ChatGPT 估计全球有 180 亿用户,安全专业人士不能忽视。或者更确切地说,与 ChatGPT 相关的风险。无论是公司员工意外粘贴敏感数据、攻击者利用 ChatGPT 通过网络钓鱼电子邮件针对员工,还是 ChatGPT 被破坏且用户信息被泄露,组织数据和系统都存在多种风险,需要予以考虑。

在本指南中,我们深入探讨了所有组织可能因 ChatGPT 安全漏洞而面临的各种风险。但我们不是来吓唬你的。本指南提供了最大限度降低这些风险的实践和解决方案,同时让员工享受生成式人工智能的生产力优势。为了充分利用本指南,我们建议仔细阅读风险和最佳实践,将它们与您的堆栈和总体计划进行比较,突出显示应解决的任何差距,并努力弥补这些漏洞。

什么是聊天 GPT?

ChatGPT 是一个人工智能聊天机器人,可以根据收到的输入(提示)理解并生成类似人类的文本。这使得 ChatGPT 能够执行广泛的多功能任务,例如撰写电子邮件、编码、提供有洞察力的建议以及参与各个主题的细致对话。因此,ChatGPT 已广泛流行,并被全球数百万用户使用。

ChatGPT 由名为 GPT(生成式预训练变压器)的 LLM(大型语言模型)提供支持。 GPT模型是像人脑一样处理信息的模型。这使他们能够得出上下文、相关性和数据关系。由于 GPT 模型是在不同的数据集上进行训练的,因此它们的输出适用于广泛的应用程序。

ChatGPT 和 GPT 都是由 OpenAI 开发的。 OpenAI 发布的最新 GPT 模型是 GPT-4,它能够解释文本和图像输入。 ChatGPT 可以在 GPT-4 上运行(适用于付费用户),也可以在 GPT-3.5 上运行(适用于非付费计划)等。

尽管具有创新功能,但人们对 ChatGPT 安全性及其潜在风险的担忧也与日俱增。让我们看看有哪些。

为什么 ChatGPT 安全性日益受到关注

人们对 ChatGPT 安全性的日益关注源于其处理和生成类人文本的强大功能以及用户输入的大量数据。这使其成为最强大的现代创新工具之一,也是最强大的开发工具之一。 ChatGPT 安全问题并非毫无根据。 2023年初,OpenAI 识别并修复了一个错误,该错误允许用户查看其他用户的聊天历史记录中的标题和内容。如果此内容包含敏感数据,则会泄露给外部用户。

ChatGPT 的问题是需要平衡生产力和安全性。企业和个人越来越依赖 ChatGPT 来实现从客户服务到内容创建的各种应用程序。然而,这意味着滥用的可能性也变得更加普遍。因此,确保不输入敏感或机密信息非常重要。

员工培训和相关安全工具可以解决这些 ChatGPT 问题。它们可以防止滥用和数据泄露,并有助于提高对攻击和幻觉的警惕性。此外,向企业介绍哪些类型的数据可以输入、哪些类型不能输入的道德和安全准则也很重要。工具、培训和流程相结合,可以确保企业享受 ChatGPT 生产力,而无需承担安全风险。

ChatGPT 安全漏洞

ChatGPT 在三种主要情况下可能成为数据泄露的载体:

1. 组织员工的滥用

当员工与 ChatGPT 交互时,他们可能会无意中将敏感或专有的公司信息键入或粘贴到应用程序中。这可能包括源代码、客户数据、IP、PII、业务计划等。这会产生数据泄露风险,因为输入数据可能会以不完全受公司控制的方式存储或处理。

其一,这些数据可以由 OpenAI 存储或用于模型再训练,这意味着对手或竞争对手可以通过自己的提示来访问这些数据。在其他情况下,如果攻击者破坏 OpenAI,他们可能会获得这些数据的访问权限。

未经授权访问敏感数据可能会对组织产生财务、法律和业务影响。攻击者可以利用这些数据进行勒索软件、网络钓鱼、身份盗窃、出售 IP 和源代码等。这使公司的声誉面临风险,可能导致罚款和其他法律措施,并且可能需要大量资源来减轻攻击或支付赎金。

2. 利用 ChatGPT 功能进行定向攻击

即使其员工不使用 ChatGPT 的组织也不能免除其潜在的安全影响。攻击者可以使用 ChatGPT 作为自己的生产力助推器,并用它来攻击组织。例如,他们可以使用它来制作复杂的网络钓鱼电子邮件,进行社会工程攻击,收集可用于进一步攻击组织的信息,或用于恶意代码开发或调试。

3.对ChatGPT本身的攻击

我们信任ChatGPT吗?数百万人转向 ChatGPT 来处理他们最重要的工作任务和个人考虑,共享机密数据。但如果 OpenAI 的安全性受到损害会发生什么?通过 ChatGPT 漏洞成功破坏 OpenAI 可能意味着攻击者可以访问 AI 系统处理的敏感数据。这包括用户输入的提示、聊天历史记录、电子邮件和账单信息等用户数据以及提示类型和频率等提示元数据。结果可能是侵犯隐私、数据泄露或身份盗窃。

