专家评三星机密泄露:ChatGPT能够从对话中获取数据并添加训练库
出品|搜狐科技
作者|郑松毅
编辑|杨锦
近日,三星电子在启用ChatGPT不到一个月内就出现了多起由于使用ChatGPT引发的数据安全事故,涉及泄漏半导体设备测量资料、产品良率、会议纪要等机密信息。
在ChatGPT等AI应用被广泛使用的时代,如何使AI工具成为安全可靠的帮手,而不是“定时炸弹”,成为了人们关心的话题。
据悉,三星电子从今年3月11日才允许部分非敏感部门员工使用ChatGPT,而对装置体验部等敏感部门仍保持禁用ChatGPT。一方面三星电子希望通过ChatGPT辅助员工提高工作效率,另一方面又不想泄露机密。
然而,三星电子在启用ChatGPT后短短一个月内,引发了多起数据事故,其中包括:
1. 三星电子设备解决方案部门的员工,在操作半导体测试的过程中,将问题代码复制到ChatGPT中寻找解决方案,ChatGPT可能随即将半导体测试数据抓取到了训练库中。
2. 三星电子在优化芯片良率的过程中,将现有代码直接放到了ChatGPT中去寻求优化方案,涉及芯片良率的机密代码随即可能暴露在了ChatGPT数据库中。
3. 三星电子员工曾想利用ChatGPT做会议纪要,然而会议内容、会议嘉宾等信息也很可能通过ChatGPT外泄。
三星电子相关负责人表示,该公司正在制定数据安全保护措施,如限制与ChatGPT沟通的话题、每个内容上传量不能超过1024 bytes。并表示,如果此类事件再次发生,或重新考虑企业内部禁用ChatGPT。
据了解,被ChatGPT“偷听”企业数据的远不止三星电子一家。根据数据分析服务提供商Cyberhaven统计,160万使用ChatGPT的员工中3.1%的打工人都会将企业内部数据交给ChatGPT分析。光是一天内,每10万员工就平均给ChatGPT发送了5267次企业数据,这些数据中11%涉及敏感信息。
那么企业该如何防止ChatGPT泄密呢?一位网络信息安全专业人士告诉搜狐科技,企业用户访问后,ChatGPT确实有能力从对话信息中获取数据并添加至训练库,ChatGPT究竟会不会这么做不得而知,但至少目前还没有做触碰底线的事。该人士指出,造成数据泄露有以下几方面原因:
1. 不管是什么规模的公司一定都是有数据保护机制的,但不同企业的业务重心不同,因此数据保护的重点方向也不同,很可能对新AI技术的防范度不够;
2. 此外,AI应用普及初期普通员工可能会注意不到向AI提问会造成敏感数据泄漏,非安全从业者大多数安全意识较弱;
3. 对于安全管理人员来讲,是管理上的疏忽,未对内部员工进行保密培训,说明敏感信息特征等,也没有对员工使用ChatGPT可能会造成的后果做到未雨绸缪。
该人士表示,应对ChatGPT泄密的行为有以下几种解决方法:
1. 对使用ChatGPT类产品进行必要的限制:通过企业设置防火墙、配置访问规则的方法限制核心部门员工对于ChatGPT类产品的访问。配置完成后,如果检测到有访问该域名的网站,防火墙将进行拦截。此外,企业内部应对员工与ChatGPT类产品对话内容进行限制,成立专管部门来监测员工使用ChatGPT情况;
2. 禁止使用API(应用程序编程接口)将ChatGPT接入公司内部知识库:将ChatGPT接入企业内部知识库虽可提高内部知识共享能力及对外客户服务的效率,但仍存在很大的数据外泄风险,所以对于企业内部知识库要分类管理,公开可访问的知识库可接入ChatGPT,涉及机密信息的知识库则严禁接入;
3. 设立保密培训,警示风险:企业应定期组织保密培训,说明敏感数据的分类和特征,让普通员工意识到泄露数据的严重性,同时提高管理者对于信息安全的重视程度,从而设立更完整的监管机制;
4. 企业可建立内部的ChatGPT模型,从根源上解决数据访问隐患的问题:这样一来,数据访问的记录及产生的数据都会在企业自己的内网服务器中,同时需要定期对软件程序进行更新,针对系统漏洞及时修复,从而防止外部侵入者访问;
信息数据安全问题伴随着AI应用蔓延发展而愈演愈烈,数据收集、储存、使用等过程都需要透明、完善的监管机制来保驾护航。企业将如何在利用ChatGPT这把“双刃剑”的同时化解安全隐私难题,值得业界共同关注。