ChatGPT, ilk büyük gafını yaşadıktan sonra çevrimdışı kalmaya devam ediyor. Bir ChatGPT güvenlik açığı, kayıtlı kullanıcılara yönelik kullanıcı konuşmalarının kısa açıklamalarını ortaya çıkardı.
ChatGPT’nin sohbet geçmişi, bu raporun yayınlandığı sırada çevrimdışı durumdaydı. ChatGPT hizmetleri, bu raporun yayınlandığı tarihte Plus olmayan kullanıcılar için mevcut değildi.
Bir Bloomberg raporuna göre, sorunun adı verilmeyen bir açık kaynaklı yazılımdaki ChatGPT güvenlik açığından kaynaklandığı anlaşılıyor. Edinilen bilgiye göre, olayın kesin sebebinin bulunması için soruşturma başlatıldı.
ChatGPT, çeşitli siber suçluların onu kötü amaçlı kod oluşturmak için kullanması nedeniyle zaten siber güvenlik haberlerinde yer alıyor.
The Cyber Express’in daha önce bildirdiğine göre, ChatGPT’den doğrudan kötü amaçlı bir komut dosyası oluşturması istendiğinde yanıt vermeyecek olsa da, dolaylı olarak manipülasyon veya kafa karışıklığı yoluyla istenebilir.
ChatGPT güvenlik açığı ve gizlilik riskleri
OpenAI, kullanıcıların bazı kullanıcıların kayıtlı ChatGPT kullanıcılarının sohbet geçmişlerinin başlıklarını görmelerine izin veren bir güvenlik açığı hakkında uyarmasının ardından 20 Mart’ın başlarında ChatGPT hizmetini geçici olarak devre dışı bıraktı.
Bir OpenAI sözcüsü Bloomberg’e verdiği demeçte, başlıkların ChatGPT web sitesinin açılış sayfasının sol tarafında görünen kullanıcı geçmişi kenar çubuğunda gösterildiğini söyledi.
Bloomberg raporuna göre, OpenAI, ChatGPT güvenlik açığıyla ilgili bu şikayetleri aldıktan sonra chatbot kısa bir süre devre dışı bırakıldı. Diğer kullanıcıların tartışmalarının içeriği gizlendi.
Verge’nin bildirdiğine göre, bir Reddit kullanıcısı kendilerine ait olmadığını iddia ettikleri birkaç ChatGPT sohbetinin açıklamalarını içeren bir resim yüklerken, Twitter’da başka bir kullanıcı aynı sorunun ekran görüntüsünü paylaştı.
Durumu riskli kılan şey, birkaç kullanıcının gizli iş ve kişisel verilerini sohbet penceresine koymasıdır.
ChatGPT güvenlik açığı ve kullanıcı takdir yetkisi
ChatGPT, kullanıcılarının platforma eklediği bilgileri besler ve geliştirir. OpenAI’nin web sitesinin SSS sayfasındaki bir bölümü “Lütfen konuşmalarınızda hassas bilgileri paylaşmayın” şeklinde okuyun.
Sohbetlerin chatbot’u eğitmek için kullanılabileceği ve şirketin bir kişinin sohbet geçmişinden istemleri silme yetkisine sahip olup olmadığına dair bir söz bulunmadığı göz önüne alındığında, durum büyük gizlilik endişeleri doğurur.
Araştırmacılar, gizli çalışma ve iş verilerini ChatGPT’ye girerek kuruluşları riske atma uygulaması konusunda defalarca uyarıda bulundu.
Siber güvenlik firması Cyberhaven kısa bir süre önce şirketin ürünlerini kullanan 1,6 milyon çalışanın %4,9’unun şirket bilgilerini ChatGPT’ye kopyalayıp yapıştırmayı en az bir kez denediğini fark etti.
Verizon, Softbank, JP Morgan, Hitachi vb. gibi küresel kuruluşlar, ofis cihazlarında ChatGPT erişimini engelledi. Ocak ayında Amazon’da bir avukat, şirket çalışanlarını gizli ayrıntıları ChatGPT’ye vermemeleri konusunda uyardı.
ChatGPT güvenlik açığı, veri ihlali ve sonuçları
Polonyalı avukatlar Agnieszka Wachowska ve Marcin Ręgorowicz, “Bir kullanıcı ChatGPT’ye herhangi bir türde veri girdiğinde, bu verileri araç sağlayıcısı – ABD şirketi OpenAI LLC tarafından kullanılmak üzere sağlar” diye yazdı.
Avukatlar, Hizmet Şartları ve Kullanım Şartlarının şirkete yalnızca “teknolojisini sürdürme, geliştirme ve yükseltme amacıyla” chatbot’a beslenen içeriği kullanma hakkı vermediğini belirtti.
“Bu sadece giriş verileri için değil, yani özet ve kısaltılmış bir sürüm elde etmek için kullanıcı tarafından ChatGPT’ye girilen içerik için değil, aynı zamanda çıktı verileri, yani bu durumda bir özet ve kısaltılmış olan oluşturulan içerik için de geçerlidir. metnin versiyonu” diye yazdılar.
Michael, “Çalışanlar ChatGPT’ye hassas ve yüksek düzeyde gizli bilgiler giriyor olabilir, bu da bu tür verilerin yanlışlıkla veya kasıtlı olarak üçüncü taraflara veya genel halka ifşa edilmesi riskini doğuruyor olabilir; buna ChatGPT aracılığıyla başka isteklere yanıt verirken veya bilgisayar korsanlığı yoluyla bu tür verilerin kullanılması da dahildir.” Avustralya İstihdam Hakları Enstitüsü Başkanı Harmer, Şubat ayında yazdı.
Ona göre, bu tür verilerin ifşa edilmesi veya kötüye kullanılması, şirketler için yalnızca bireysel ve/veya mali açıdan hassas ve gizli verilerin paylaşılması değil, aynı zamanda yasa ihlali nedeniyle tazminat ve para cezalarına maruz kalma da dahil olmak üzere ciddi sonuçlar doğurabilir.
Kısıtlamaların uygulanması söz konusu olduğunda, ticari olarak gizli verilerin ChatGPT’ye ifşa edilmesi de uygun bir faktör olabilir, çünkü mahkemeler verilerin gerçekten gizli olmadığını ve bu koşullarda korunmaması gerektiğini düşünebilir.