Com cerca de 180 milhões de usuários globais, os profissionais de segurança não podem ignorar o ChatGPT. Ou melhor, os riscos associados ao ChatGPT. Seja a força de trabalho da empresa colando acidentalmente dados confidenciais, os invasores aproveitando o ChatGPT para atingir a força de trabalho com e-mails de phishing ou o ChatGPT sendo violado e as informações do usuário expostas – há vários riscos para os dados e sistemas organizacionais que precisam ser levados em consideração.

Neste guia, nos aprofundamos nos vários riscos que todas as organizações potencialmente enfrentam devido às vulnerabilidades de segurança do ChatGPT. Mas não estamos aqui para assustar você. Este guia oferece práticas e soluções para minimizar esses riscos e, ao mesmo tempo, permitir que os funcionários aproveitem os benefícios de produtividade da IA ​​generativa. Para aproveitar ao máximo este guia, recomendamos a leitura dos riscos e das melhores práticas, comparando-os com sua pilha e plano geral, destacando quaisquer lacunas que devem ser abordadas e trabalhando para colmatar essas lacunas.

O que é o ChatGPT?

ChatGPT é um chatbot de IA que pode compreender e gerar texto semelhante ao humano com base nas entradas (solicitações) que recebe. Isso permite que o ChatGPT execute uma ampla gama de tarefas versáteis, como redigir e-mails, codificar, oferecer conselhos criteriosos e participar de conversas diferenciadas sobre vários assuntos. Como resultado, o ChatGPT tornou-se amplamente popular e é utilizado por milhões de usuários em todo o mundo.

ChatGPT é alimentado por um LLM (modelo de linguagem grande) chamado GPT (Generative Pre-trained Transformer). Os modelos GPT são modelos que processam informações como um cérebro humano. Isso lhes permite derivar contexto, relevância e relacionamentos de dados. Como os modelos GPT foram treinados em diversos conjuntos de dados, seus resultados são aplicáveis ​​em uma ampla gama de aplicações.

Tanto ChatGPT quanto GPT foram desenvolvidos pela OpenAI. O último modelo GPT lançado pela OpenAI é o GPT-4, que é capaz de interpretar entradas de texto e imagem. O ChatGPT pode rodar em GPT-4, para usuários pagos, ou em GPT-3.5, para planos não pagos, entre outras opções.

Apesar das suas capacidades inovadoras, também existem preocupações crescentes sobre a segurança do ChatGPT e os seus riscos potenciais. Vamos ver quais.

Por que a segurança do ChatGPT é uma preocupação crescente

A crescente preocupação com a segurança do ChatGPT decorre de suas capacidades expansivas de processamento e geração de texto semelhante ao humano, juntamente com as grandes quantidades de dados inseridos pelos usuários. Isto faz dela uma das ferramentas modernas mais poderosas para a inovação, mas também para a exploração. A preocupação com a segurança do ChatGPT não é infundada. No início de 2023, a OpenAI identificou e corrigiu um bug que permite aos usuários ver títulos e conteúdo do histórico de bate-papo de outros usuários. Se esse conteúdo incluísse dados confidenciais, ele seria revelado a usuários externos.

O problema do ChatGPT é a necessidade de equilibrar produtividade com segurança. Empresas e indivíduos confiam cada vez mais no ChatGPT para diversas aplicações, desde atendimento ao cliente até criação de conteúdo. No entanto, isto significa que o potencial de utilização indevida também se torna mais generalizado. Portanto, é importante garantir que nenhuma informação sensível ou confidencial seja inserida.

O treinamento dos funcionários e as ferramentas de segurança relevantes podem resolver essas preocupações do ChatGPT. Eles podem proteger contra uso indevido e vazamento de dados e ajudar a aumentar a vigilância contra ataques e alucinações. Além disso, é importante introduzir diretrizes éticas e de segurança nas empresas, sobre quais tipos de dados podem ser inseridos e quais não podem. Juntos – ferramentas, treinamento e processos podem garantir que as empresas aproveitem a produtividade do ChatGPT sem riscos de segurança.

