Phản ánh sự cảnh báo trước đó, Apple hiện là một trong số nhiều doanh nghiệp cấm nhân viên sử dụng ChatGPT của OpenAI và các dịch vụ AI tạo ra đám mây tương tự khác để bảo vệ tính bảo mật dữ liệu. Tờ Wall Street Journal cho biết Apple cũng ngăn nhân viên sử dụng công cụ Copilot của GitHub, mà một số nhà phát triển sử dụng để giúp viết phần mềm.
Một cuộc khảo sát gần đây đã phát hiện ra rằng 39% nhà phát triển Mac đang sử dụng công nghệ này.
Tuy có vẻ như cấm chỉ là quá mức đối với các doanh nghiệp, nhưng nó cho thấy công ty đang chú ý đến luồng cảnh báo về việc sử dụng các dịch vụ này đang xuất hiện từ các chuyên gia an ninh. Mối quan tâm là sử dụng chúng có thể dẫn đến tiết lộ dữ liệu nhạy cảm hoặc bí mật. Samsung đã cấm các công cụ này từ đầu năm nay khi phát hiện các nhân viên đã tải lên mã nguồn bí mật lên ChatGPT.
Các chuyên gia an ninh rất nhận thức về vấn đề này. Wicus Ross, nhà nghiên cứu an ninh cấp cao tại Orange Cyberdefense, cảnh báo:
“ Trong khi trò chuyện AI có sức mạnh được huấn luyện và hoàn thiện bởi những nhà phát triển của họ, không phải không thể cho nhân viên truy cập vào dữ liệu đang được nhập vào chúng. Và với sự phức tạp của con người, thường là yếu tố yếu nhất về tư cách bảo mật của doanh nghiệp, điều này mở ra thông tin cho các mối đe dọa, ngay cả khi rủi ro là tai nạn.”
Trong khi OpenAI bán phiên bản dành cho doanh nghiệp tự lưu trữ (và đắt hơn để vận hành) để đảm bảo thông tin bảo mật hơn, rủi ro là dưới thỏa thuận sử dụng công khai, không có nhiều điều để tôn trọng tính bảo mật dữ liệu.
Điều này không tốt đối với mã/nguồn lưu trữ bí mật và tài liệu nội bộ, nhưng lại đặc biệt nguy hiểm khi xử lý thông tin từ các ngành công nghiệp được quy định nghiêm ngặt như ngân hàng, sức khoẻ và những nơi khác. Chúng ta đã thấy ít nhất một sự cố trong đó các truy vấn ChatGPT được tiết lộ cho người dùng không liên quan.
Trong khi quyết định của Apple có thể cảm thấy như quá phản ứng, nhưng việc doanh nghiệp thuyết phục nhân viên phải cẩn trọng về việc họ chia sẻ dữ liệu là điều cần thiết. Vấn đề là khi sử dụng dịch vụ dựa trên đám mây để xử lý dữ liệu, rất có khả năng thông tin sẽ được giữ lại bởi dịch vụ đó để đánh giá, đánh giá hoặc thậm chí sử dụng trong tương lai.
Điều đó có nghĩa là các câu hỏi bạn đặt cho dịch vụ này trở thành các điểm dữ liệu cho các câu trả lời trong tương lai. Thông tin được cung cấp cho dịch vụ đám mây có thể được truy cập bởi con người, có thể từ bên trong công ty hoặc qua cuộc tấn công bên ngoài. Chúng ta đã thấy điều này xảy ra. OpenAI đã phải tắt ChatGPT sau một sự cố về việc rò rỉ dữ liệu trong năm nay.
Lời khuyên từ Trung tâm Nghiên cứu Bảo mật Mạng Quốc gia Vương quốc Anh (NCSC) giải thích tính chất của rủi ro. Nó chỉ ra rằng các truy vấn sẽ được nhà cung cấp dịch vụ nhìn thấy, lưu trữ và "hầu như chắc chắn" được sử dụng để phát triển dịch vụ vào một số thời điểm.
