上线近 5 个月,试用过 ChatGPT 的人,大多都扭头就加入了它的“夸夸群”:“太厉害了”,“写代码简直神了”,“用它写工作周报也太省心了”……
不曾想,ChatGPT 一直以来的“完美”形象,突然之间就有了裂缝:近日,有 Reddit 用户反映,他莫名在自己的账号中,看到了其他用户与 ChatGPT 的聊天记录。
一派和谐的画风被打破,人们开始对 ChatGPT 的安全性提出质疑。
案例一
OpenAI首席执行官Sam Altman发文称,系开源库出现错误导致部分聊天记录标题泄露,“对此我们感到很难过”。
案例三
案例二
韩媒认为,这些三星的机密资料已“完整地”传给了美国,被存入 ChatGPT 学习数据库中。
ChatGPT隐私泄露风险
OpenAI在隐私政策中提到,ChatGPT会收集用户账户信息、对话相关的所有内容、互动中网页内的各种隐私信息(Cookies、日志、设备信息等),这些信息可能会被共享给供应商、服务提供商以及附属公司,数据共享过程可能会有未经授权的攻击者访问到模型相关的隐私数据,包括训练/预测数据(可能涵盖用户信息)泄露,模型架构、参数、超参数等。
“ChatGPT对信息、数据来源无法进行事实核查,可能存在个人数据与商业秘密泄露和提供虚假信息两大隐患。”北京盈科(上海)律师事务所互联网法律事务部主任谢连杰说。
谢连杰分析说,ChatGPT依托海量数据库信息存在,其中包括大量的互联网用户自行输入的信息,因此当用户输入个人数据或商业秘密等信息时,ChatGPT可能将其纳入自身的语料库而产生泄露的风险。虽然ChatGPT承诺删除所有个人身份信息,但未说明删除方式,在其不能对信息与数据来源进行事实核查的情况下,这类信息仍然具有泄露风险。
隐私泄露的原因
根据OpenAI官网公告表示,3月20日以前,一个名为Redis-py的开源库中的错误造成了缓存问题,该问题会导致用户可能看到其他人聊天记录的片段,甚至会向一些活跃用户显示其他用户信用卡的最后四位数字、到期日期、姓名、电子邮件地址和付款地址。
本来可能还只是零星的用户出现该类BUG,但令人神经大条的是,在20号早上,OpenAI在对服务器进行更改的时候出现失误,导致Redis请求取消激增,问题进一步的加剧,所以出现了这个“1.2%”的可能。
根据OpenAI官方的说法,有两种可能会使这些信息被暴露:
1. 在特定时间内的付款确认邮件,可能会发给了一些错误的用户,这些邮件上包含信用卡的后四位数字。
2. 在特定时间内,点击“我的账户”-“管理我的订阅”,可能会导致另一个活跃用户的姓名、电子邮箱、付款地址、信用卡后四位被泄露。
OpenAI 表示,该 bug 仅出现在一个特殊的 Redis 版本中,并且联系了 Redis 维护者。现在通过添加一个补丁已经修复了漏洞。此外还正在对软件及一些习惯做法进行更改,防止类似事情再次发生,包括添加冗余检查以确保提供的数据属于请求它的用户,并降低 Redis 集群在高负载下出现错误的可能性。
如何防止ChatGPT泄密?
为防止泄密,建议企业使用ChatGPT类产品时从以下方面进行保护:
一、对使用ChatGPT类产品进行必要的限制企业应对使用ChatGPT聊天的内容做出限制,禁止员工与ChatGPT讨论公司的商业秘密,并指定专门的部门对ChatGPT类产品的使用进行管理,制定使用ChatGPT类产品的规则制度,明确员工使用ChatGPT类产品的流程和条件,并禁止在涉密区域和涉密设备上使用ChatGPT类产品。
二、不要使用API将ChatGPT接入公司内部知识库一般不要把ChatGPT接入公司完整的知识库,除非能保证这些知识库内容是完全用于对外公开的客户服务。
企业对禁止使用ChatGPT类产品的涉密人员和涉密区域应采取必要的技术措施,阻止ChatGPT类产品的使用。
三、进行专项保密培训,警示风险企业应组织针对ChatGPT类产品的专项保密培训,详细列举使用中存在的风险,告知员工公司使用ChatGPT的使用规则,提醒员工使用ChatGPT类产品进行对话时,要提前评估输入的内容是否涉密或是否属于公司敏感信息(包括但不限于公司失败的实验数据、中止的开发计划、暂停的市场营销策略、废弃的样品资料等等),谨慎输入对话内容。
与ChatGPT类产品进行应用合作的企业,应对参与应用合作的相关人员进行保密提醒,明确在合作应用中不能使用的信息资料,必要时签订专门的保密协议。
四、提醒员工谨防“伪ChatGPT”网络诈骗由于目前ChatGPT还不支持国内用户使用。部分不法分子在网络上自称能为用户对接ChatGPT或者直接标注为“ChatGPT中文版”“ChatGPT对话”的微信公众号或小程序账号,要求用户使用手机号、验证码注册登录或获取完整个人信息,这种都是为了收取费用或盗取信息等其他不良企图。因此企业还应提醒员工在使用ChatGPT类产品时,一定要注意甄别,到官方网站查看相关内容,防范“伪ChatGPT”网络诈骗等。
五、要注意保护个人信息和隐私企业还应提醒员工,在使用ChatGPT类产品时注意保护个人信息和隐私。
Tag: ChatGPT ChatGPT泄密 ChatGPT漏洞