雖然ChatGPT提供了非凡的功能,但理解和管理相關(guān)的安全風(fēng)險(xiǎn)是至關(guān)重要的����。下面,我們概述了一些關(guān)鍵問題�,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險(xiǎn)提供了建議��。
您已經(jīng)在使用ChatGPT了嗎�����?或者您正在考慮使用它來簡(jiǎn)化操作或改善客戶服務(wù)�?雖然ChatGPT提供了許多好處,但重要的是�����,您要意識(shí)到與ChatGPT這樣的人工智能工具共享敏感業(yè)務(wù)數(shù)據(jù)相關(guān)的安全風(fēng)險(xiǎn)。下面�,我們概述了一些關(guān)鍵問題,并就如何降低與ChatGPT共享公司數(shù)據(jù)的風(fēng)險(xiǎn)提供了建議�。
ChatGPT不存儲(chǔ)用戶的輸入數(shù)據(jù),是嗎�����?
聊天機(jī)器人從用戶輸入中記憶和學(xué)習(xí)的影響可能是深遠(yuǎn)的:想象一下�����,您正在做一場(chǎng)內(nèi)部演示�,其中包含了新的企業(yè)數(shù)據(jù),揭示了一個(gè)將在董事會(huì)會(huì)議上討論的企業(yè)問題���。將這些專有信息泄露出去可能會(huì)損害股價(jià)���、消費(fèi)者態(tài)度和客戶信心。更糟糕的是�,議程上的法律事項(xiàng)被泄露可能會(huì)使公司承擔(dān)真正的責(zé)任。但是,僅僅把這些東西輸入聊天機(jī)器人中��,這些事情真的會(huì)發(fā)生嗎�����?
研究公司Cyberhaven于今年2月就這一問題進(jìn)行了深入探索�,結(jié)果指出�����,如果第三方根據(jù)該高管提供的信息向ChatGPT詢問某些問題����,那么輸入ChatGPT的機(jī)密數(shù)據(jù)可能會(huì)被泄露給第三方。
英國國家網(wǎng)絡(luò)安全中心(NCSC)在3月份分享了對(duì)此事的進(jìn)一步見解����,指出ChatGPT和其他大型語言模型(LLM)目前不會(huì)自動(dòng)將信息從查詢添加到模型中供其他人查詢。也就是說��,在查詢中包含信息不會(huì)導(dǎo)致潛在的私有數(shù)據(jù)被合并到LLM中�。然而,提供LLM的組織(就ChatGPT而言�,指的是OpenAI)將能看到查詢。
這些查詢會(huì)被存儲(chǔ)起來��,幾乎肯定會(huì)在某個(gè)時(shí)候用于開發(fā)和訓(xùn)練LLM服務(wù)或模型。這可能意味著LLM提供商(或其合作伙伴/承包商)能夠讀取查詢�����,并可能以某種方式將它們合并到未來的版本中���。
2021年6月����,來自蘋果�、斯坦福大學(xué)、谷歌�、哈佛大學(xué)等的研究人員發(fā)表了一篇論文,揭示了類似于ChatGPT的語言學(xué)習(xí)模型GPT-2可以準(zhǔn)確地從訓(xùn)練文檔中回憶起敏感信息�����。
報(bào)告發(fā)現(xiàn)��,GPT-2可以調(diào)用具有特定個(gè)人標(biāo)識(shí)符的信息�����,重新創(chuàng)建精確的文本序列,并在提示時(shí)提供其他敏感信息�。這些“訓(xùn)練數(shù)據(jù)提取攻擊”可能會(huì)對(duì)機(jī)器學(xué)習(xí)模型研究人員的安全構(gòu)成越來越大的威脅,因?yàn)楹诳涂赡苣軌蛟L問機(jī)器學(xué)習(xí)研究人員的數(shù)據(jù)并竊取他們受保護(hù)的知識(shí)產(chǎn)權(quán)��。
總而言之�,我們有理由擔(dān)憂與ChatGPT共享敏感業(yè)務(wù)數(shù)據(jù)會(huì)威脅企業(yè)安全,并造成無法挽回的后果��。
與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險(xiǎn)
據(jù)數(shù)據(jù)安全公司Cyberhaven發(fā)布的統(tǒng)計(jì)數(shù)據(jù)顯示�����,平均每家公司每周會(huì)向ChatGPT發(fā)布數(shù)百次敏感數(shù)據(jù)�����,涉及客戶或患者信息���、源代碼、機(jī)密數(shù)據(jù)和監(jiān)管信息等等�����,這些請(qǐng)求引起了嚴(yán)重的網(wǎng)絡(luò)安全問題���。
【ChatGPT在工作場(chǎng)所使用情況】
對(duì)于組織來說�,理解并緩解與ChatGPT共享敏感數(shù)據(jù)的風(fēng)險(xiǎn),以保護(hù)其資產(chǎn)��、維護(hù)客戶信任并遵守法規(guī)要求是至關(guān)重要的�。具體來說,這些風(fēng)險(xiǎn)涵蓋以下幾點(diǎn):
1. 數(shù)據(jù)隱私和保密風(fēng)險(xiǎn)
