در نوامبر 2022، OpenAI ChatGPT، یک ابزار هوش مصنوعی مولد (GAI) را منتشر کرد که از آن زمان طوفانی جهان را به خود جلب کرده است. تنها دو ماه پس از راه اندازی، بیش از 100 میلیون کاربر داشت که آن را به “سریع ترین برنامه مصرف کننده در حال رشد در تاریخ” تبدیل کرد. و ChatGPT تنها نیست.
در حالی که هر فناوری جدید خطراتی را به همراه دارد، به این معنی نیست که خطرات کاملاً جدید هستند. در واقع، شرکتها ممکن است متوجه شوند که بسیاری از افراد، فرآیندها و فناوریها را برای کاهش خطرات ابزارهای GAI در اختیار دارند، اما باید آنها را طوری تنظیم کنند که این دسته فناوری جدید را شامل شود.
که گفته شد، شرکت ها نباید فرض کرد آنها قبلاً از این خطرات محافظت می شوند. در عوض، آنها باید عمدی باشد در کاهش ریسک آنها
چگونه ممکن است GAI اطلاعات حساس را به خطر بیندازد؟
اکثر ابزارهای GAI برای دریافت یک «پست» از کاربر طراحی شدهاند که ممکن است متن، فایل متنی، تصویر، صدای زنده یا ضبطشده، ویدیو یا ترکیبی از آنها را وارد یا جایگذاری کند و سپس اقدامی را بر اساس آنها انجام دهد. اعلان مورد استفاده برای مثال، ChatGPT میتواند محتوای یک درخواست را خلاصه کند (“این یادداشتهای جلسه را خلاصه کنید…”) و کد منبع را اشکالزدایی کند (“مشکل این کد را شناسایی کنید…”). خطر این است که این اعلانها میتوانند توسط ابزار GAI بررسی شوند. توسعه دهندگان و ممکن است برای آموزش نسخه بعدی ابزار استفاده شود. در مورد ابزارهای عمومی، اعلانها بخشی از خود مدل زبان میشوند و محتوا و دادههایی را که در غیر این صورت نداشت به آن میدهند. اگر این درخواستها فقط شامل اطلاعاتی باشند که قبلاً عمومی هستند، ممکن است خطر کمی وجود داشته باشد. با این حال، در مثال بالا، اگر یادداشتهای جلسه شامل اطلاعات حساس میشد یا کد منبع اختصاصی بود، این دادههای محرمانه اکنون کنترل تیم امنیتی را ترک کرده و به طور بالقوه تعهدات رعایت و حفاظت از مالکیت معنوی را به خطر میاندازد.
در شدیدترین شرایط، ورودی یک نفر ممکن است به خروجی شخص دیگری تبدیل شود.
و این فقط نظری نیست.
در ژانویه 2023، آمازون پس از اینکه متوجه شد نتایج ChatGPT «تقلید از دادههای داخلی آمازون» است، یک ارتباط داخلی برای محدود کردن استفاده از ChatGPT صادر کرد. و در حالی که داده های اولیه مورد استفاده برای آموزش ChatGPT در سال 2021 جمع آوری نشد، آموزش ChatGPT انجام نشده است. در واقع، در آینده، زمانی که یک مهندس برای بهینهسازی کد منبع خود درخواست کمک میکند، ممکن است مانند دادههای اختصاصی بخش نیمه هادی سامسونگ به نظر برسد.
با یک گزارش که نشان میدهد دو سوم مشاغل میتوانند حداقل تا حدی توسط ابزارهای GAI خودکار شوند، چه اطلاعات حساس دیگری ممکن است به عنوان دادههای آموزشی استفاده شود؟
این همه در تعادل است
یک رویکرد عمدی و متعادل بین افراد، فرآیندها و فناوری تنها راه کاهش واقعی خطر نشت داده ها از طریق ابزار GAI است.
ذینفعان خود را جمع آوری کنید
با گردآوری ذینفعان اصلی خود شروع کنید: منابع انسانی، حقوقی، فناوری اطلاعات و امنیت برای تعریف خط مشی ها و رویه ها برای استفاده از ابزار GAI در راستای راهنمایی های اجرایی.
- چه کسی می تواند از آن استفاده کند؟
- چه چیزی می تواند به عنوان ورودی استفاده شود؟
- چگونه می توان از خروجی استفاده کرد؟
برخی از شرکتها، مانند آمازون، استفاده از ابزار GAI را تا زمانی که کارکنانشان مراقب باشند، مجاز میدانند. دیگران، مانند سامسونگ، تصمیم گرفته اند استفاده از آن را به طور کامل ممنوع کنند.
ارتباط برقرار کنید و آموزش دهید
- در خط مشی استفاده قابل قبول خود راهنمایی صریح ارائه دهید
- نیاز به آموزش فعال در مورد خطرات مرتبط با استفاده از ابزار GAI
- به کارمندان اجازه دهید بدانند در مورد استفاده صحیح و نحوه گزارش استفاده نادرست به کجا می توانند برای کمک مراجعه کنند
توقف، محتوی و تصحیح
- نظارت بر فعالیت کارکنان با ابزارهای GAI غیرقابل اعتماد
- فعالیت چسباندن را در ابزارهای GAI تأیید نشده مسدود کنید
- ایجاد هشدار برای آپلود فایل به ابزار GAI
- با آموزش در زمان واقعی برای آن دسته از کارمندانی که اشتباه می کنند پاسخ دهید
بسیاری از خطرات ابزارهای GAI جدید نیستند، و سازمانها با رویکردی عمدی و جامع، خطر ابزار GAI را بدون از دست دادن شتاب احتمالی کاهش میدهند.
آیا آماده اید تا یاد بگیرید که چگونه شرکت شما می تواند بدون عقب ماندن از خود محافظت کند؟
اگر چنین است، ممکن است آماده راهاندازی یک مشاوره رایگان با مشاوران ریسک داخلی ما باشید. ابزارها و راهنماییهای لازم برای ایجاد یک برنامه تهدید داخلی شفاف، پایدار و قابل اندازهگیری را دریافت خواهید کرد. فقط این فرم را پر کنید و ما با شما تماس خواهیم گرفت.
پست آیا اطلاعات شما از طریق ChatGPT درز می کند؟ اولین بار در Code42 ظاهر شد.
*** این یک وبلاگ مشترک شبکه بلاگرهای امنیتی از Code42 است که توسط Code42 نوشته شده است. پست اصلی را در: