安全動態(tài)

警惕:與 ChatGPT 共享業(yè)務(wù)數(shù)據(jù)可能十分危險

來源:聚銘網(wǎng)絡(luò)    發(fā)布時間:2024-07-19    瀏覽次數(shù):
 
雖然ChatGPT提供了非凡的功能,但理解和管理相關(guān)的安全風(fēng)險是至關(guān)重要的。下面,我們概述了一些關(guān)鍵問題,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險提供了建議。

您已經(jīng)在使用ChatGPT了嗎?或者您正在考慮使用它來簡化操作或改善客戶服務(wù)?雖然ChatGPT提供了許多好處,但重要的是,您要意識到與ChatGPT這樣的人工智能工具共享敏感業(yè)務(wù)數(shù)據(jù)相關(guān)的安全風(fēng)險。下面,我們概述了一些關(guān)鍵問題,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險提供了建議。

ChatGPT不存儲用戶的輸入數(shù)據(jù),是嗎?

聊天機器人從用戶輸入中記憶和學(xué)習(xí)的影響可能是深遠(yuǎn)的:想象一下,您正在做一場內(nèi)部演示,其中包含了新的企業(yè)數(shù)據(jù),揭示了一個將在董事會會議上討論的企業(yè)問題。將這些專有信息泄露出去可能會損害股價、消費者態(tài)度和客戶信心。更糟糕的是,議程上的法律事項被泄露可能會使公司承擔(dān)真正的責(zé)任。但是,僅僅把這些東西輸入聊天機器人中,這些事情真的會發(fā)生嗎?

研究公司Cyberhaven于今年2月就這一問題進(jìn)行了深入探索,結(jié)果指出,如果第三方根據(jù)該高管提供的信息向ChatGPT詢問某些問題,那么輸入ChatGPT的機密數(shù)據(jù)可能會被泄露給第三方。

英國國家網(wǎng)絡(luò)安全中心(NCSC)在3月份分享了對此事的進(jìn)一步見解,指出ChatGPT和其他大型語言模型(LLM)目前不會自動將信息從查詢添加到模型中供其他人查詢。也就是說,在查詢中包含信息不會導(dǎo)致潛在的私有數(shù)據(jù)被合并到LLM中。然而,提供LLM的組織(就ChatGPT而言,指的是OpenAI)將能看到查詢。

這些查詢會被存儲起來,幾乎肯定會在某個時候用于開發(fā)和訓(xùn)練LLM服務(wù)或模型。這可能意味著LLM提供商(或其合作伙伴/承包商)能夠讀取查詢,并可能以某種方式將它們合并到未來的版本中。

2021年6月,來自蘋果、斯坦福大學(xué)、谷歌、哈佛大學(xué)等的研究人員發(fā)表了一篇論文,揭示了類似于ChatGPT的語言學(xué)習(xí)模型GPT-2可以準(zhǔn)確地從訓(xùn)練文檔中回憶起敏感信息。

報告發(fā)現(xiàn),GPT-2可以調(diào)用具有特定個人標(biāo)識符的信息,重新創(chuàng)建精確的文本序列,并在提示時提供其他敏感信息。這些“訓(xùn)練數(shù)據(jù)提取攻擊”可能會對機器學(xué)習(xí)模型研究人員的安全構(gòu)成越來越大的威脅,因為黑客可能能夠訪問機器學(xué)習(xí)研究人員的數(shù)據(jù)并竊取他們受保護(hù)的知識產(chǎn)權(quán)。

總而言之,我們有理由擔(dān)憂與ChatGPT共享敏感業(yè)務(wù)數(shù)據(jù)會威脅企業(yè)安全,并造成無法挽回的后果。

與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險

據(jù)數(shù)據(jù)安全公司Cyberhaven發(fā)布的統(tǒng)計數(shù)據(jù)顯示,平均每家公司每周會向ChatGPT發(fā)布數(shù)百次敏感數(shù)據(jù),涉及客戶或患者信息、源代碼、機密數(shù)據(jù)和監(jiān)管信息等等,這些請求引起了嚴(yán)重的網(wǎng)絡(luò)安全問題。

【ChatGPT在工作場所使用情況】

對于組織來說,理解并緩解與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險,以保護(hù)其資產(chǎn)、維護(hù)客戶信任并遵守法規(guī)要求是至關(guān)重要的。具體來說,這些風(fēng)險涵蓋以下幾點:

1. 數(shù)據(jù)隱私和保密風(fēng)險

優(yōu)先考慮公司敏感信息的隱私和機密性是至關(guān)重要的。請注意,當(dāng)您使用ChatGPT時,實際上是在與外部實體共享組織數(shù)據(jù)。人工智能模型處理這些數(shù)據(jù)以生成所需的輸出,這可能導(dǎo)致意外地將敏感信息暴露給第三方。

