網路資安威脅
企業使用 ChatGPT 應採取的四個資安對策
越來越多組織開始考慮在組織中使用ChatGPT。本文將聚焦於安全防護方面,說明企業組織在使用ChatGPT時應注意的要點。本次是針對ChatGPT回答內容的正確性,探討相關注意要點。
除了個資外洩外,企業使用 ChatGPT 有什麼風險?
2023年3月,OpenAI終於公開發布了ChatGPT API。日本 IT 企業很早就利用此 API 在 LINE 上推出 bot 服務。眼見此工具早早受到運用,一些企業及政府部門擔心資訊外洩,也開始提出呼籲及採取限制措施※1。
※1 日本經濟新聞社〈聊天AI的工作運用限制 對資訊外洩的擔憂〉
※1 The Italian Data Protection Authority「Artificial intelligence: stop to ChatGPT by the Italian SA Personal data is collected unlawfully, no age verification system is in place for children」
員工使用 ChatGPT 可能會導致公司敏感訊息被洩露
員工使用ChatGPT可能會導致其敏感訊息被洩露嗎?小編在詢問ChatGPT時得到如下的「無法保證百分之百的安全性。」的回答:
🔻 問:我輸入的公司敏感訊息,有可能被洩漏嗎?
🤖 ChatGPT 回答:
作為一個語言模型,我無法直接存取、回應或儲存任何用戶的敏感訊息或個人資訊。我們致力於保護用戶的隱私和資訊安全。本對話是在加密連線下進行,而且在結束對話後,對話內容將被立即清除,因此不會被保留。請注意,即使我們採取了安全措施,但傳輸資訊始終存在一定的風險,因此在提供敏感訊息之前,請謹慎考慮並確保您的資訊安全。
🔻 問:我輸入的內容可能會被我本人以外的人看到?有這個可能性嗎?
🤖 ChatGPT 回答:
作為語言模型,我們無法直接存取、回應或儲存用戶的敏感訊息。然而,請注意,在使用任何網路平台或服務時,存在著潛在的安全風險。雖然我們努力保護使用者的隱私和資訊安全,但無法保證百分之百的安全性。
在這個平台上,您的對話內容在加密連線下進行,而且對話結束後會立即清除。然而,如果您在其他未經安全保護的環境中輸入敏感訊息,例如在公共電腦上或在未加密的網路上,則有可能被他人監視或截取。
如果您對於資訊安全有顧慮,建議您在輸入敏感訊息之前,先確保您所使用的設備和網路環境是安全的。此外,請謹慎對待任何涉及個人或敏感資訊的內容,以保護自己的隱私和安全。
報導指出南韓三星員工使用 ChatGPT做為輔助工具,不料卻爆出 3 起內部機密洩漏事件。上傳給ChatGPT 的機密資料包含半導體設備、程式碼相關資訊,甚至將機密會議資料上傳以整理出會議紀錄。
OpenAI 的隱私政策警告說,對話可能會被其AI 培訓師審查以改進系統。因此,在你使用ChatGPT時,應該有這樣的心理準備:與 ChatGPT 的對話中輸入的內容可能會被你以外的人看到的可能性。
ChatGPT的回答內容也可能讓人啼笑皆非
除此之外,使用ChatGPT時,也有「回答內容中包含錯誤資訊的風險」。
實際上,在OpenAI的FAQ中就指出,「由於ChatGPT未連接網路,因此會收到錯誤的回答」。根據OpenAI的說法,由於其知識有限,尤其是2021年之後的知識並不足,因此可能會輸出錯誤、偏頗的內容(2023年4月4日時的資料)。
即使是集話題於一身的ChatGPT,也有如開發商所承認的不完美之處,可能會有自信地做出錯誤的回答,或提出虛構的想法,將非事實的內容說得煞有介事。由於無法得知ChatGPT回答內容的根據,因此使用者必須使用其他方式來調查內容的真實性。鑒於這一點,當所屬組織使用此工具時,必須考量是否應視其為風險。
此外,向ChatGPT詢問2022年以後的資訊時,也無法得到解答,如下圖所示小編詢問關於趨勢科技的問題時,回答中亦包含錯誤敘述。
🔻 請問ChatGPT:趨勢科技來自哪一個國家?
