ChatGPT這個語言模型原本具備良好的善意,就是幫助人類!聽起來很不錯。但是,AI發展之初目標就是模仿人類大腦的認知機制,沒有道德審查機制。所以不僅是對好人,對網路犯罪分子也是一視同仁服務。因此它可能被刻意誤用,或因意外衍生成惡意,成為對業務及數據的潛在威脅。
當利用ChatGPT幫助企業業務活動,如何對數據安全構成威脅? 並提供企業保護自己的建議方案。
ChatGPT日常業務運營中許多事情的絕佳工具,從回覆電子郵件到數據分析和處理更複雜的任務。甚至可以使用它為企業創建一個聊天機器人,或者整理組織大量數據而不會出汗。聽起來很誘人,其中一些任務人工需要數小時才能完成,而機器人可以在不到一分鐘的時間內完成;也許當你讀到這篇文章時,你是會不會懷疑這是AI寫的文章?
但是,如果使用機器人分析公司的財務資訊這類工作,雖然是一個很節省時間的想法,但可能會很快會適得其反。
為什麼對數據外洩的衝擊,比其他工具更容易被忽視?
在以往討論抵禦外部攻擊手法,防止資訊外洩、APT、內部威脅等。從釣魚社交工程,橫向移動,網路偵查等,取得內部credential,進一步將數據偷走或破壞。聽起來工程浩大,技術刁鑽極盡取巧之能事,而且是偷偷摸摸的潛入避開偵測。由ChatGPT 成為歷史上使用者增長最快應用程式可以看出,使用ChatGPT 則完全是用戶心甘情願地自己掏出去,而且提問內容將來還會成為別人的答案之一。ChatGPT是一個深度學習模型,它被允許從使用者的對話中學習。換句話說,你們的談話並不會僅止於在你們兩個之間。
信息永遠存在於生成式AI平臺,並繼續成為回應資訊
來自現實生活中的情況,很容易導致 ChatGPT的數據洩露,其中部分來自三星的調查結果,過度依賴AI和ChatGPT會導致忽視數據安全的重要檢討手段,例如內容審查機制和驗證。
最近有報導稱,該公司半導體集團的一組工程師,將原始程式碼輸入到ChatGPT中,以檢視正在開發的新功能的程式碼是否可以提高效率。這看起來也很正常,研發會將部分程式碼提出到開發社群中討論,以驗證新開發的效能與有效性。而ChatGPT 和其他生成式 AI 工具,透過保留輸入數據來製作訓練自己的數據;輸入的原始碼現在可用於制定對其他使用者詢問的回應。這包括刻意尋找漏洞的威脅,與專找特定既有訊息的競爭對手。
組織需要注意的不僅僅是原始程式碼。在另一案例中,該組織高管使用 ChatGPT 將內部會議的筆記轉換為簡報檔。如果來自競爭公司的一位有企圖心的高管,刻意向 ChatGPT 詢問該組織的業務戰略會如何? 這些內部會議記錄中的資訊,可能會用於制作成該諮詢回應 ,這使得該公司的數據置於暴露的風險之中。
現有工具有所侷限
不幸的是,現有的數據外洩防護(DLP)、雲端存取安全代理(CASB)和其他內部威脅解決方案,無法分辨這項新技術與一般網頁瀏覽的細微差別。這些解決方案仍舊採用檢測事件和回應方法,在流向組織外部的大量流量中尋找關鍵字。這些內容通常必須由安全專業人員和數據擁有者手動輸入。因此幾乎不可能涵蓋所有內容。即使解決方案檢測到數據洩露,也可能為時已晚。信息已輸入,沒有“Undo”機制可以將其收回。
組織需要防止資訊被輸入到這些生成式人工智慧平臺和聊天機器人中,但要以一種不妨礙員工使用這些有用工具的方式。比如可以限制複製&貼上的內容來做到這一點,如限制字元數量或阻止已知部分代碼貼上。沒有人會手動輸入數千行原始程式碼,因此限制貼上數量功能可以有效地防止這種類型的數據外洩,而且還會讓使用者對他們試圖輸入的資訊三思而後行。
然而更最重要的是,組織應該從端點設備上的瀏覽器,限制與ChatGPT和其他生成AI平臺的交互連結。還可以應用其他安全控制,例如事件活動記錄或啟動瀏覽器記錄,條件式錄影等安全策略,以幫助解決控制外洩和事後分析。最後一道防線是舉證,對內部人員造成的違規行為的調查,必須提供意圖證明。記錄剪貼簿事件和瀏覽器連線記錄可以提供足夠的可見性和透明度,及證據力,以協助瞭解使用者是惡意的還是疏忽的。
歸結現有的數據防外洩工具,將用戶端瀏覽器控制,複製貼上(剪貼簿)的控制預防方法,增強現有的文字內容檢測能力,成為防止此類大規模數據外洩提供第一道防線。知道他們受到保護,這將使您的員工幾乎可以自由支配利用這些創新工具的優勢,提高生產力並獲得業務敏捷性。