(guān)的目的���。為了解決這些問題�����,必須建立清晰的使用策略和指導(dǎo)方針�,詳細(xì)規(guī)定在使用ChatGPT時可接受和不可接受的行為��。
去年年初以來����,在發(fā)現(xiàn)ChatGPT生成的文本中有疑似商業(yè)機密的情況后,不少科技巨頭已經(jīng)開始提醒自己的員工不要在使用ChatGPT時輸入敏感信息數(shù)據(jù)��。無獨有偶��,微軟也曾表示,只要員工不與ChatGPT分享機密信息����,就可以在工作時使用。
2.教育員工相關(guān)風(fēng)險
人員始終是攻擊鏈中最薄弱的環(huán)節(jié)�,因此對員工進行教育和培訓(xùn)同樣至關(guān)重要。組織必須確保他們了解負(fù)責(zé)任地使用ChatGPT以及濫用ChatGPT的潛在后果�。這包括讓他們意識到數(shù)據(jù)隱私問題、知識產(chǎn)權(quán)風(fēng)險和合規(guī)要求��。
3.利用先進技術(shù)
識別和控制員工提交給ChatGPT的數(shù)據(jù)并非沒有挑戰(zhàn)����。當(dāng)員工在ChatGPT中輸入公司數(shù)據(jù)時,他們不是上傳文件���,而是將內(nèi)容復(fù)制粘貼到他們的網(wǎng)絡(luò)瀏覽器中��。許多安全產(chǎn)品都是圍繞保護文件(被標(biāo)記為機密)不被上傳而設(shè)計的����,但一旦內(nèi)容從文件中復(fù)制出來����,他們將無法跟蹤它�����。
為了提高可見性��,組織應(yīng)該在其安全web網(wǎng)關(guān)(SWG)上實施策略�,以識別人工智能工具的使用�,還可以應(yīng)用數(shù)據(jù)丟失預(yù)防(DLP)策略來識別哪些數(shù)據(jù)被提交給這些工具。
結(jié)語
雖然ChatGPT提供了非凡的功能�����,但理解和管理相關(guān)的安全風(fēng)險是至關(guān)重要的��。通過實施強有力的數(shù)據(jù)保護措施���,遵守數(shù)據(jù)保護法規(guī),保護知識產(chǎn)權(quán)和監(jiān)控員工使用��,組織可以最大限度地降低這些風(fēng)險���,并利用ChatGPT的力量推動業(yè)務(wù)向前發(fā)展�。