4. 法律与合规风险

许多组织在受数据保护法(例如 GDPR、HIPAA)监管的环境中使用 ChatGPT。然而,如果 ChatGPT 在没有足够保护措施的情况下处理个人数据,组织可能会无意中违反这些规定,从而导致法律处罚和声誉损害。

ChatGPT 企业安全风险

ChatGPT 安全是指为确保与 ChatGPT 使用相关的安全性而实施的所有安全措施和协议。这些是为了防范以下风险所必需的:

1. 数据完整性和隐私风险

数据泄露/数据盗窃/数据泄露

ChatGPT 处理大量信息的能力增加了数据泄露的风险。如果敏感信息被输入到模型中,则存在数据泄露的可能性。如果平台的安全措施受到损害,或者该数据用于训练模型,然后作为对竞争对手或攻击者提示的响应而提供,则可能会发生这种情况。 

信息收集

恶意行为者可以利用 ChatGPT 通过参与看似无害的对话来收集敏感信息,这些对话旨在提取侦察数据。这可能包括有关公司使用的系统和网络组件的信息、作为克服这些问题的手段而使用的安全实践、有关如何攻击系统的实践、有关用户偏好的信息、用户元数据等。

传播错误信息

ChatGPT 可能会无意中传播虚假信息、误导性事实或捏造数据。这可能是由于幻觉或攻击者无意中向 ChatGPT 输入虚假信息而发生的,因此它包含在模型训练中并在其他响应中提供。这可能导致基于不准确信息的决策,影响企业的诚信和声誉。

自动宣传

作为上述示例,生成有说服力和定制内容的能力可能会被滥用于大规模宣传或操纵公众舆论。

捏造和不准确的答案

与传播错误信息类似,这一问题涉及 ChatGPT 生成虚假或误导性的响应,这些响应可能被错误地视为事实,从而影响业务决策和客户信任。

2. 偏见和道德问题

模型和输出偏差

训练数据中固有的偏差可能会导致输出偏差或偏见。例如,在做出招聘或晋升决策时,回答是否区分种族或性别。这可能会导致不道德的决策,并可能导致公共关系问题和法律后果。

消费者保护风险

企业必须在利用 ChatGPT 的生产力功能和确保不会通过有偏见或不道德的输出无意中伤害消费者之间找到一条微妙的界限。他们还应确保员工不会在提示中包含 PII 或敏感客户信息,否则可能违反隐私法规。

减少偏见

尽管 OpenAI 努力减少偏见,但仍然存在并非所有偏见都得到充分解决的风险,从而导致潜在的歧视性做法或输出。

3. 恶意用例

恶意软件开发和勒索软件

ChatGPT 可能被滥用来开发复杂的恶意软件或勒索软件脚本,对企业构成重大安全威胁。虽然使用 ChatGPT 进行攻击违反了 OpenAI 政策,但仍然可以通过各种提示来操纵该工具,例如要求聊天机器人像渗透测试仪一样工作,或者编写或调试看似不相关的代码脚本。

恶意代码生成

如上所述,ChatGPT 可用于生成可利用软件或系统中的漏洞的代码,从而促进未经授权的访问或数据泄露。

恶意网络钓鱼电子邮件

攻击者可以使用 ChatGPT 创建极具说服力的网络钓鱼电子邮件,从而增加诈骗和信息盗窃成功的可能性。借助这个人工智能工具,他们可以创建模拟语气和声音的电子邮件,例如公众人物,让自己听起来像企业专业人士,例如首席执行官和 IT 人员,消除语法错误(这是网络钓鱼电子邮件的迹象之一),并以多种语言,使他们能够扩大攻击范围。

社会工程学攻击

与网络钓鱼电子邮件类似,ChatGPT 可以生成上下文相关且令人信服的消息。这意味着它可以被武器化来进行社会工程攻击,诱骗员工破坏安全协议。

模拟

ChatGPT 的高级语言功能使其成为创建冒充个人或实体的消息或内容的工具,从而导致潜在的欺诈和社会工程。和错误信息。

绕过内容审核系统

复杂的语言生成可用于制作逃避标准内容审核系统检测的消息。这给在线安全和合规性带来了风险,因为传统的安全工具不如以前有效。

4、操作和政策风险

知识产权 (IP) 和版权风险

ChatGPT 生成的内容可能会无意中侵犯现有知识产权。如果 ChatGPT 创建的内容反映或非常类似于现有受版权保护的材料,结果可能会构成知识产权侵权,给企业带来法律和财务风险。

知识产权盗窃

另一方面,当 ChatGPT 根据您自己的专有信息或创意内容提供响应时,会导致经济损失和竞争劣势。

越狱攻击(对 ChatGPT 的攻击)