Trong bối cảnh này, các điều khoản sử dụng và chính sách bảo mật cho một dịch vụ cần được xem xét kỹ lưỡng trước khi bất kỳ ai đặt một truy vấn nhạy cảm. Thách thức khác là một khi một câu hỏi được đặt, nó cũng trở thành dữ liệu.
Như NCSC giải thích: “Một rủi ro khác, tăng lên khi ngày càng có nhiều tổ chức tạo ra LLM, là truy vấn được lưu trữ trực tuyến có thể bị hack, rò rỉ hoặc có thể dễ dàng truy cập công khai. Điều này có thể bao gồm thông tin xác định người dùng tiềm năng."
Và ai sẽ sở hữu câu hỏi của bạn vào ngày mai?
Có một lớp rủi ro khác khi sự hợp nhất trên ngành công nghiệp trí tuệ nhân tạo gia tăng. Người dùng có thể đặt câu hỏi nhạy cảm của một dịch vụ LLM an toàn được xác minh đáp ứng tất cả các yêu cầu của giao thức an ninh doanh nghiệp vào thứ ba, nhưng dịch vụ đó có thể được mua lại bởi bên thứ ba với chính sách yếu hơn vào tuần sau.Người mua đó sau đó cũng sẽ sở hữu dữ liệu doanh nghiệp nhạy cảm được cung cấp trước đó cho dịch vụ nhưng bảo vệ nó kém hiệu quả hơn.
Các mối quan ngại này không được đưa ra vì các chuyên gia an ninh đã thấy chúng trong một số loại ảo tưởng sốt cao; chúng phản ánh các sự kiện chúng ta đã thấy. Ví dụ, một báo cáo gần đây đã tiết lộ hơn 10 triệu mục bí mật, chẳng hạn như khóa API và thông tin xác thực đã được tiết lộ trong kho chứa công khai như GitHub năm ngoái.
Trong nhiều trường hợp, loại dữ liệu bí mật như vậy được chia sẻ qua các tài khoản cá nhân sử dụng các dịch vụ như thế này, đó là điều đã xảy ra với thông tin từ Toyota, Samsung và, có lẽ là do lệnh cấm sử dụng ChatGPT, Apple.
Với điều này trong tâm trí, hầu hết các chuyên gia an ninh mà tôi theo dõi đều cảnh báo người dùng không nên bao gồm thông tin nhạy cảm / bí mật trong các truy vấn được thực hiện trên các dịch vụ công khai như ChatGPT.
Người dùng không nên đặt câu hỏi có thể dẫn đến các vấn đề nếu chúng trở nên công khai, và trong bối cảnh của bất kỳ công ty lớn nào cố gắng bảo vệ dữ liệu của mình, lệnh cấm tổng quát đối với việc sử dụng là phương án dễ nhất, ít nhất là hiện tại.
Generative sẽ đi đến đầu nguồn
Điều này sẽ không luôn như thế.Lối đi tiếp theo hợp lý nhất là hướng về các hệ thống LLM nhỏ có thể được lưu trữ trên thiết bị đầu cuối. Chúng tôi biết điều đó là khả thi, vì Đại học Stanford đã có thể thực hiện chạy một hệ thống LLM nhỏ trên điện thoại Google Pixel. Điều này khiến cho việc dự đoán rằng đến một thời điểm nào đó, không ai sẽ sử dụng ứng dụng ChatGPT mới được giới thiệu trên iPhone, bởi vì họ sẽ sử dụng công nghệ tương tự được cung cấp cùng với chính chiếc điện thoại đó.
Nhưng điều quan trọng đối với bất kỳ ai sử dụng các dịch vụ LLM dựa trên đám mây là rằng bảo mật không được đảm bảo và bạn không bao giờ nên chia sẻ dữ liệu nhạy cảm hoặc bí mật với chúng. Đây là một minh chứng cho giá trị của xử lý đầu cuối và bảo vệ quyền riêng tư trong thời đại kết nối.
Hãy theo dõi tôi trên Mastodon hoặc tham gia nhóm bar & grill của AppleHolic và các cuộc trò chuyện Apple trên MeWe.
Bản quyền © 2023 IDG Communications, Inc.
