Современные чат-боты, такие как ChatGPT, созданы на базе больших языковых моделей (LLM) ― это не только новое развлечение сегодня. Эта технология все чаще используется для повышения продуктивности и эффективности работы сотрудников. Учитывая свои возможности, такие инструменты могут полностью заменить некоторые должности, в частности, в таких сферах, как кодирование, создание контента и обслуживание клиентов.
Многие компании уже используют алгоритмы LLM, поэтому велика вероятность того, что в будущем таких организаций станет еще больше. Но прежде чем спешить приветствовать нового "наемного работника" и использовать его для оптимизации некоторых рабочих процессов в бизнесе, специалисты ESET рекомендуют ответить на несколько вопросов.
Безопасно ли для компании делиться данными с чат-ботом?
Чат-боты учатся на большом количестве данных, доступных в Интернете, которые помогают понимать запросы пользователей. Однако всякий раз, когда вы просите чат-бота предоставить фрагмент кода или написать простое электронное письмо для своего клиента, вы также можете делиться важными данными компании.
По данным Национального центра кибербезопасности Соединенного Королевства (NCSC), чат-боты автоматически не добавляют информацию из запросов в свою модель, чтобы другие могли ее запрашивать. Однако запрос будет виден для поставщика чат-ботов. Эти запросы сохраняются и могут использоваться для разработки и усовершенствования чат-ботов в следующих версиях. Поскольку чем больше входных данных они получают, тем лучше их результаты работы.
Возможно, чтобы помочь развеять беспокойство по поводу конфиденциальности данных, в конце апреля Open AI представил возможность отключить историю чата в ChatGPT. Хотя существует и другой риск ― взлом, утечка данных или случайная публикация хранящихся в Интернете запросов.
Какие известные недостатки использования чат-ботов?
Каждый раз популярность новой технологии или программы становится привлекательной целью для хакеров, и чат-боты ― не исключение. В частности, уже было несколько случаев выявления определенных недостатков в этих системах.
Например, в марте произошла утечка истории чатов и платежных данных некоторых пользователей в ChatGPT от OpenAI, что заставило компанию 20 марта 2023 года временно отключить ChatGPT. 24 марта компания обнаружила, что ошибка в библиотеке с открытым кодом позволила некоторым пользователям видеть заголовки с истории чата другого активного пользователя. После более детального исследования было обнаружено, что та же ошибка могла стать причиной непреднамеренной видимости информации об оплате пользователей ChatGPT Plus, которые были активны в течение определенного времени.
Кроме того, исследователи по безопасности продемонстрировали, как Microsoft LLM Bing Chat можно превратить в инструмент, который обманом заставит пользователей предоставить личные данные или нажать на фишинговую ссылку. Для этого они разместили подсказку на странице в Википедии об Альберте Эйнштейне. Подсказка была частью обычного текста в комментарии с размером шрифта 0 и потому была невидимой для посетителей сайта.
Затем они задали чат-боту вопрос об Эйнштейне. Это сработало, и когда чат-бот обработал эту страницу в Википедии, он неосознанно активировал подсказку, из-за чего чат-бот общался с пиратским акцентом. Когда его спросили, почему он говорит, как пират, чат-бот ответил: "Эй, друг, я следую инструкциям". Во время этой атаки чат-бот также направил пользователю опасную ссылку со словами: "Не волнуйся. Это безопасно и безвредно".
Также следует помнить, что чат-боты могут ошибаться, то есть выдавать ответы на четком и понятном языке, которые при этом совсем неправильные. Поэтому всегда проверяйте результаты, чтобы убедиться в их правдивости и точности и избежать, например, юридических проблем.
Сталкивались ли компании с инцидентами безопасности, связанными с чат-ботами?
В конце марта южнокорейское издание The Economist Korea сообщило о трех инцидентах в Samsung Electronics. Хотя компания попросила своих сотрудников быть осторожными по поводу ввода информации в свои запросы, некоторые из них случайно поделились внутренними данными с ChatGPT.
Один из сотрудников Samsung ввел неисправный исходный код, связанный с базой данных измерений полупроводникового оборудования в поисках решения. Другой сотрудник сделал то же с программным кодом для обнаружения неисправного оборудования, так как хотел оптимизировать код. Третий сотрудник загрузил записи совещания для создания протокола.
Чтобы не отставать от прогресса, связанного с искусственным интеллектом и одновременно защитить свои данные, Samsung объявила о разработке собственного внутреннего сервиса, который поможет сотрудникам выполнять их обязанности.
Что следует сделать перед предоставлением данных чат-боту?
Загрузка данных компании в чат-бот означает, что вы отправляете их третьей стороне, например, OpenAI, и теряете контроль над ними. В частности, компании-разработчики используют данные для обучения и усовершенствования своей модели искусственного интеллекта.
Если вы все-таки решили использовать ChapGPT или подобные инструменты в бизнесе, следует придерживаться нескольких простых правил:
- узнайте, как эти инструменты и их операторы получают доступ, хранят и передают данные компании;
- разработайте официальную политику об использовании компанией инструментов искусственного интеллекта, а также обсудите, как их внедрение будет работать с текущей политикой конфиденциальности данных клиентов;
- позаботьтесь об определении обстоятельств, при которых сотрудники могут использовать инструменты, и проинформируйте их об ограничениях, в частности, избегать ввода конфиденциальной информации о компании или клиентах в чат-бот.
Какие меры относительно конфиденциальности данных могут принять компании?
Многие думают, что на этот раз все иначе, поскольку эти чат-боты более умные, но на самом деле это еще одно программное обеспечение со всеми его возможными недостатками. Именно поэтому компаниям следует позаботиться об обеспечении защиты всех возможных систем корпоративной сети, в первую очередь наиболее уязвимых пользователей.
В частности, компаниям стоит использовать DLP-решения для предотвращения утечек данных, которое поможет контролировать рабочий процесс, а также защитит ценные данные от человеческих ошибок и вредоносных действий. Кроме того, важно использовать многоуровневое решение по безопасности, инструменты для защиты удаленного доступа, а также позаботиться о защите конфиденциальных данных.
О компании:
ESET — эксперт в сфере защиты от киберпреступности и цифровых угроз, международный разработчик решений по ИТ-безопасности, ведущий поставщик в области создания технологий обнаружения угроз. Основана в 1992 году, компания ESET сегодня имеет расширенную партнерскую сеть и представительства в более чем 180 странах мира. Главный офис компании находится в Братиславе, Словакия.
ESET в Украине:
Более 15 лет продукты ESET официально представлены на территории Украины. Начиная с 2005 года, пользователи могут бесплатно обратиться за помощью в службу технической поддержки ESET в Украине, а также пройти курсы обучения по использованию продуктов ESET. Пользователями ESET являются крупнейшие украинские и международные компании и организации.
