Изтичане на данни от ChatGPT се случва, когато чувствителна или поверителна информация бъде неволно разкрита чрез взаимодействия с платформата ChatGPT. Тези течове могат да произтичат от потребителски грешки, пробиви в backend-а или дефектни разрешения на плъгини. Без подходящи мерки за сигурност, тези течове могат да доведат до сериозни рискове за сигурността на данните за предприятията и да доведат до нарушения на съответствието, загуба на интелектуална собственост и щети за репутацията.

Разбиране на изтичането на данни от ChatGPT

Изтичане на данни от ChatGPT се случва, когато чувствителна или поверителна информация бъде неволно разкрита чрез платформата с изкуствен интелект. Това може да се случи по три начина:

  • Течове от страна на потребителяСлужителите могат да поставят чувствителни данни като изходен код, лична информация или вътрешни документи в ChatGPT, без да осъзнават, че тези данни могат да напуснат защитената среда на компанията. Това е най-често срещаният вид изтичане на данни в ChatGPT.
  • Течове от страната на платформатаМакар и рядко, уязвимостите в самия ChatGPT (като грешката в Redis от март 2023 г.) могат да доведат до неволно разкриване на данни на други потребители.
  • Рискови взаимодействия с плъгини: Плъгините за ChatGPT на трети страни могат да имат достъп до потребителски подкани и да ги предават, което потенциално може да изложи корпоративни данни на непроверени външни системи. Тъй като работят извън корпоративните контроли за сигурност, тези плъгини могат да представляват сериозни рискове за поверителността.

Тъй като генеративните инструменти с изкуствен интелект, като ChatGPT, се вграждат все повече в корпоративните работни процеси, потенциалът за излагане на данни, свързани с изкуствен интелект, нараства, особено когато използването им не е наблюдавано или управлявано. Без подходящи предпазни мерки, служителите могат несъзнателно да заобиколят вътрешните протоколи за сигурност, което води до рискове за поверителността на ChatGPT. Това подчертава значението на управлението, сигурните политики за използване на изкуствен интелект и прозрачността на начина, по който данните се обработват в рамките на тези инструменти.

Често срещани причини за изтичане на данни от ChatGPT

1. Неволно въвеждане на чувствителни данни от потребители

Служителите често поставят поверителни или чувствителни данни в ChatGPT, за да ускорят работата си. Това може да включва лична информация (PII), вътрешни документи, клиентски записи, собствен код или финансови данни. В много случаи това поведение не е злонамерено, но произтича от липса на осведоменост за това как генеративните AI платформи обработват, съхраняват или потенциално използват повторно входни данни.

Пример:
Маркетинг мениджър поставя продуктова пътна карта за следващото тримесечие в ChatGPT, за да ѝ помогне да я преформулира в съобщение за клиента. Данните, въведени във външен инструмент, вече не са защитени от корпоративните политики и могат да се съхраняват или обработват извън видимостта на ИТ отдела.

Корпоративен риск:
Този вход може да се съхранява, обработва извън границите на съответствие или дори да се регистрира от инфраструктура на трети страни. Тези действия от страна на потребителя могат да доведат до нарушения на регулаторните разпоредби (напр. GDPR, HIPAA) и изтичане на IP. Повечето стари DLP системи не могат да открият подобно използване, което го прави тих риск за данните, генериращ изкуствен интелект.

2. Течове от сесията на ChatGPT

Изтичане на данни от ChatGPT сесия възниква, когато грешка в платформата случайно разкрие историята или данните на разговорите на един потребител на друг потребител. Тези инциденти са особено опасни, защото се случват без намерение от страна на потребителя и често остават незабелязани.

Пример:

През март 2023 г., грешка в Redis в ChatGPT доведе до това някои потребители да виждат заглавията на чатовете на други потребители и частични разговори в историята си. Същата грешка разкри данни за плащания, включително имейл адреси и последните четири цифри на кредитни карти.

Корпоративен риск:

Ако по време на сесия на служител на компания се разкрие информация, като например записи на клиенти или вътрешни документи, това може да доведе до сериозни правни и свързани с съответствието последици, дори ако излагането е било кратко и неволно. Такива инциденти подчертават необходимостта от контрол на ниво платформа, особено при използване на споделени или многопотребителски LLM услуги.