Vulnerabilidades de segurança do ChatGPT

Existem três cenários principais em que o ChatGPT pode se tornar um vetor para violações de dados:

1. Uso indevido por funcionários da organização

Quando os funcionários interagem com o ChatGPT, eles podem digitar ou colar involuntariamente informações confidenciais ou proprietárias da empresa no aplicativo. Isso pode incluir código-fonte, dados do cliente, IP, PII, planos de negócios e muito mais. Isto cria um risco de fuga de dados, uma vez que os dados de entrada podem ser potencialmente armazenados ou processados ​​de formas que não estão totalmente sob o controlo da empresa.

Por um lado, esses dados poderiam ser armazenados pela OpenAI ou usados ​​para reciclagem de modelos, o que significa que adversários ou concorrentes poderiam obter acesso a eles por meio de seus próprios prompts. Noutros casos, se os atacantes violarem a OpenAI, poderão obter acesso a estes dados.

O acesso não autorizado a dados confidenciais pode ter implicações financeiras, jurídicas e comerciais para a organização. Os invasores podem explorar os dados para ransomware, phishing, roubo de identidade, venda de IP e código-fonte e muito mais. Isto coloca a reputação da empresa em risco, pode resultar em multas e outras medidas legais e pode exigir recursos significativos para mitigar o ataque ou pagar resgates.

2. Ataques direcionados usando os recursos do ChatGPT

Mesmo as organizações cujos funcionários não usam o ChatGPT não estão isentas do seu potencial impacto na segurança. Os invasores podem usar o ChatGPT como seu próprio impulsionador de produtividade e usá-lo para atacar a organização. Por exemplo, eles podem usá-lo para criar e-mails de phishing sofisticados, para ataques de engenharia social, para coletar informações que poderiam ser usadas em ataques adicionais contra uma organização ou para desenvolvimento ou depuração de código malicioso.

3. Ataques ao próprio ChatGPT

No ChatGPT confiamos? Milhões recorreram ao ChatGPT para suas tarefas de trabalho e considerações pessoais mais importantes, compartilhando dados confidenciais. Mas o que acontece se a segurança da OpenAI for comprometida? A violação bem-sucedida do OpenAI por meio de vulnerabilidades do ChatGPT pode significar que os invasores acessem dados confidenciais processados ​​pelo sistema de IA. Isso inclui os prompts inseridos pelos usuários, o histórico de bate-papo, os dados do usuário, como e-mail e informações de cobrança, e os metadados dos prompts, como os tipos e a frequência dos prompts. O resultado pode ser violações de privacidade, violação de dados ou roubo de identidade.

4. Riscos Legais e de Conformidade

Muitas organizações usam ChatGPT em ambientes regulamentados por leis de proteção de dados (por exemplo, GDPR, HIPAA). No entanto, as organizações podem violar inadvertidamente estes regulamentos se o ChatGPT processar dados pessoais sem salvaguardas adequadas, levando a sanções legais e danos à reputação.

Riscos de segurança do ChatGPT para empresas

Segurança ChatGPT refere-se a todas as medidas e protocolos de segurança implementados para garantir a segurança relacionada ao uso do ChatGPT. Estes são necessários para proteger contra os seguintes riscos:

1. Riscos de integridade de dados e privacidade

Violações de dados/roubo de dados/vazamento de dados

A capacidade do ChatGPT de processar grandes quantidades de informações aumenta o risco de violação de dados. Se informações confidenciais forem inseridas no modelo, há potencial para vazamento de dados. Isso pode ocorrer se as medidas de segurança da plataforma forem comprometidas ou se esses dados forem usados ​​para treinar o modelo e forem então fornecidos como resposta a uma solicitação de um concorrente ou invasor. 