恶意行为者试图绕过或利用 OpenAI 的内置防护措施,目的是使其执行超出其预期或道德允许范围的任务。其范围可能包括生成违反使用策略的内容、操纵模型以泄露其旨在保留的信息。此类攻击可能会损害使用 ChatGPT 并输入敏感信息的企业的数据完整性,并且如果他们使用 ChatGPT 响应中的错误数据,则容易遭受业务和法律后果。

ChatGPT 隐私漏洞(对 ChatGPT 的攻击)

系统内可能损害用户隐私的漏洞或缺陷。这些可能是意外暴露敏感用户数据的故障,也可能是恶意行为者利用漏洞来访问未经授权的信息。这些可能会损害企业诚信,泄露业务计划、源代码、客户信息、员工信息等。

OpenAI 公司政策变更

OpenAI 关于使用 ChatGPT 的政策的变化可能会对依赖其技术的企业产生影响。此类变化可能包括修改用户隐私指南、数据使用政策或指导人工智能开发和使用的道德框架。 部署。这些新政策与用户期望或法律标准之间的不一致,可能会导致隐私问题、用户信任度降低、法律和合规性挑战或运营连续性挑战。

ChatGPT 扩展风险

使用 ChatGPT 扩展(即扩展 ChatGPT 功能的附加组件或集成)也是 ChatGPT 安全风险。以下是一些关键内容:

  • 安全漏洞 – 扩展可能会引入安全漏洞,特别是如果它们没有按照严格的安全标准进行开发或维护。这可能包括向用户的浏览器引入恶意代码、窃取数据等等。
  • 隐私问题 – 处理或处理用户数据的扩展程序可能会带来隐私风险,特别是如果它们不遵守数据保护法或以不安全的方式收集、存储或传输数据。
  • 访问身份数据 – 通过恶意扩展,攻击者可以访问身份数据——密码、cookie 和 MFA 令牌。这使他们能够突破系统并横向发展。

如何安全使用 ChatGPT

我们已经到达了我们最喜欢的部分——该怎么办?有一种方法可以帮助您的员工充分利用 ChatGPT 的巨大生产力潜力,同时消除他们无意中泄露敏感数据的能力。就是这样:

制定明确的使用政策

确定您最关心的数据:源代码、商业计划、知识产权等。 制定关于员工如何以及何时使用 ChatGPT 的指南,强调不应与该工具共享或仅应在严格条件下共享的信息类型。

开展培训和意识计划

教育员工了解使用人工智能工具的潜在风险和局限性,包括:

  • 数据安全和共享敏感数据的风险
  • 人工智能在网络攻击中的潜在滥用
  • 如何识别人工智能生成的网络钓鱼尝试或其他恶意通信

提倡一种文化,以负责任的方式使用人工智能工具作为人类专业知识的补充,而不是替代。

使用企业浏览器扩展

ChatGPT 作为 Web 应用程序或浏览器扩展通过浏览器访问和使用。因此,传统的端点或网络安全工具无法用于保护组织并防止员工将敏感数据粘贴或输入到 GenAI 应用程序中。

但是一个 企业浏览器扩展 能。通过创建专用的 ChatGPT 策略,浏览器可以通过弹出警告或完全阻止使用来防止敏感数据共享。在极端情况下,企业浏览器可以配置为完全禁用 ChatGPT 及其扩展。

检测并阻止有风险的扩展

扫描员工的浏览器以发现已安装的 恶意 ChatGPT 扩展 应该将其删除。此外,不断分析现有浏览器扩展的行为,以防止它们访问敏感的浏览器数据。禁用扩展程序从员工浏览器中提取凭据或其他敏感数据的能力。

加强您的安全控制

鉴于攻击者能够利用 ChatGPT 来发挥自己的优势,因此网络安全应成为更高的优先级。这包括:

  • 加强对网络钓鱼、恶意软件、注入和勒索软件的控制
  • 限制对系统的访问,以防止攻击者的能力(例如 MFA)导致未经授权的使用
  • 保持您的软件已打补丁并处于最新状态
  • 实施端点安全措施
  • 确保密码卫生
  • 持续监控以检测可疑行为,并确保制定和实践您的事件响应计划。

LayerX 推出 ChatGPT DLP

LayerX 是一种企业浏览器解决方案,可保护组织免受网络威胁和风险的侵害。 LayerX 拥有独特的解决方案,可保护组织免受 ChatGPT 和其他生成式 AI 工具泄露敏感数据的影响,同时不会影响浏览器体验。

用户可以映射和定义要保护的数据,例如源代码或知识产权。当员工使用 ChatGPT 时,会强制执行弹出警告或阻止等控制措施,以确保不会泄露安全数据。 LayerX 确保安全的生产力和充分利用 ChatGPT 的潜力,而不影响数据安全。

有关详细信息, 请点击这里。