🔻 請問ChatGPT:趨勢科技張明正\陳怡樺是誰?
🔻 請問ChatGPT:AI聊天機器人遭詐騙集團利用,ChatGPT 出現山寨手機App版本,下載竟盜刷用戶信用卡上千元 這是真的嗎?
從上述例子可以發現使用 ChatGPT 時, 如果未求證訊息的真偽可能就會做出錯誤判斷。
ChatGPT 會否成為傷害組織的武器?
ChatGPT的進展瞬息萬變,在2023年3月推出了最新的自然語言處理模型GPT-4,讓使用者可付費使用ChatGPT Plus。據說其優異的能力可能會大幅影響現有社會及商業的樣貌。
其實,趨勢科技所主辦之世界最大的漏洞懸賞計畫Zero Day Initiative(ZDI)在前一陣子舉辦了駭客競賽「Pwn2Own」,Wall Street Journal對獲得優勝的Claroty Ltd.兩名研究人員進行了採訪,兩名研究人員在採訪中表示「使用ChatGPT來撰寫代碼,讓我們節省了不少手動作業的時間」。由於目前ChatGPT的能力仍有部分是依據推論或來自推論後的模擬,據說現階段仍無法預測其回答的內容及極限值。然而,我們無法忽視的是,根據不同的使用方式,已有可展現出成果的案例。雖然目前此工具能否成為組織的武器仍是未知數,但企業應持續關注這項可能性。
運用 ChatGPT 時企業組織應主動採取的四個對策
各組織應考風險後,判斷是否要在現階段鼓勵運用ChatGPT作為商業策略。無論如何,負責資訊安全的部門應趁員工尚未自行使用ChatGPT前,在組織內明確訂定組織的使用政策。
從另一個角度來看,也可將 ChatGPT 視為一種雲端服務,因此在建構政策時,建議可先將組織內對於雲端服務的使用政策作為最低標準,接著再參照ChatGPT的政策來進一步研議:諸如「允許使用的條件是不輸入敏感資訊」等使用政策。
此外,在使用服務供應商運用ChatGPT所提供的服務時,應確認該服務供應商有關隱私權政策的規定,因為其政策可能和ChatGPT不同。目前這類服務的實際數量應該尚不多,請盡可能收集該服務及供應商的相關評價等資訊,以便組織能判斷其風險高低。
除此之外,運用ChatGPT時,應率先預想因應對策並留意以下要點:
📌 1.限制來自公司的存取路徑:禁止全公司員工存取、僅部分員工可存取等
📌 2.確認輸入的資料有無問題:在政策中制定不可輸入的資訊、在技術層面禁止傳送、建立檢查輸入資料的機制等。
📌 3.考慮全面禁止使用:如果貴公司針對上述要點所採取的對策有所不安,則建議採取一律禁止使用的政策。
📌 4.強化員工對於 ChatGPT 資安意識:對於實際使用ChatGPT的員工,也應利用電子郵件告知或藉由教育訓練等機會,積極提高員工對於資訊安全的認知,例如:隨時注意並遵守公司的安全防護政策,及在公司外的私人場合使用時,隨時保有企業員工應有的警惕心,注意自身是否使用了可推測出本人的內容,或具敏感內容的資訊。
總結
ChatGPT本來是為了實驗及探索而開發的研究用系統,並非在使用安全性方面受到保證的獨立工具。雖然尚有許多無法預測的部分,目前也未達組織將其深入運用在商業行為中的階段,但其快速進化所衍生出來的廣泛應用,也確實讓人期待。
企業組織在運用此工具時,應在正確認知資訊安全上的隱憂後,盡早統合政策並做出因應,以免落入不利之境。如同ChatGPT本身所指出的注意要點,企業應留意其資訊可信度,同時建構讓全體員工能正確使用的環境。
此外,雖然本文彙整的內容是以安全性風險為主,但由於網路犯罪者也同樣關注ChatGPT,因此也應留意ChatGPT對網路犯罪帶來影響的可能性。根據趨勢科技的調查結果,雖然目前尚未發現網路犯罪者惡意利用ChatGPT的案例,但已出現開始惡意利用的報告。
請持續關注最新的技術趨勢及風險動向。
⦿原文參考來源:https://www.trendmicro.com/ja_jp/jp-security/23/d/securitytrend-20230412-02.html