3. Рискован плъгин от трета страна

Плъгините разширяват възможностите на ChatGPT, като позволяват достъп до мрежата, вътрешни файлове или системи на трети страни, но също така въвеждат значителни рискове за сигурността. След като бъдат активирани, плъгинът може да чете съдържанието на подканите и потенциално да го изпраща до външни API или системи за съхранение, често без потребителят да го осъзнава.

Пример:

Финансов анализатор използва плъгин, за да анализира електронна таблица за продажби. Плъгинът качва файла на собствения си сървър за обработка. Без знанието на анализатора, сървърът регистрира файла и го запазва, нарушавайки политиките за съхранение на данните и поверителност.

Корпоративен риск:

Повечето плъгини са създадени от трети страни и може да не преминават през същата проверка за сигурност като вътрешните инструменти. Непровереното използване на плъгини може да доведе до неконтролирано изтичане на данни и да изложи регулирана информация на неизвестни лица, което представлява сериозен риск за генериране на данни от изкуствен интелект за предприятието.

4. Използване на скрит изкуствен интелект без управление

„Сенчестият ИИ“ се отнася до служители, които използват инструменти с ИИ без одобрение или надзор от ИТ отдела. Тези инструменти може да не са проверени, наблюдавани или съобразени с вътрешните политики за съответствие, което ги прави сляпо петно за екипите по сигурност и защита на данните.

Пример:

Екип по продажбите започва да използва потребителска версия на ChatGPT, за да изготвя предложения за клиенти. С течение на времето те започват да въвеждат ценови стратегии, договорни условия и вътрешни показатели за ефективност – нито едно от които не е защитено от DLP инструменти на корпоративните системи.

Корпоративен риск:

Сенчестият изкуствен интелект (AI) се вгражда дълбоко в работните процеси, създавайки проблеми както с обвързването, така и със съответствието. Тъй като няма централизиран контрол, организациите губят видимост върху това какви данни се споделят, къде отиват и дали се използват за обучение на модели на трети страни.

5. Фишинг с изкуствен интелект 

Сега хакерите използват фишинг тактики с изкуствен интелект, като например създаване на фалшиви ChatGPT интерфейси или инструменти, за да подведат служителите да разкрият чувствителна информация. Тези подобни инструменти често изискват от потребителите да „изпратят подкани“ или да „тестват сигурността на ChatGPT“ и след това да събират входни данни.

Пример:

Служител получава линк към сайт, озаглавен „ChatGPT Pro Security Sandbox“Фалшивият интерфейс имитира потребителския интерфейс на OpenAI и насърчава потребителите да поставят чувствително съдържание, за да тестват сигурността му. Нападателят вече има достъп до въведеното съдържание, често до поверителни документи или идентификационни данни.

Корпоративен риск:

Тази техника размива границата между социалното инженерство и техническата експлоатация. Тя експлоатира доверието на потребителите в инструментите с изкуствен интелект и се възползва от познаваемостта на интерфейса на ChatGPT. Тези измами са особено опасни, защото изглеждат легитимни и заобикалят типичните филтри за имейли или URL адреси.

6. Неправилно конфигурирани вътрешни интеграции с изкуствен интелект

Някои компании внедряват ChatGPT или други LLM чрез вътрешни инструменти или API. Ако контролът на достъпа, границите на подканите или дезинфекцията на данни не се прилагат правилно, тези интеграции могат да станат непълни или прекалено разрешителни.

Пример:

Вътрешен асистент за знания, изграден върху ChatGPT, е свързан с HR системата на компанията. Без строг контрол на достъпа, всеки потребител може да поиска от изкуствения интелект да върне данни за заплати на друг служител, което води до нарушаване на поверителността.

Корпоративен риск:

Неправилната конфигурация води до прекомерно експозиция. В сложни корпоративни среди, където LLM са интегрирани в чатботове, приложения или CRM системи, е лесно да се загуби представа кой какво може да вижда и кога.