優(yōu)先考慮公司敏感信息的隱私和機(jī)密性是至關(guān)重要的�����。請(qǐng)注意�����,當(dāng)您使用ChatGPT時(shí)�����,實(shí)際上是在與外部實(shí)體共享組織數(shù)據(jù)���。人工智能模型處理這些數(shù)據(jù)以生成所需的輸出����,這可能導(dǎo)致意外地將敏感信息暴露給第三方�����。
您可以始終決定不允許ChatGPT將企業(yè)數(shù)據(jù)用于培訓(xùn)目的。然而��,即使在這種情況下�����,您與ChatGPT分享的任何公司數(shù)據(jù)都將通過互聯(lián)網(wǎng)發(fā)送����,并可能存儲(chǔ)在某個(gè)地方進(jìn)行處理��,以便回答您的問題���。
在將業(yè)務(wù)數(shù)據(jù)輸入ChatGPT之前���,請(qǐng)確保您了解人工智能提供商的數(shù)據(jù)存儲(chǔ)、使用和保留策略����,并實(shí)施強(qiáng)大的數(shù)據(jù)保護(hù)措施。
2. 知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)
當(dāng)與ChatGPT共享信息時(shí)�����,企業(yè)的知識(shí)產(chǎn)權(quán)(IP)可能會(huì)無意泄露。為了減輕這種風(fēng)險(xiǎn)���,請(qǐng)避免與人工智能工具共享專有數(shù)據(jù)�����、商業(yè)機(jī)密或版權(quán)材料��。最近的一個(gè)突出案例是三星員工在ChatGPT中無意泄露了公司的秘密�����。
3. 數(shù)據(jù)合規(guī)風(fēng)險(xiǎn)
許多國家都有數(shù)據(jù)保護(hù)法規(guī)�,例如歐盟的《通用數(shù)據(jù)保護(hù)條例(GDPR)》和《加州消費(fèi)者隱私法案》(CCPA)�。這些法案管理企業(yè)如何收集、存儲(chǔ)和處理個(gè)人信息��。如果您在ChatGPT中無意地分享了個(gè)人數(shù)據(jù)���,可能會(huì)讓企業(yè)暴露于合規(guī)風(fēng)險(xiǎn)上�����。
緩解建議
1.制定使用政策
ChatGPT的使用和可訪問性可以是一把雙刃劍��,因?yàn)樗黾恿藛T工濫用或?yàn)E用的風(fēng)險(xiǎn)���。此外�����,員工也可能會(huì)被誘惑使用人工智能工具來實(shí)現(xiàn)非相關(guān)的目的���。為了解決這些問題,必須建立清晰的使用策略和指導(dǎo)方針���,詳細(xì)規(guī)定在使用ChatGPT時(shí)可接受和不可接受的行為�。
去年年初以來����,在發(fā)現(xiàn)ChatGPT生成的文本中有疑似商業(yè)機(jī)密的情況后�����,不少科技巨頭已經(jīng)開始提醒自己的員工不要在使用ChatGPT時(shí)輸入敏感信息數(shù)據(jù)��。無獨(dú)有偶,微軟也曾表示����,只要員工不與ChatGPT分享機(jī)密信息,就可以在工作時(shí)使用�����。
2.教育員工相關(guān)風(fēng)險(xiǎn)
人員始終是攻擊鏈中最薄弱的環(huán)節(jié)����,因此對(duì)員工進(jìn)行教育和培訓(xùn)同樣至關(guān)重要。組織必須確保他們了解負(fù)責(zé)任地使用ChatGPT以及濫用ChatGPT的潛在后果��。這包括讓他們意識(shí)到數(shù)據(jù)隱私問題�、知識(shí)產(chǎn)權(quán)風(fēng)險(xiǎn)和合規(guī)要求。
3.利用先進(jìn)技術(shù)
識(shí)別和控制員工提交給ChatGPT的數(shù)據(jù)并非沒有挑戰(zhàn)����。當(dāng)員工在ChatGPT中輸入公司數(shù)據(jù)時(shí),他們不是上傳文件�,而是將內(nèi)容復(fù)制粘貼到他們的網(wǎng)絡(luò)瀏覽器中。許多安全產(chǎn)品都是圍繞保護(hù)文件(被標(biāo)記為機(jī)密)不被上傳而設(shè)計(jì)的���,但一旦內(nèi)容從文件中復(fù)制出來���,他們將無法跟蹤它�����。
為了提高可見性�����,組織應(yīng)該在其安全web網(wǎng)關(guān)(SWG)上實(shí)施策略��,以識(shí)別人工智能工具的使用�����,還可以應(yīng)用數(shù)據(jù)丟失預(yù)防(DLP)策略來識(shí)別哪些數(shù)據(jù)被提交給這些工具�。
結(jié)語
雖然ChatGPT提供了非凡的功能��,但理解和管理相關(guān)的安全風(fēng)險(xiǎn)是至關(guān)重要的����。通過實(shí)施強(qiáng)有力的數(shù)據(jù)保護(hù)措施�,遵守?cái)?shù)據(jù)保護(hù)法規(guī),保護(hù)知識(shí)產(chǎn)權(quán)和監(jiān)控員工使用����,組織可以最大限度地降低這些風(fēng)險(xiǎn)�����,并利用ChatGPT的力量推動(dòng)業(yè)務(wù)向前發(fā)展���。
