GenAI中的敏感數據暴露問題
一項基于數萬名商業用戶提示的新研究揭示,近10%的提示可能泄露敏感數據。
Harmonic Security在2024年第四季度對這些提示進行了分析,并監控了包括Microsoft Copilot、OpenAI ChatGPT、Google Gemini、Anthropic的Claude和Perplexity在內的GenAI工具的使用情況。
在絕大多數情況下,員工使用GenAI工具的行為是直接的。用戶通常會要求總結一段文本、編輯博客或編寫代碼文檔,然而,8.5%的提示令人擔憂,并可能使敏感信息面臨風險。
在這些提示中,45.8%可能泄露了客戶數據,如賬單信息和認證數據,另有26.8%包含員工信息,包括薪資數據、個人身份信息(PII)和就業記錄,一些提示甚至要求GenAI進行員工績效評估。
其余提示中,法律和財務數據占14.9%,這包括銷售管道數據、投資組合以及并購活動的信息,與安全相關的信息占敏感提示的6.9%,尤其令人擔憂。
示例包括滲透測試結果、網絡配置和事件報告,這些數據可能為攻擊者提供利用漏洞的藍圖。最后,敏感代碼,如訪問密鑰和專有源代碼,占其余5.6%可能泄露的敏感提示。
免費的GenAI服務構成安全威脅
同樣令人擔憂的是,大量員工使用GenAI服務的免費版本,而這些版本通常不具備企業版本的安全功能。許多免費版本工具明確表示,它們使用客戶數據進行訓練,這意味著輸入的敏感信息可能被用于改進模型。
在評估的GenAI模型中,63.8%的ChatGPT用戶使用的是免費版本,而使用Gemini的用戶中有58.6%,使用Claude的用戶中有75%,使用Perplexity的用戶中有50.5%。
“大多數GenAI的使用是平凡的,但我們分析的8.5%的提示可能使敏感的個人和公司信息面臨風險。在大多數情況下,企業能夠通過阻止請求或警告用戶他們即將要做的事情來管理這種數據泄露,但并不是所有公司都具備這種能力。大量免費訂閱也是一個令人擔憂的問題,‘如果產品是免費的,那么你就是產品’這句話在這里同樣適用。盡管GenAI工具背后的公司做出了最大努力,但仍存在數據泄露的風險。”Harmonic Security的首席執行官阿拉斯泰爾·帕特森(Alastair Paterson)說。
企業必須超越“阻止”策略,以有效管理GenAI的風險。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號