Течове на данни от ChatGPT и инциденти със сигурността

Инцидентите от реалния свят, включващи ChatGPT, подчертаха нарастващите рискове за сигурността на данните, свързани с инструментите за генеративен изкуствен интелект. Едно от най-известните събития беше март 2023 г. Инцидент със сигурността на OpenAI, където грешка в библиотеката Redis, използвана от ChatGPT, е причинила нарушение на данните. Това нарушение на данните в ChatGPT е позволило на някои потребители да видят части от историята на чата на други потребители и е разкрило чувствителна информация за фактуриране, включително пълни имена, имейл адреси и последните четири цифри на кредитни карти. Въпреки че проблемът е бързо отстранен, той е разкрил крехкостта на изолацията на сесиите в споделени платформи с изкуствен интелект и е подчертал необходимостта от надеждни контроли за сигурност за множество потребители.

Освен основните уязвимости на платформата, Уязвимости на AI Въведените чрез плъгини се превърнаха във все по-голям проблем. Много ChatGPT плъгини, разработени от трети страни, могат да имат достъп до съдържание от потребителски подкани и да го предават на външни услуги. Ако са неправилно проектирани или липсва им прозрачност, тези плъгини могат неволно да изтекат корпоративни данни извън контролирани среди, заобикаляйки съществуващите DLP и механизми за съответствие.

Допълнително усилване на риска е нарастването на Shadow AIМногобройни изследователски проучвания са установили, че служители в различни индустрии използват публични инструменти за генеративен изкуствен интелект, за да се справят с чувствителни бизнес задачи, като например изготвяне на правни документи или анализ на клиентски данни. Тази несанкционирана употреба, често невидима за ИТ отдела, създава значителни пропуски в управлението на данните и увеличава вероятността от разкриване.

Заедно тези инциденти ясно показват, че предприятията трябва да преосмислят своята позиция по отношение на сигурността за генеративния изкуствен интелект, като дадат приоритет на видимостта, контрола върху използването, управлението на плъгините и инструментите за предотвратяване на загуба на данни, съобразени с изкуствения интелект.

Бизнес рискове от излагане на данни от ChatGPT

Въпреки че инструменти като ChatGPT могат да ускорят производителността, несанкционираното или несигурно използване може да доведе до значителни и широкообхватни бизнес рискове. По-долу е даден преглед на ключовите бизнес рискове и реални сценарии, които илюстрират как подобно излагане може да навреди на предприятията в правни, оперативни и репутационни аспекти.

  1. Нарушения на регулаторните и нормативните изисквания

Едно от най-критичните последици от загубата на данни в ChatGPT е потенциалът за нарушения на съответствието. Когато служителите въвеждат лична информация (PII), защитена здравна информация (PHI), финансови данни или записи на клиенти в ChatGPT, тези данни могат да напуснат защитени среди и да попаднат във външни системи, които не са в съответствие с разпоредби като GDPR, HIPAA, CCPA или специфични за индустрията изисквания.

Пример:

Служител в здравен доставчик използва ChatGPT, за да обобщи бележките по случаите на пациенти. Входните данни включват имена и медицински истории, нарушавайки изискванията на HIPAA и задействайки процес за разкриване на нарушения.

â € <â € <въздействието върху стопанската дейност:

Глобите, одитите и уведомленията за нарушения подкопават доверието и налагат големи административни разходи. В силно регулирани сектори, един инцидент може да доведе до продължителен контрол от страна на регулаторните органи и одиторите.

  1. Интелектуална собственост и разкриване на поверителни данни

ChatGPT често се използва за писане, преглед или анализ на вътрешно съдържание, вариращо от правни договори и документи за сливания и придобивания до собственически код и изследвания. Когато това съдържание се постави в ChatGPT без предпазни мерки, предприятието рискува да загуби контрол върху своята интелектуална собственост.

Пример:

Софтуерен инженер използва ChatGPT, за да оптимизира собствен модел за машинно обучение, но включва пълния изходен код в подканата. Това може да изложи ценна интелектуална собственост на бъдещи рискове, ако се използва неправилно от модела или бъде прихваната по време на обработка.

въздействието върху стопанската дейност:

Излагането на корпоративния изкуствен интелект на интелектуална собственост не само подкопава конкурентното предимство, но може да доведе и до загуба на доверието на инвеститорите. Това може да доведе до разредена пазарна позиция, загуба на иновативно предимство и дори до съдебни дела, ако бъдат нарушени договорните клаузи за поверителност.

