Samsung Electronics’teki mühendislerin yanlışlıkla ChatGPT aracılığıyla hassas şirket bilgilerini üç ayrı olayda sızdırdığına dair son raporlar, çalışanların iş yerinde yapay zeka hizmetlerini kullanmasını yöneten politikaların kurumsal kuruluşlar için neden hızla bir zorunluluk haline geldiğini vurgulamaktadır.
Veri sızıntılarını ilk bildirenlerden biri olan The Economist Korea, ilk olayı, bir mühendisin bir yarı iletken veri tabanından hatalı kaynak kodunu ChatGPT’ye yapıştırarak chatbot’a hataları düzeltmesi istemiyle ilgili olarak tanımladı. İkinci örnekte, belirli Samsung ekipmanlarındaki kusurları belirlemek için kodu optimize etmek isteyen bir çalışan, bu kodu ChatGPT’ye yapıştırdı. Üçüncü sızıntı, bir çalışanın ChatGPT’den Samsung’daki dahili bir toplantının tutanaklarını oluşturmasını istemesiyle ortaya çıktı.
OpenAI, ChatGPT’yi Kasım ayında herkese açık hale getirdiğinden beri, olaylar, araştırmacıların yapabilecekleri konusunda uyardıkları şekilde gerçekleşti. Güvenlik analistleri, kullanıcıların ChatGPT ile veri paylaştığı tüm durumlarda, bilgilerin nasıl makine öğrenimi/büyük dil modeli (ML/LLM) için eğitim verileri haline geldiğini fark ettiler. Daha sonra birisinin doğru istemleri kullanarak verileri nasıl alabileceğini not ettiler.
OpenAI’nin kullanıcı kılavuzu, ChatGPT yaratıcısı OpenAI’nin kendisi kullanıcıları risk konusunda uyardı: “Geçmişinizden belirli istemleri silemiyoruz. Lütfen konuşmalarınızda hassas bilgileri paylaşmayın.”
Samsung Acil Durum ChatGPT Önlemlerini Yürürlüğe Getiriyor
Güney Koreli elektronik devinin çalışanların üretken yapay zeka aracına erişmesine izin vermesinden yalnızca üç hafta sonra, üçüncü olaydan sonra bu durum, Samsung’ta ChatGPT kullanımının yeniden düşünülmesine neden oldu. Şirket, geri adım atmadan önce güvenlik ve gizlilik endişeleri nedeniyle teknolojiyi başlangıçta yasaklamıştı.
The Economist, Samsung’un ChatGPT kullanımını dahili olarak sınırlamak için, çalışanların 1.024 bayttan daha büyük ChatGPT soruları sormasını kısıtlamak ve kurumsal verileri ChatGPT gibi LLM’lerle paylaşan çalışanlara karşı disiplin cezası vermeyi düşünmek dahil olmak üzere acil durum önlemlerini bildirdi.
Samsung, üç olay ve şirketin bunlara yanıtı hakkında açıklama isteyen bir Karanlık Okuma talebine yanıt vermedi. Ancak güvenlik araştırmacıları, çalışanlar kuruluş içindeki çeşitli kullanım durumları için ChatGPT’den yararlanmaya başladıkça bu tür sızıntıların yaygınlaşabileceği konusunda uyarıda bulunuyorlar.
Cyberhaven’in bu yılın başlarında yürüttüğü bir araştırma, müşteri şirketlerinde birçok çalışanın ChatGPT’ye kaynak kodunu, müşteri verilerini, düzenlenmiş bilgileri ve diğer gizli verileri yapıştırdığını ortaya çıkardı. Örnekler arasında, bir PowerPoint slayt sunumu oluşturabilmesi için şirketinin 2023 strateji belgesini sohbet botuna yapıştıran bir yönetici ve ChatGPT’nin hastanın sigorta şirketine bir mektup oluşturabilmesi için hastanın adını ve tıbbi teşhisini giren bir doktor sayılabilir.
AI: İşletmeler için Riske Karşı Fayda Kumarı
Zimperium’da ürün stratejisinden sorumlu başkan yardımcısı Krishna Vishnubhotla, “Bir çalışanın bakış açısına göre, ChatGPT benzeri araçlar katlanarak daha üretken olma potansiyeli sunuyor ve bu da onları görmezden gelmeyi zorlaştırıyor” diyor. Bununla birlikte, belirli rollere ve sorumluluklara bağlı olarak değişecek olan risklere karşı ödüller denklemini dikkate almanın önemli olduğunu belirtiyor. Örneğin, fikri mülkiyetle çalışan çalışanlar, ChatGPT gibi araçların nasıl kullanılacağına ilişkin daha fazla rehberliğe ve tedbire ihtiyaç duyacaklardır: “Kuruluşların, bu fırsatı benimsemeden önce verimliliğin nasıl görüneceğini ve nereden geleceğini anlamaları çok önemlidir.”
Securiti’de yapay zekadan sorumlu başkan yardımcısı Michael Rinehart, ChatGPT gibi gelişmiş Üretken Yapay Zeka araçlarının eğitim sırasında neyi ezberleyip neyi ezberlememesi gerektiğini ayırt edemediğini hatırlamanın önemli olduğunu söylüyor. Bu nedenle, bunları farklı kullanım durumları için kullanmak isteyen kuruluşlar, kişisel ve diğer hassas verileri sınıflandırmak, maskelemek veya simge haline getirmek için araçlar kullanmayı düşünmelidir.
Veya “ikinci bir yaklaşım, diferansiyel mahremiyetin kullanılmasıdır. Diferansiyel mahremiyet, yapılandırılmış verilerde bireyler için kanıtlanabilir koruma sağlar” diyor Rinehart.
Diferansiyel Gizlilik
Rinehart, diferansiyel gizliliği bir veri kümesindeki verileri korumaya yönelik bir teknik olarak tanımlar. “Gerçek verilere gürültü veya hata eklemeyi içerir” diyor. Sentetik veriler, veri kümesindeki bireyleri açığa çıkarmadan gerçek dünya verilerinin önemli özelliklerinin çoğuna sahip olacaktır. “Düzgün kullanılırsa, sentetik veri kümesi sızdırılsa bile gizlilik yine de korunur. Farklı gizliliğe sahip kurumsal düzeyde sentetik veri oluşturucular artık mevcut” diyor.
Rinehart, kuruluşların ChatGPT’nin işyerinde kullanımını yasaklama girişimlerini kötü tasarlanmış ve işe yarama ihtimali düşük olarak algılıyor. “Güvenlik alanındaki tutarlı bir hikaye, bir aracı kullanmak için güvenli bir yol sunmanın onu engellemekten daha iyi olabileceğidir” diyor. “Bir araç inanılmaz derecede yüksek faydalar sunuyorsa, insanlar ondan yararlanmak için engelleri aşmaya çalışabilir.”
Tanium’da uç nokta güvenliği müdürü Melissa Bischoping, ChatGPT’de veri paylaşımıyla ilgili sorunun, içerik oluşturucuların verileri görebilmeleri ve modelin nasıl eğitilmeye ve büyümeye devam ettiğini anlamak için kullanabilmeleri gerçeğinde yattığını söylüyor. Bir kullanıcı ChatGPT ile bilgi paylaştığında, bu bilgi bir sonraki modelin parçası haline gelir.
“Kuruluşlar, ChatGPT gibi güçlü araçların kullanımını etkinleştirmek istediklerinden, özel olarak eğitilmiş bir modelden yararlanmalarına olanak tanıyan seçenekleri keşfetmelidirler; “