「要求幫忙整理會議記錄草稿」、 「要求從一個含有多篇電子郵件的討論串中擷取出重點」、 「要求從一份應徵者的履歷當中整理出一份準備呈現給客戶的摘要」、「要求將客戶資料整理成表格」、「要求針對公司的目標與關鍵績效指標 (KPI) 規劃提供見解和建議」…已上是企業員工使用 ChatGPT 最新的「Shared Links」共享連結功能時,不小心意外洩露機密資訊的真實案例。
ChatGPT Shared Links與資訊保護:企業必須知道的風險與四個因應之道
自 2022 年問世以來,ChatGPT 這套 AI 文字生成工具便在企業和一般使用者之間快速流行。但它最新的「Shared Links」共享連結功能卻存在著意外洩露機密資訊的潛在風險。本文探討這些風險並提供一些有效管理風險的建議。
ChatGPT 的 Shared Links 功能
OpenAI 在 2023 年 5 月 24 日推出了一項名為「Shared Links」的 ChatGPT 最新功能,讓使用者產生一個特殊的連結來將自己與 ChatGTP 的對話分享給他人。這個連結不僅可以將對話分享給其他人,也能讓他們提供自己的想法。這項功能對於需要分享很長的對話或好用的查詢敘述時非常有用,比起螢幕截圖更有效率。
ChatGPT 共享連結可能洩漏資訊的風險
然而,這個好用的功能卻完全沒有存取控管機制,任何人只要能拿到連結,即使不是原本想要分享的對象,也能查看對話的內容。因此,OpenAI 不建議透過這項功能分享一些機密的資訊。此外,由於缺乏存取相關的分析數據,因此也無法追蹤誰存取了這個連結,以及被存取了多少次。
經由 Shared Links 公開揭露資訊
這項功能自從推出以來便在社群媒體上大受歡迎,使用者用它來分享自己和 ChatGPT 之間的一些有趣對話。
趨勢科技發現一些機敏資訊 (如個資) 意外經由這類連結分享出去的案例,例如有人要求 ChatGPT 幫他修改個人履歷。
圖 3:使用者要求 ChatGPT 幫他潤飾個人履歷的範例。
以上案例也許是一種善用 ChatGPT 的不錯方式,然而在公開場合分享這類對話確實會引起疑慮。如果是一般個人,那麼要分享多少個人資訊,也許是個人的自由。但如果是公司員工不小心分享了工作相關的資訊呢?這就超越了個人所能負責的範圍,可能將整個公司都拖下水。
員工意外洩露敏感企業資訊的案例
趨勢科技在研究過程當中找到一些員工意外洩露敏感企業資訊的案例,以下截圖來自真實個案,一些敏感資訊已經過處理來隱藏身分並避免資訊外洩。請注意,這些是重製的內容,並非原始的 ChatGPT 對話 (因此看起來有點不同)。
圖 4:要求根據一場重要合作夥伴會議的記錄製作一份摘要報告。
儘管這些都是很有趣的 ChatGPT 應用範例,但經由連結分享給他人,就會讓人質疑其必要性。雖然使用者原本要分享的對象也許只是某些特定同事,但其實任何人只要能夠拿到連結都能看到內容。
而連結有可能不小心落入不肖之徒手中,或者被複製到其他地方。因此,使用者必須謹記在心的一點就是,假使被分享的資訊是敏感資訊,或是萬一外流就有可能衍生問題的話,那使用者就不應使用共享連結的功能。
企業可採取的四個措施和建議
要防範這類風險,不論是一般個人或企業在使用 ChatGPT 的 Shared Links 功能時都應注意以下幾點:
風險意識:了解此項功能隱含的風險,那就是任何人只要能拿到連結就能看到內容。同時,使用者也應小心連結有可能出於各種原因而落入非預期的對象手中。
政策與指引:針對使用者輸入 ChatGPT 對話當中的內容制定明確的政策和指引,哪些資料可以輸入、哪些必須禁止,而且還要包含 Shared Link 功能的使用指引以及其他必要的預防措施。
教育訓練:定期舉辦有關資訊安全的訓練,這有助於提升員工安全意識,防範資訊外洩。訓練內容也應包含某些風險情境以及真實案例的教訓。
監控和回應:考慮採用網址過濾以及機敏資訊傳輸偵測之類的技術來主動監控並確保員工遵守前述的政策和指引。此外,萬一發生不當存取或資訊外洩的情形,也必須能夠迅速回應。
結論
本文討論了 ChatGPT 的 Shared Links 功能、其潛藏的風險,以及確保使用者安全的必要預防措施。在 AI 技術的導入與否直接影響企業競爭力的時代,企業很重要的就是要了解並妥善管理這類功能以確保資訊的安全。如此一來,企業才能一方面發揮 AI 的效益,一方面有效率地防範資訊外洩的風險。
原文出處: ChatGPT Shared Links and Information Protection: Risks and Measures Organizations Must Understand 作者:Matsukawa Bakuei