雖然ChatGPT提供了非凡的功能,但理解和管理相關的安全風險是至關重要的。下面,我們概述了一些關鍵問題,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風險提供了建議。
您已經在使用ChatGPT了嗎?或者您正在考慮使用它來簡化操作或改善客戶服務?雖然ChatGPT提供了許多好處,但重要的是,您要意識到與ChatGPT這樣的人工智能工具共享敏感業(yè)務數(shù)據(jù)相關的安全風險。下面,我們概述了一些關鍵問題,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風險提供了建議。
ChatGPT不存儲用戶的輸入數(shù)據(jù),是嗎?
聊天機器人從用戶輸入中記憶和學習的影響可能是深遠的:想象一下,您正在做一場內部演示,其中包含了新的企業(yè)數(shù)據(jù),揭示了一個將在董事會會議上討論的企業(yè)問題。將這些專有信息泄露出去可能會損害股價、消費者態(tài)度和客戶信心。更糟糕的是,議程上的法律事項被泄露可能會使公司承擔真正的責任。但是,僅僅把這些東西輸入聊天機器人中,這些事情真的會發(fā)生嗎?
研究公司Cyberhaven于今年2月就這一問題進行了深入探索,結果指出,如果第三方根據(jù)該高管提供的信息向ChatGPT詢問某些問題,那么輸入ChatGPT的機密數(shù)據(jù)可能會被泄露給第三方。
英國國家網絡安全中心(NCSC)在3月份分享了對此事的進一步見解,指出ChatGPT和其他大型語言模型(LLM)目前不會自動將信息從查詢添加到模型中供其他人查詢。也就是說,在查詢中包含信息不會導致潛在的私有數(shù)據(jù)被合并到LLM中。然而,提供LLM的組織(就ChatGPT而言,指的是OpenAI)將能看到查詢。
這些查詢會被存儲起來,幾乎肯定會在某個時候用于開發(fā)和訓練LLM服務或模型。這可能意味著LLM提供商(或其合作伙伴/承包商)能夠讀取查詢,并可能以某種方式將它們合并到未來的版本中。
2021年6月,來自蘋果、斯坦福大學、谷歌、哈佛大學等的研究人員發(fā)表了一篇論文,揭示了類似于ChatGPT的語言學習模型GPT-2可以準確地從訓練文檔中回憶起敏感信息。
報告發(fā)現(xiàn),GPT-2可以調用具有特定個人標識符的信息,重新創(chuàng)建精確的文本序列,并在提示時提供其他敏感信息。這些“訓練數(shù)據(jù)提取攻擊”可能會對機器學習模型研究人員的安全構成越來越大的威脅,因為黑客可能能夠訪問機器學習研究人員的數(shù)據(jù)并竊取他們受保護的知識產權。
總而言之,我們有理由擔憂與ChatGPT共享敏感業(yè)務數(shù)據(jù)會威脅企業(yè)安全,并造成無法挽回的后果。
與ChatGPT共享敏感數(shù)據(jù)的風險
據(jù)數(shù)據(jù)安全公司Cyberhaven發(fā)布的統(tǒng)計數(shù)據(jù)顯示,平均每家公司每周會向ChatGPT發(fā)布數(shù)百次敏感數(shù)據(jù),涉及客戶或患者信息、源代碼、機密數(shù)據(jù)和監(jiān)管信息等等,這些請求引起了嚴重的網絡安全問題。
【ChatGPT在工作場所使用情況】
對于組織來說,理解并緩解與ChatGPT共享敏感數(shù)據(jù)的風險,以保護其資產、維護客戶信任并遵守法規(guī)要求是至關重要的。具體來說,這些風險涵蓋以下幾點:
1. 數(shù)據(jù)隱私和保密風險
優(yōu)先考慮公司敏感信息的隱私和機密性是至關重要的。請注意,當您使用ChatGPT時,實際上是在與外部實體共享組織數(shù)據(jù)。人工智能模型處理這些數(shù)據(jù)以生成所需的輸出,這可能導致意外地將敏感信息暴露給第三方。
您可以始終決定不允許ChatGPT將企業(yè)數(shù)據(jù)用于培訓目的。然而,即使在這種情況下,您與ChatGPT分享的任何公司數(shù)據(jù)都將通過互聯(lián)網發(fā)送,并可能存儲在某個地方進行處理,以便回答您的問題。
在將業(yè)務數(shù)據(jù)輸入ChatGPT之前,請確保您了解人工智能提供商的數(shù)據(jù)存儲、使用和保留策略,并實施強大的數(shù)據(jù)保護措施。
2. 知識產權風險
當與ChatGPT共享信息時,企業(yè)的知識產權(IP)可能會無意泄露。為了減輕這種風險,請避免與人工智能工具共享專有數(shù)據(jù)、商業(yè)機密或版權材料。最近的一個突出案例是三星員工在ChatGPT中無意泄露了公司的秘密。
3. 數(shù)據(jù)合規(guī)風險
許多國家都有數(shù)據(jù)保護法規(guī),例如歐盟的《通用數(shù)據(jù)保護條例(GDPR)》和《加州消費者隱私法案》(CCPA)。這些法案管理企業(yè)如何收集、存儲和處理個人信息。如果您在ChatGPT中無意地分享了個人數(shù)據(jù),可能會讓企業(yè)暴露于合規(guī)風險上。
緩解建議
1.制定使用政策
ChatGPT的使用和可訪問性可以是一把雙刃劍,因為它增加了員工濫用或濫用的風險。此外,員工也可能會被誘惑使用人工智能工具來實現(xiàn)非相關的目的。為了解決這些問題,必須建立清晰的使用策略和指導方針,詳細規(guī)定在使用ChatGPT時可接受和不可接受的行為。
去年年初以來,在發(fā)現(xiàn)ChatGPT生成的文本中有疑似商業(yè)機密的情況后,不少科技巨頭已經開始提醒自己的員工不要在使用ChatGPT時輸入敏感信息數(shù)據(jù)。無獨有偶,微軟也曾表示,只要員工不與ChatGPT分享機密信息,就可以在工作時使用。
2.教育員工相關風險
人員始終是攻擊鏈中最薄弱的環(huán)節(jié),因此對員工進行教育和培訓同樣至關重要。組織必須確保他們了解負責任地使用ChatGPT以及濫用ChatGPT的潛在后果。這包括讓他們意識到數(shù)據(jù)隱私問題、知識產權風險和合規(guī)要求。
3.利用先進技術
識別和控制員工提交給ChatGPT的數(shù)據(jù)并非沒有挑戰(zhàn)。當員工在ChatGPT中輸入公司數(shù)據(jù)時,他們不是上傳文件,而是將內容復制粘貼到他們的網絡瀏覽器中。許多安全產品都是圍繞保護文件(被標記為機密)不被上傳而設計的,但一旦內容從文件中復制出來,他們將無法跟蹤它。
為了提高可見性,組織應該在其安全web網關(SWG)上實施策略,以識別人工智能工具的使用,還可以應用數(shù)據(jù)丟失預防(DLP)策略來識別哪些數(shù)據(jù)被提交給這些工具。
結語
雖然ChatGPT提供了非凡的功能,但理解和管理相關的安全風險是至關重要的。通過實施強有力的數(shù)據(jù)保護措施,遵守數(shù)據(jù)保護法規(guī),保護知識產權和監(jiān)控員工使用,組織可以最大限度地降低這些風險,并利用ChatGPT的力量推動業(yè)務向前發(fā)展。