По данным прессы, корейская компания Samsung обнаружила утечку данных, в результате которой закрытая информация, включая протоколы совещаний и данные о производительности и продуктивности производственных мощностей, попала в ChatGPT. Насколько серьезной и распространенной может быть эта проблема?
Сообщается, что многие работники корейской компании доверились ChatGPT, забыв, что этот инструмент также записывает данные, чтобы использовать их для собственного дальнейшего развития. Например, в одном случае сотрудник ввел конфиденциальные тестовые шаблоны, предназначенные для выявления неисправности чипов, а затем оптимизировал их. В другом случае сотрудник использовал другую нейросеть — Naver Clova для преобразования аудиозаписи совещания в текстовой документ, а затем отправил его в ChatGPT для подготовки презентации.
И Samsung в этом плане не одинок. Исследование, проведенное фирмой по кибербезопасности Cyberhaven, показывает, что десятки тысяч сотрудников разных компаний передали конфиденциальную корпоративную информацию чат-боту, разработанному принадлежащей Microsoft компанией OpenAI. По всей видимости, они забывают, что речь идет не о привычной компьютерной программе, а о чем-то большем, говорит управляющий RTM Group, эксперт в области информационной безопасности и права в ИТ Евгений Царев:
Евгений Царев управляющий RTM Group, эксперт в области информационной безопасности и права в ИТ «Это обучаемые системы на тех данных, которые предоставляют в том числе и пользователи. В этом ее логика. Соответственно, если вы какие-то данные ей предоставляете, то 100% они будут использованы для того, чтобы улучшать систему в дальнейшем. По большому счету она не собирает данные, она их использует для того, чтобы улучшить свои последующие ответы. Это вопрос на самом деле к сотрудникам. Либо они не понимают принципа машинного обучения, либо они делали это в какой-то степени неосознанно. Это вот то же самое, как мы обучаем ребенка: мы даем ему какой-то объем информации, глупо думать, что он не будет воспроизводить наши собственные слова. То есть если мы ругаемся дома, то и он будет ругаться, если мы говорим вежливо, и он будет говорить вежливо. Мы, допустим, у себя в компании внесли в соответствующий документ фразу о том, что передавать данные ИИ нельзя».
С юридической точки зрения, особенностью ситуации является то, что на ИИ не распространяется законы о профессиональной и иной тайне. Именно поэтому компания OpenAI специально предостерегает пользователей от передачи ChatGPT конфиденциальной информации, поскольку она не может ее удалить. Комментирует советник юридической фирмы Lidings Дмитрий Кириллов:
Дмитрий Кириллов советник юридической фирмы Lidings «Это пример того, что технология у нас обогнала правовое регулирование, и сейчас регуляторам придется догонять и формировать какую-то позицию. Она может быть сформулирована на уровне государств или каких-то наднациональных объединений для регулирования подобного рода информационных систем и ПО. Все боятся открыть ящик Пандоры: если это вообще не регулировать, то технологический гений может действительно в какой-то момент ей навредить человечеству — но может и принести огромную пользу. Из общих принципов построения трудовых отношений можно предположить, что такое действие (загрузка конфиденциальной информации в ChatGPT) является нарушением. Когда информация направляется работником в стороннюю базу данных, она оказывается вне контроля компании-работодателя и это достаточно часто признают нарушением безопасности».
Если вернуться к инциденту с Samsung, то чтобы избежать подобных инцидентов, компания планирует разработать в будущем для внутреннего использования собственный сервис подобный ChatGPT. Пока же компания ограничила длину запросов, отправляемых в существующий чат-бот до 1024 байт. Проще говоря, до тысячи букв, так как одна буква кодируется одним байтом информации. Наконец, если станет известно о дальнейших нарушениях, Samsung предполагает просто заблокировать доступ к ChatGPT.