Coleta de informações

Atores maliciosos podem aproveitar o ChatGPT para coletar informações confidenciais, participando de conversas aparentemente inócuas, projetadas para extrair dados de reconhecimento. Isso pode incluir informações sobre sistemas e componentes de rede usados ​​pelas empresas, práticas de segurança usadas como meio de superá-los, práticas sobre como atacar sistemas, informações sobre preferências do usuário, metadados do usuário e muito mais.

Disseminação de desinformação

ChatGPT pode espalhar inadvertidamente informações falsas, fatos enganosos ou fabricar dados. Isso pode ocorrer devido a alucinações ou se os invasores inadvertidamente inserirem informações falsas no ChatGPT, de modo que elas sejam incluídas no treinamento do modelo e fornecidas em outras respostas. Isto poderia levar à tomada de decisões com base em informações imprecisas, afetando a integridade e a reputação da empresa.

Propaganda Automatizada

Como exemplo do acima exposto, a capacidade de gerar conteúdos persuasivos e personalizados pode ser utilizada indevidamente para difundir propaganda ou manipular a opinião pública em grande escala.

Respostas fabricadas e imprecisas

Semelhante à disseminação de desinformação, esta envolve o ChatGPT gerando respostas falsas ou enganosas que podem ser erroneamente consideradas factuais, afetando as decisões de negócios e a confiança do cliente.

2. Preconceito e preocupações éticas

Modelo e viés de saída

Vieses inerentes aos dados de treinamento podem levar a resultados distorcidos ou preconceituosos. Por exemplo, se as respostas fizerem distinção entre grupos étnicos ou géneros ao tomar decisões sobre contratações ou promoções. Isto pode levar a tomadas de decisão antiéticas e potencialmente levar a problemas de relações públicas e ramificações legais.

Riscos de proteção ao consumidor

As empresas devem navegar na linha tênue entre aproveitar os recursos do ChatGPT para produtividade e garantir que não prejudiquem inadvertidamente os consumidores por meio de resultados tendenciosos ou antiéticos. Eles também devem garantir que os funcionários não incluam PII ou informações confidenciais dos clientes nas solicitações, potencialmente violando as regulamentações de privacidade.

Mitigação de preconceito

Embora a OpenAI envide esforços para reduzir os preconceitos, permanece o risco de que nem todos os preconceitos sejam abordados de forma adequada, conduzindo a práticas ou resultados potencialmente discriminatórios.

3. Casos de uso maliciosos

Desenvolvimento de malware e ransomware

O ChatGPT pode ser utilizado indevidamente para desenvolver scripts sofisticados de malware ou ransomware, representando ameaças significativas à segurança das empresas. Embora seja contra a política da OpenAI usar ChatGPT para ataques, a ferramenta ainda pode ser manipulada por meio de vários prompts, como pedir ao chatbot para agir como um pen tester ou escrever ou depurar scripts de código aparentemente não relacionados.

Geração de código malicioso

Conforme mencionado acima, o ChatGPT pode ser usado para gerar códigos que podem explorar vulnerabilidades em softwares ou sistemas, facilitando acessos não autorizados ou violações de dados.

E-mails de phishing maliciosos

Os invasores podem usar o ChatGPT para criar e-mails de phishing altamente convincentes, aumentando a probabilidade de golpes bem-sucedidos e roubo de informações. Com esta ferramenta de IA, eles podem criar e-mails que simulam tons e vozes, como figuras publicamente conhecidas, parecerem profissionais empresariais, como CEOs e TI, eliminar erros gramaticais, que são um dos indicadores de e-mails de phishing, e escrever em uma ampla variedade de idiomas, permitindo-lhes ampliar seu espectro de ataque.

Ataques de engenharia social

Semelhante aos e-mails de phishing, o ChatGPT pode gerar mensagens contextualmente relevantes e convincentes. Isso significa que ele pode ser usado como arma para conduzir ataques de engenharia social, enganando os funcionários e fazendo-os comprometer os protocolos de segurança.