  1. Уронване на репутацията и загуба на доверие на клиентите

Дори незначително изтичане на данни, включващо ChatGPT, може да ескалира до проблем с общественото доверие, особено когато е свързано с чувствителна информация за клиенти, служители или партньори. Заплахите за репутацията на ИИ се усилват от нарастващия обществен контрол върху етиката, поверителността и прозрачността на ИИ.

Пример:

Новинарски източник разкрива, че служители на банка са въвеждали финансови данни на клиенти в ChatGPT, за да генерират инвестиционни обобщения. Въпреки че действителната загуба на данни може да е ограничена, обществената реакция води до засилен контрол върху начина, по който се обработват тези данни.

въздействието върху стопанската дейност:

Това може да доведе до загуба на доверие на клиентите, която има дългосрочни последици, далеч надвишаващи първоначалното нарушение. В силно регулирани или чувствителни към марката индустрии, последствията за репутацията могат да бъдат опустошителни и далеч надхвърлят разходите за предотвратяване на инцидента.

  1. Оперативни и правни смущения

Разкриването на данни чрез ChatGPT може да предизвика съдебни производства, одити и вътрешни разследвания, отклоняващи ресурси и нарушаващи операциите. Може да се наложи правните екипи да оценят отговорността, да проследят пътя на данните и да се защитят от колективни искове или договорни нарушения.

Пример:

Производствена компания открива, че в ChatGPT са въведени чувствителни условия на доставчици и е възможно те да са изтекли. Екипите за снабдяване са принудени да предоговарят договорите, докато правният отдел управлява запитванията към доставчиците и оценките на отговорността.

въздействието върху стопанската дейност:

Освен финансовите загуби от развалянето на сделката, организацията може да се сблъска със съдебни искове, неустойки или арбитражни производства. Тези смущения засягат и ежедневните операции, забавят проекти и създават вътрешни противоречия между екипите, търсещи отчетност и смекчаване на последиците.

  1. Ерозия на вътрешната сигурност

Неконтролираното използване на изкуствен интелект отслабва цялостната сигурност на предприятието. Когато служителите използват публични инструменти с изкуствен интелект чрез неуправлявани браузъри или лични акаунти, чувствителните данни заобикалят традиционните контроли за сигурност, като защитни стени, защита на крайните точки или облачна защита от загуба на данни.

Пример:

Служителите, използващи ChatGPT на лични устройства, споделят данни за клиенти, които никога не докосват корпоративната инфраструктура, което ги прави невидими за ИТ екипите и екипите за съответствие.

въздействието върху стопанската дейност:

Екипите по сигурност губят видимост върху това как и къде се обработват данните. С течение на времето това подкопава способността на организацията да открива нарушения, да поддържа готовност за одит и да прилага политики за сигурност, оставяйки бизнеса уязвим както за вътрешни, така и за външни заплахи.

Рисковете от загуба на данни в ChatGPT не се ограничават само до техническа експозиция, а се разпростират върху всяко ниво на бизнеса. От рисковете за съответствие с ChatGPT и кражбата на интелектуална собственост до заплахите за репутацията, свързани с изкуствения интелект, и правните последици, предприятията трябва да предприемат проактивни стъпки, за да управляват начина, по който се използват генеративните инструменти на изкуствения интелект. Само тогава организациите могат да се възползват от предимствата на изкуствения интелект, като същевременно защитават бизнеса от неговите нежелани последици.

Как LayerX предотвратява изтичането на данни от ChatGPT

Тъй като предприятията възприемат ChatGPT и други инструменти на GenAI, предизвикателството за защита на чувствителни данни от неволно излагане става неотложно. Традиционните инструменти за сигурност не са създадени за динамичния, базиран на браузъра характер на взаимодействията на GenAI. Тук се намесва LayerX – предоставяйки специално разработени, браузърно-ориентирани защити, които осигуряват видимост, контрол и защита в реално време срещу изтичане на данни от ChatGPT, без да се прави компромис с производителността.