您可以始終決定不允許ChatGPT將企業(yè)數(shù)據(jù)用于培訓(xùn)目的。然而,即使在這種情況下,您與ChatGPT分享的任何公司數(shù)據(jù)都將通過互聯(lián)網(wǎng)發(fā)送,并可能存儲在某個地方進(jìn)行處理,以便回答您的問題。

在將業(yè)務(wù)數(shù)據(jù)輸入ChatGPT之前,請確保您了解人工智能提供商的數(shù)據(jù)存儲、使用和保留策略,并實施強大的數(shù)據(jù)保護(hù)措施。

2. 知識產(chǎn)權(quán)風(fēng)險

當(dāng)與ChatGPT共享信息時,企業(yè)的知識產(chǎn)權(quán)(IP)可能會無意泄露。為了減輕這種風(fēng)險,請避免與人工智能工具共享專有數(shù)據(jù)、商業(yè)機密或版權(quán)材料。最近的一個突出案例是三星員工在ChatGPT中無意泄露了公司的秘密。

3. 數(shù)據(jù)合規(guī)風(fēng)險

許多國家都有數(shù)據(jù)保護(hù)法規(guī),例如歐盟的《通用數(shù)據(jù)保護(hù)條例(GDPR)》和《加州消費者隱私法案》(CCPA)。這些法案管理企業(yè)如何收集、存儲和處理個人信息。如果您在ChatGPT中無意地分享了個人數(shù)據(jù),可能會讓企業(yè)暴露于合規(guī)風(fēng)險上。

緩解建議

1.制定使用政策

ChatGPT的使用和可訪問性可以是一把雙刃劍,因為它增加了員工濫用或濫用的風(fēng)險。此外,員工也可能會被誘惑使用人工智能工具來實現(xiàn)非相關(guān)的目的。為了解決這些問題,必須建立清晰的使用策略和指導(dǎo)方針,詳細(xì)規(guī)定在使用ChatGPT時可接受和不可接受的行為。

去年年初以來,在發(fā)現(xiàn)ChatGPT生成的文本中有疑似商業(yè)機密的情況后,不少科技巨頭已經(jīng)開始提醒自己的員工不要在使用ChatGPT時輸入敏感信息數(shù)據(jù)。無獨有偶,微軟也曾表示,只要員工不與ChatGPT分享機密信息,就可以在工作時使用。

2.教育員工相關(guān)風(fēng)險

人員始終是攻擊鏈中最薄弱的環(huán)節(jié),因此對員工進(jìn)行教育和培訓(xùn)同樣至關(guān)重要。組織必須確保他們了解負(fù)責(zé)任地使用ChatGPT以及濫用ChatGPT的潛在后果。這包括讓他們意識到數(shù)據(jù)隱私問題、知識產(chǎn)權(quán)風(fēng)險和合規(guī)要求。

3.利用先進(jìn)技術(shù)

識別和控制員工提交給ChatGPT的數(shù)據(jù)并非沒有挑戰(zhàn)。當(dāng)員工在ChatGPT中輸入公司數(shù)據(jù)時,他們不是上傳文件,而是將內(nèi)容復(fù)制粘貼到他們的網(wǎng)絡(luò)瀏覽器中。許多安全產(chǎn)品都是圍繞保護(hù)文件(被標(biāo)記為機密)不被上傳而設(shè)計的,但一旦內(nèi)容從文件中復(fù)制出來,他們將無法跟蹤它。

為了提高可見性,組織應(yīng)該在其安全web網(wǎng)關(guān)(SWG)上實施策略,以識別人工智能工具的使用,還可以應(yīng)用數(shù)據(jù)丟失預(yù)防(DLP)策略來識別哪些數(shù)據(jù)被提交給這些工具。

結(jié)語

雖然ChatGPT提供了非凡的功能,但理解和管理相關(guān)的安全風(fēng)險是至關(guān)重要的。通過實施強有力的數(shù)據(jù)保護(hù)措施,遵守數(shù)據(jù)保護(hù)法規(guī),保護(hù)知識產(chǎn)權(quán)和監(jiān)控員工使用,組織可以最大限度地降低這些風(fēng)險,并利用ChatGPT的力量推動業(yè)務(wù)向前發(fā)展。

 
 

上一篇:中央網(wǎng)信辦啟動“清朗·2024年暑期未成年人網(wǎng)絡(luò)環(huán)境整治”專項行動

下一篇:2024年7月19日聚銘安全速遞