Representação

Os recursos avançados de linguagem do ChatGPT o tornam uma ferramenta para a criação de mensagens ou conteúdo que se faz passar por indivíduos ou entidades, levando a possíveis fraudes e engenharia social. e desinformação.

Ignorando sistemas de moderação de conteúdo

A geração sofisticada de linguagem pode ser usada para criar mensagens que escapam à detecção por sistemas padrão de moderação de conteúdo. Isto representa um risco para a segurança e conformidade online, uma vez que as ferramentas de segurança tradicionais são menos eficazes do que antes.

4. Riscos Operacionais e Políticos

Propriedade intelectual (PI) e riscos de direitos autorais

A geração de conteúdo pelo ChatGPT pode infringir inadvertidamente os direitos de propriedade intelectual existentes. Se o ChatGPT criar conteúdo que espelhe ou se assemelhe a materiais protegidos por direitos autorais existentes, o resultado pode ser uma violação de propriedade intelectual, representando riscos legais e financeiros para as empresas.

Roubo de propriedade intelectual

O outro lado da moeda é quando o ChatGPT fornece respostas com base em suas próprias informações proprietárias ou conteúdo criativo, levando a perdas financeiras e desvantagem competitiva.

Ataques de jailbreak (ataques ao ChatGPT)

Atores maliciosos tentam contornar ou explorar as salvaguardas integradas da OpenAI, com o objetivo de fazê-la executar tarefas fora dos limites pretendidos ou eticamente permitidos. Isso pode variar desde a geração de conteúdo que viola as políticas de uso até a manipulação do modelo para revelar informações que ele foi projetado para reter. Tais ataques podem comprometer a integridade dos dados das empresas que usam o ChatGPT e inseriram informações confidenciais, e torná-las suscetíveis a consequências comerciais e legais se colocarem em uso dados incorretos das respostas do ChatGPT.

Bugs de privacidade do ChatGPT (ataque ao ChatGPT)

Vulnerabilidades ou falhas no sistema que podem comprometer a privacidade do usuário. Podem ser falhas que expõem acidentalmente dados confidenciais do usuário ou brechas que agentes mal-intencionados exploram para acessar informações não autorizadas. Isso poderia comprometer a integridade da empresa, revelando planos de negócios, código-fonte, informações de clientes, informações de funcionários e muito mais.

Mudanças na política da empresa OpenAI

Mudanças nas políticas da OpenAI em relação ao uso do ChatGPT podem ter implicações para as empresas que dependem da sua tecnologia. Essas mudanças podem incluir modificações nas diretrizes de privacidade do usuário, nas políticas de uso de dados ou nas estruturas éticas que orientam o desenvolvimento da IA ​​e Implantação. Desalinhamento entre estas novas políticas e as expectativas dos utilizadores ou padrões legais, o que pode levar a preocupações de privacidade, redução da confiança dos utilizadores, desafios legais e de conformidade ou desafios com a continuidade operacional.

Riscos da extensão ChatGPT

O uso de extensões ChatGPT, que são complementos ou integrações que expandem as capacidades do ChatGPT, também é um risco de segurança do ChatGPT. Aqui estão alguns dos principais:

  • Vulnerabilidades de segurança – As extensões podem introduzir falhas de segurança, especialmente se não forem desenvolvidas ou mantidas com padrões de segurança rigorosos. Isso pode incluir a introdução de código malicioso no navegador do usuário, a exfiltração de dados e muito mais.
  • Preocupações com a privacidade – As extensões que tratam ou processam dados do usuário podem representar riscos à privacidade, principalmente se não cumprirem as leis de proteção de dados ou se coletarem, armazenarem ou transmitirem dados de maneira insegura.
  • Acesso aos dados de identidade – Com extensões maliciosas, os invasores podem obter acesso a dados de identidade – senhas, cookies e tokens MFA. Isso lhes permite violar o sistema e progredir lateralmente.