  • Чат в реално време, GPT DLP

В основата на решението на LayerX е неговата DLP (Data Loss Prevention - Предотвратяване на загуба на данни). За разлика от традиционните DLP инструменти, които работят на мрежово или крайно ниво, LayerX се интегрира директно в браузъра - основният интерфейс за инструменти с изкуствен интелект като ChatGPT. Това му позволява да проверява и контролира потребителския вход в реално време, преди данните да напуснат периметъра на предприятието. LayerX открива чувствителни данни, като например лична информация, изходен код, финансови данни или поверителни документи, когато потребителите се опитват да ги поставят или въвеждат в ChatGPT. След това прилага действия, базирани на правила, като например редактиране, предупредителни подкани или пълно блокиране.

РезултатЧувствителните данни се спират при източника, предотвратявайки случайно или неоторизирано излагане, без да се прекъсва работният процес на потребителя.

  • Генеративно наблюдение с изкуствен интелект и видимост на изкуствен интелект в сянка

LayerX непрекъснато следи взаимодействията с изкуствен интелект (ИИ) в управлявани и неуправлявани уеб приложения. Той идентифицира кои ИИ инструменти се използват, от кого и с какъв вид данни – независимо дали пишат подкани, поставят клиентски данни или качват файлове, предоставяйки на ИТ екипите и екипите по сигурността полезна информация. Той също така открива използването на скрит ИИ, което представлява несанкционирано използване на ChatGPT или други LLM инструменти чрез лични акаунти или неуправлявани устройства.

РезултатОрганизациите възвръщат видимостта върху моделите на използване на изкуствен интелект, което им позволява да идентифицират поведение с висок риск и да предприемат коригиращи действия, преди да възникне инцидент с данни.

  • Детайлно, контекстно-съобразено прилагане на политики

С LayerX предприятията могат да дефинират контекстно-зависими политики, съобразени със случаите на употреба на изкуствен интелект. Политиките могат да се прилагат на ниво браузър въз основа на потребителска роля, контекст на приложението, тип данни и атрибути на сесията. Например, политиките могат да позволят на маркетинговите екипи да използват ChatGPT за генериране на съдържание, като същевременно блокират изпращането на клиентски данни или вътрешни документи. На разработчиците може да бъде разрешено да тестват фрагменти от код, но да не споделят хранилища с изходен код. LayerX налага действия, базирани на политики, като например редактиране, предупредителни подкани, за да предупреждава потребителите, когато са на път да нарушат политика, или пълно блокиране.

РезултатВнедряване на изкуствен интелект и защита на предприятията чрез изкуствен интелект, осигуряващи отговорно използване без ограничаване на иновациите.

  • Управление на плъгини и разширения

LayerX също така предпазва от рискови взаимодействия с ChatGPT плъгини, които могат незабелязано да извличат съдържание от подканите към API на трети страни. Той идентифицира и категоризира разширенията на браузъра и ChatGPT плъгините по ниво на риск, източник и функционалност. Също така наблюдава и управлява поведението на плъгините, като дава възможност на администраторите да одобряват, блокират или ограничават плъгините въз основа на техните практики за обработка на данни. 

РезултатПредприятията намаляват излагането си на уязвимости, базирани на плъгини, и налагат по-силно управление на данните, свързани с изкуствен интелект, в цялата организация.

Заключение: Осигуряване на безопасен и мащабируем изкуствен интелект в цялото предприятие с LayerX

Генеративният изкуствен интелект е тук, за да остане и той променя начина, по който се извършва работата във всяка организация. Но без правилните предпазни мерки, инструменти като ChatGPT могат бързо да се превърнат от инструменти за повишаване на производителността в рискове от изтичане на данни. LayerX дава възможност на предприятията да възприемат изкуствения интелект уверено, с видимостта, контрола и защитата, необходими за запазване на чувствителните данни в безопасност, съответствие с изискванията за употреба и контрол на риска.

Независимо дали се борите със скрития изкуствен интелект, прилагате политики за използване на изкуствен интелект или предотвратявате изтичане на данни в реално време, LayerX предоставя основата за сигурност за безопасно и мащабируемо внедряване на изкуствен интелект. 

Не позволявайте на иновациите в областта на изкуствения интелект да изпреварят стратегията ви за сигурност. Вземете LayerX още днес и превърнете изкуствения интелект от риск в конкурентно предимство.

Заявете демонстрация, за да видите LayerX в действие.