據(jù)Harmonic公司稱，盡管GenAI工具具有潛力，但許多企業(yè)由于擔(dān)心敏感數(shù)據(jù)被無(wú)意共享并可能用于訓(xùn)練這些系統(tǒng)，而猶豫是否全面采用這些工具。

GenAI中的敏感數(shù)據(jù)暴露問(wèn)題

一項(xiàng)基于數(shù)萬(wàn)名商業(yè)用戶提示的新研究揭示，近10%的提示可能泄露敏感數(shù)據(jù)。

Harmonic Security在2024年第四季度對(duì)這些提示進(jìn)行了分析，并監(jiān)控了包括Microsoft Copilot、OpenAI ChatGPT、Google Gemini、Anthropic的Claude和Perplexity在內(nèi)的GenAI工具的使用情況。

在絕大多數(shù)情況下，員工使用GenAI工具的行為是直接的。用戶通常會(huì)要求總結(jié)一段文本、編輯博客或編寫代碼文檔，然而，8.5%的提示令人擔(dān)憂，并可能使敏感信息面臨風(fēng)險(xiǎn)。

在這些提示中，45.8%可能泄露了客戶數(shù)據(jù)，如賬單信息和認(rèn)證數(shù)據(jù)，另有26.8%包含員工信息，包括薪資數(shù)據(jù)、個(gè)人身份信息(PII)和就業(yè)記錄，一些提示甚至要求GenAI進(jìn)行員工績(jī)效評(píng)估。

其余提示中，法律和財(cái)務(wù)數(shù)據(jù)占14.9%，這包括銷售管道數(shù)據(jù)、投資組合以及并購(gòu)活動(dòng)的信息，與安全相關(guān)的信息占敏感提示的6.9%，尤其令人擔(dān)憂。

示例包括滲透測(cè)試結(jié)果、網(wǎng)絡(luò)配置和事件報(bào)告，這些數(shù)據(jù)可能為攻擊者提供利用漏洞的藍(lán)圖。最后，敏感代碼，如訪問(wèn)密鑰和專有源代碼，占其余5.6%可能泄露的敏感提示。

免費(fèi)的GenAI服務(wù)構(gòu)成安全威脅

同樣令人擔(dān)憂的是，大量員工使用GenAI服務(wù)的免費(fèi)版本，而這些版本通常不具備企業(yè)版本的安全功能。許多免費(fèi)版本工具明確表示，它們使用客戶數(shù)據(jù)進(jìn)行訓(xùn)練，這意味著輸入的敏感信息可能被用于改進(jìn)模型。

在評(píng)估的GenAI模型中，63.8%的ChatGPT用戶使用的是免費(fèi)版本，而使用Gemini的用戶中有58.6%，使用Claude的用戶中有75%，使用Perplexity的用戶中有50.5%。

“大多數(shù)GenAI的使用是平凡的，但我們分析的8.5%的提示可能使敏感的個(gè)人和公司信息面臨風(fēng)險(xiǎn)。在大多數(shù)情況下，企業(yè)能夠通過(guò)阻止請(qǐng)求或警告用戶他們即將要做的事情來(lái)管理這種數(shù)據(jù)泄露，但并不是所有公司都具備這種能力。大量免費(fèi)訂閱也是一個(gè)令人擔(dān)憂的問(wèn)題，‘如果產(chǎn)品是免費(fèi)的，那么你就是產(chǎn)品’這句話在這里同樣適用。盡管GenAI工具背后的公司做出了最大努力，但仍存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。”Harmonic Security的首席執(zhí)行官阿拉斯泰爾·帕特森(Alastair Paterson)說(shuō)。

企業(yè)必須超越“阻止”策略，以有效管理GenAI的風(fēng)險(xiǎn)。