Como usar o ChatGPT com segurança

Chegamos à nossa parte favorita – o que fazer? Existe uma maneira de ecapacite sua força de trabalho para aproveitar o imenso potencial de produtividade do ChatGPT e, ao mesmo tempo, eliminar sua capacidade de expor involuntariamente dados confidenciais. Veja como:

Desenvolva políticas de uso claras

Determine os dados com os quais você está mais preocupado: código-fonte, planos de negócios, propriedade intelectual, etc. Estabelecer diretrizes sobre como e quando os colaboradores podem utilizar o ChatGPT, enfatizando os tipos de informações que não devem ser compartilhadas com a ferramenta ou que só devem ser compartilhadas sob condições estritas.

Conduzir programas de treinamento e conscientização

Eduque os funcionários sobre os riscos e limitações potenciais do uso de ferramentas de IA, incluindo:

  • Segurança de dados e o risco de compartilhar dados confidenciais
  • O potencial uso indevido da IA ​​em ataques cibernéticos
  • Como reconhecer tentativas de phishing geradas por IA ou outras comunicações maliciosas

Promover uma cultura onde as ferramentas de IA sejam utilizadas de forma responsável como um complemento à experiência humana, e não como um substituto.

Use uma extensão de navegador corporativo

ChatGPT é acessado e consumido através do navegador, como um aplicativo web ou extensão do navegador. Portanto, as ferramentas tradicionais de segurança de endpoint ou de rede não podem ser usadas para proteger as organizações e impedir que os funcionários colem ou digitem dados confidenciais em aplicativos GenAI.

Mas um extensão de navegador corporativo pode. Ao criar uma política ChatGPT dedicada, o navegador pode impedir o compartilhamento de dados confidenciais por meio de avisos pop-up ou bloquear completamente o uso. Em casos extremos, o navegador corporativo pode ser configurado para desabilitar completamente o ChatGPT e suas extensões.

Detecte e bloqueie extensões arriscadas

Analise os navegadores da sua força de trabalho para descobrir os extensões ChatGPT maliciosas que deveria ser removido. Além disso, analise continuamente o comportamento das extensões de navegador existentes para evitar que acessem dados confidenciais do navegador. Desative a capacidade das extensões de extrair credenciais ou outros dados confidenciais dos navegadores da sua força de trabalho.

Fortaleça seus controles de segurança

Dada a capacidade dos invasores de usar o ChatGPT em seu benefício, torne a segurança cibernética uma prioridade mais alta. Isso inclui:

  • Fortalecendo os controles contra phishing, malware, injeções e ransomware
  • Restringir o acesso aos seus sistemas para evitar o uso não autorizado que pode resultar da capacidade dos invasores, como MFA
  • Mantendo seu software corrigido e atualizado
  • Implementando medidas de segurança de endpoint
  • Garantindo a higiene da senha
  • Monitore continuamente para detectar comportamentos suspeitos e certifique-se de desenvolver e praticar seus planos de resposta a incidentes.

Apresentando ChatGPT DLP da LayerX

LayerX é uma solução de navegador empresarial que protege as organizações contra ameaças e riscos transmitidos pela web. LayerX tem uma solução exclusiva para proteger as organizações contra a exposição de dados confidenciais via ChatGPT e outras ferramentas generativas de IA, sem interromper a experiência do navegador.

Os usuários podem mapear e definir os dados a serem protegidos, como código-fonte ou propriedade intelectual. Quando os funcionários usam o ChatGPT, controles como avisos pop-up ou bloqueio são aplicados para garantir que nenhum dado seguro seja exposto. LayerX garante produtividade segura e utilização total do potencial do ChatGPT sem comprometer a segurança dos dados.

Para mais detalhes, Clique aqui.