ChatGPT的火热已不是一件新鲜事了。而现在更让大家热议的是,ChatGPT带来的网络安全风险,不少安全人员对此担心不已。因ChatGPT引起的网络安全事件,媒体也多有报道。
例如,近日,外媒就报道了三星因ChatGPT泄露了机密信息的安全事件。
据外媒报道,韩国科技巨头三星前不久发生了好几起由ChatGPT引起的信息泄露事件,设备测量、产量数据、内部会议等机密内容都被传输到了海外。
三星陆续发生的三起信息泄露事故,均起缘其内部员工的不合规操作所致。据了解,其中一位员工复制了他工作中遇到的问题相关的源代码,并输入到了ChatGPT之中,向该AI询问解决方案;而另一位员工则在 ChatGPT 中输入了与设备良品率相关的程序代码,并向AI请求代码优化;最后一位员工则是将会议内容输入到ChatGPT中要求AI为其编写会议记录。
在事件发生前,批准使用GPT的三星DS部门,曾特别在公告中提醒员工:“注意公司内部信息安全,不要输入敏感内容”。但是在三星DS部门发布政策不到20天的时间里,陆续发生了这三起信息泄露事故。
另外了解到,在ChatGPT的使用指南中,OpenAI也有明确说明输入给ChatGPT的文本内容会被用于进一步训练模型,警告用户不要提交敏感信息。
而三星这三位员工的操作就意味着,他们提交的这些数据都被传输给了ChatGPT所属的美国公司OpenAI,并有可能被用作了该模型的训练数据。
三星公司在知悉这些事件后,紧急采取了一系列缓解措施,例如将上传内容限制在1024字节以内等。三星目前正向事故相关职员调查原委,必要时给予处罚。
在高科技带来便利同时,众人也在担忧着高科技带来负面影响,例如大家会担心ChatGPT加剧全球日益严峻的数据安全挑战,给到攻击者更多的可趁之机或造成使用者的敏感信息数据的泄露。此前,就有ChatGPT骗局、安全研究人员诱导ChatGPT编写出危险的数据窃取恶意软件、新手利用ChatGPT轻松构建零日恶意软件,等等。以及当下的三星由ChatGPT引起的信息泄露事件。
事物总是存在着两面性,像ChatGPT这样的新事物,是造福人类还是威胁人类,端看使用者对其的利用、安排。而在此次的三星数据泄露事件中,事实上事故的起因都是“员工的行为”,尽管此前三星对其员工有所特别提醒。当然了,ChatGPT所使用的技术本身也存在一定的风险。
纵观以往的一些安全事件,数据泄露的原因大致可分为外部入侵和内部风险。外部入侵主要由于入侵者有足够的动机、精力和机会,一方面可以获取巨大的利益;另一方面又由于各个行业的网络是相对开放的,给外部入侵者制造了机会。
而内部风险主要由于内部人员的有意或无意的违规操作,一些内部人员会受到各种各样的诱惑,使得他们铤而走险,通过对外非法提供数据来获取利益。这些有意的内部人员也称之为行业“内鬼”。
据相关报道了解,各行各业由于数据特点不同,其安全风险原因也不同,85%的数据泄露都有人为因素。这其中有外部因素,但更多的还是内部因素。另外,据Tessian 和斯坦福大学的一项研究发现,2020 年88%的数据泄露事件仅仅是因为某个地方有人搞砸了;Verizon发布的《2022年数据泄露调查报告》指出,2022年数据泄露事件中82%的违规行为涉及人为因素。
人为泄露数据的事件屡见不鲜,例如,一些快递站点工作人员进行面单拍摄、数据人为导出,后在黑灰产交易平台出售;平安人寿某分公司内部人员利用职务之便泄露了4万条客户信息;近日,极氪员工因操作失误泄露了一份内部文件并在网上流传,中包括,用户姓名、电话、车身VIN码等大量隐私信息,等等。
在过去,诸多企业将数据防泄漏的重点都放在了外部,于是诞生了防火墙、漏洞扫描等安全防护产品。然而,近年来,因人为因素导致的企业数据泄露事件频发,而且随着职场道德问题频发,内鬼作祟导致的泄密事件也已占到了总泄密事件的70%。因此,在不侵犯员工隐私的前提下,企业有必要对员工行为进行安全管控!