Витік конфіденційних даних через AI

Що таке Витік конфіденційних даних через AI?

Згідно зі звітом Cyberhaven за 2024 рік, понад 10% корпоративних працівників вставляють конфіденційні дані в споживчі AI-інструменти, причому конфіденційні дані з'являються майже у 4% всіх AI-взаємодій. У цій симуляції ви граєте працівника, який копіює записи клієнтів, API-ключі та внутрішні стратегічні документи в споживчий AI-чатбот, щоб прискорити робоче завдання. Вправа показує, що відбувається далі: дані потрапляють у конвеєр журналювання провайдера AI, потенційно стають частиною майбутніх навчальних даних і з'являються у відповідях іншим користувачам, які ставлять пов'язані запитання. Ви побачите, як ваш вставлений API-ключ з'являється в результатах запиту симульованого зловмисника, і як конфіденційне ім'я клієнта з'являється в непов'язаному резюме, згенерованому AI. Потім сценарій проведе вас технічним шляхом ваших даних від моменту натискання Enter до зберігання у векторних базах даних, журналах розмов та наборах даних для файнтюнінгу моделі. Ви оціните, які рівні класифікації даних є безпечними для обробки AI, навчитеся розрізняти корпоративні AI-інструменти з угодами про обробку даних та споживчі інструменти з широкими політиками використання навчальних даних, і практикуватимете редагування конфіденційного контенту перед надсиланням промптів. Інцидент 2023 року в Samsung, де інженери витекли пропрієтарний вихідний код через ChatGPT, призвів до загальнокорпоративної заборони зовнішніх AI-інструментів. Ця вправа забезпечить розуміння того, чому дисципліна поводження з даними поширюється на AI-інструменти з такою самою суворістю, як на електронну пошту, хмарне сховище та будь-який інший зовнішній сервіс.

Що ви дізнаєтесь у Витік конфіденційних даних через AI

• Визначити категорії конфіденційних даних, включаючи PII, облікові дані, фінансові записи та комерційні таємниці, які ніколи не повинні вводитися в споживчі AI-інструменти
• Простежити технічний шлях надісланих даних через журналювання AI, конвеєри навчання та системи векторного зберігання
• Розрізняти корпоративні AI-розгортання з угодами про обробку даних та споживчі AI-інструменти з широкими політиками використання даних
• Застосовувати системи класифікації даних для визначення, яка інформація безпечна для обробки за допомогою AI
• Оцінити організаційні наслідки витоку даних через AI, включаючи регуляторні штрафи, підрив довіри клієнтів та конкурентне розкриття

Витік конфіденційних даних через AI — Кроки навчання

1. Напружений день у Meridian Analytics

   Ваша команда має доступ до схваленого корпоративного інструменту штучного інтелекту для внутрішньої роботи, але сьогодні тиск зростає, і ви збираєтеся піти небезпечним шляхом.

2. Термінове прохання від Девіда

   Аліса отримує електронний лист від свого менеджера Девіда Чена. Засідання правління відбудеться через три години, і йому негайно потрібен досконалий підсумок звіту про роботу клієнта за 3 квартал.

3. Відкриття даних клієнта

   Девід згадав, що необроблені дані знаходяться на спільному диску. Аліса відкриває звіт про ефективність клієнта за третій квартал, щоб переглянути, що їй потрібно узагальнити.

4. Перегляд конфіденційних даних

   Звіт чітко позначено як конфіденційний. Він містить імена клієнтів, дані про доходи, особисті контактні дані, ключі API виробництва та прогнози, захищені NDA.

5. Спокусливий ярлик

   Аліса розглядає свої варіанти. Схвалений компанією корпоративний інструмент штучного інтелекту вимагає доступу до VPN і має обмеження на введення 500 слів на безкоштовному рівні. Водночас SmartGen AI — популярний споживчий чат-бот — швидкий, безкоштовний і легко обробляє великі текстові блоки. Через брак часу Аліса вирішує використати SmartGen AI, щоб допомогти швидко узагальнити дані клієнта.

6. Вставлення конфіденційних даних

   Аліса прикріплює звіт клієнта за третій квартал до чату SmartGen AI і вводить підказку з проханням надати резюме.

7. SmartGen AI реагує

   SmartGen AI обробляє запит і повертає досконале резюме. Він працює саме так, як сподівалася Аліса - чистий, добре структурований, готовий для колоди дошки. Але потім з’являється щось інше: банер із застереженням про збереження даних у верхній частині чату.

8. Попередження про збереження даних

   У верхній частині чату з’явився банер із попередженням. Там написано: «Ваша розмова може бути використана для покращення SmartGen AI». Це, здавалося б, нешкідливе повідомлення означає, що все, що щойно вставила Аліса — імена клієнтів, дані про доходи, особисті адреси електронної пошти, ключі API, захищені NDA прогнози — тепер зберігається в конвеєрі навчання SmartGen AI.

9. Що було викрито

   Давайте розглянемо, що саме Аліса надіслала зовнішній службі без угоди про захист даних. Повідомлення, яке вона вставила, містило кілька категорій конфіденційних даних, які ніколи не повинні залишати затверджені системи компанії.

10. Час Минає

    Аліса закінчує короткий зміст і надсилає його Девіду. Вона добре відчуває, що дотримується терміну. Тим часом система запобігання втраті даних (DLP) Meridian Analytics позначила вихідну передачу даних на chat.smartgenai.com.