Şirketlerin Şeffaf Davranması Sağlandığında Çok Az Kısıtlama Var Görünüyor
Mathew J. Schwartz (euroinfosec) •
21 Mayıs 2024
Bireylerin kişisel verileri ve içerikleri, yapay zeka firmaları tarafından, kullanıcıların katılımına gerek kalmadan büyük dil modellerini eğitmek için kullanılabilir mi?
Ayrıca bakınız: Siber güvenlik iş gücü gelişimi: Öğrencilere uygulamalı SOC deneyimi sunarken siber güvenliği artıran bir Kamu/Özel Ortaklığı
Üretken yapay zeka araçları hızlı yükselişini sürdürdükçe bu soru daha sık soruluyor. Pek çok kullanıcı, yapay zeka sistemlerini güçlendirmek için gereken açgözlü LLM’leri beslemeye varsayılan olarak yatkın görünen şart ve koşulları fark ediyor. Etik ve gizlilik kaygılarına işaret edin.
San Francisco’daki yapay zeka müşteri etkileşimi şirketi ASAPP’nin güven, güvenlik ve BT sorumlusu Khash Kiani, “Slack kurumsal müşterilerinin, verilerinin Slack’in küresel #llms’sini (muhtemelen satış ekibinin xgen modelleri) eğitmek için kullanılmasına otomatik olarak dahil edildiğini keşfettim” dedi. , yakın tarihli bir LinkedIn gönderisinde şöyle dedi. “Müşterilere küresel LM’lerini eğitmeleri için ödeme yapma seçeneğinin otomatik olarak seçilmesi gereksiz!”
Salesforce’un sahibi olduğu Slack, Adobe, Amazon Web Services, Google Gemini, LinkedIn, OpenAI ve daha birçokları dahil olmak üzere, varsayılan olarak müşterilerin verilerini ve etkileşimlerini kullanabileceklerini belirten şartlar ve koşullara sahip bir dizi firmadan biridir. LLM’lerini eğitme hizmetleri.
Slack’in gizlilik politikasında “Müşteri Verilerinizin küresel Slack modellerinin eğitilmesine yardımcı olmasını istemiyorsanız bu seçeneği devre dışı bırakabilirsiniz” ifadesi yer alıyor. “Devre dışı bırakırsanız, çalışma alanınızdaki Müşteri Verileri yalnızca kendi çalışma alanınızdaki deneyimi geliştirmek için kullanılacak ve temel modellere katkıda bulunmadan, küresel olarak eğitilmiş AI/ML modellerimizin tüm avantajlarından yararlanmaya devam edeceksiniz.”
Slack, gizlilik politikasının “müşteri verileri ile Slack’teki üretken yapay zeka arasındaki ilişkiyi daha iyi açıklamak için” Cuma günü yapılan değişiklikleri içerdiğini söyledi. Slack, kanal adı verilen mesajlaşma alanlarının temelini oluşturan LLM’lerin müşterilerin mesajlarına veya dosyalarına doğrudan erişiminin olmadığını ve “bu modelleri, herhangi bir müşteriyi öğrenebilecekleri, ezberleyebilecekleri veya yeniden üretebilecekleri şekilde inşa etmiyoruz veya eğitmiyoruz” dedi. her türlü veri.” LLM’lerin mesaj zaman damgaları, bireyler arasındaki etkileşimlerin sayısı ve kanallar arasında kullanılan kelimelerin sıklığı dahil olmak üzere bazı meta veri türlerine erişimi vardır.*
Slack, hiçbir müşteri verisinin üretken yapay zeka eklenti ürünü Slack AI’yi eğitmek için kullanılmadığını söyledi.*
Herkes varsayılan olarak kullanıcıları etkinleştirmez. Microsoft, bir kullanıcı ile Copilot sohbet robotu arasındaki etkileşimlerin içeriklerini takip etmek için saklandığını, ancak “verilerin depolanırken şifrelendiğini ve Microsoft 365 için Microsoft Copilot tarafından kullanılanlar da dahil olmak üzere temel LLM’leri eğitmek için kullanılmadığını” söylüyor.
Hukuk ve gizlilik uzmanları, kuruluşların yaptıklarını dikkatli bir şekilde belgelemeleri, Avrupa’daki Genel Veri Koruma Yönetmeliği de dahil olmak üzere ilgili gizlilik düzenlemelerine nasıl uyduğunu ayrıntılarıyla açıklamaları ve hepsinden önemlisi kullanıcılara karşı şeffaf olmaları gerektiğini söylüyor.
Londra merkezli Punter Southall Law’ın ortağı avukat Jonathan Armstrong, “İtalya ve İspanya da dahil olmak üzere bir dizi GDPR ülkesindeki düzenleyiciler, eğitim verileriyle ilgili şeffaflığı arıyorlar ve bu onların radarında” dedi.
Mart ayında, İtalya Veri Koruma Kurumu’nun OpenAI’ye yönelik en son talebi, kuruluşun algoritmayı nasıl eğittiği, eğitim verilerini hangi kaynaklardan topladığı ve belirli veri kategorilerini toplayıp toplamadığı dahil olmak üzere, yakında çıkacak olan metinden videoya dönüştürme oluşturucusu Sora ile ilgiliydi. “dini veya felsefi inançlar, siyasi görüşler, genetik veriler, sağlık, cinsel yaşam.”
Birleşik Krallık Bilgi Komiseri John Edwards geçen hafta Londra’daki New Scientist Gelişen Teknolojiler Zirvesi’nde yaptığı konuşmada, “Bu teknolojileri kullanan kuruluşlar, bilgilerinin nasıl işleneceği konusunda kullanıcılarına karşı açık olmalıdır” dedi. “Yapay zekanın ve gelişen teknolojilerin avantajlarından yararlanmaya devam etmemizin tek yolu bu.”
Kullanıcıları varsayılan olarak etkinleştirmenin GDPR’ye uygun olup olmadığı açık bir soru olmaya devam ediyor. Armstrong, “Kişisel veriler söz konusu olduğunda, AI eğitim verileri için devre dışı kalma seçeneğinin nasıl çalışabileceğini düşünmek zor” dedi. “Dışarı çıkma seçeneği gerçekten belirgin olmadığı sürece (örneğin, ekrandaki net uyarılar; bunu şartlar ve koşullara gömmek yeterli olmayacaktır), bunun GDPR’nin şeffaflık gerekliliklerini karşılaması pek olası değildir.”
Net cevaplar potansiyel olarak gelmeye devam ediyor. Skadden, Arps, Slate, Meagher & Flom hukuk firması şunları söyledi: “Birçok gizlilik lideri, şeffaflık, amaç sınırlaması ve kişisel verilerin yapay zekanın geliştirilmesi ve kullanımında kullanılmasıyla ilgili işlem gerekçeleri gibi konularla ilgili sorularla boğuşuyor.” LLP, Birleşik Krallık hükümetinin yerel düzenleyicilere yapay zekaya yaklaşımlarını detaylandırmaları yönündeki talebine yanıt olarak. “ICO bu sorulara herhangi bir spesifik yanıt vermiyor.”
Bunun yerine, Bilgi Komiserliği Ofisi yapay zekayı ve gelişen teknolojiyi önümüzdeki yılın temel odak alanlarından biri olarak belirledi. Düzenleyici, şu anda, insanların gizlilik haklarının üretken yapay zeka modellerinin nasıl eğitilip kullanıldığı ve kimin sorumlu olduğu ile nasıl uzlaştırılacağı gibi konularda sektörle istişarelerde bulunuyor.
Danışmanlık Talan’ın veri gizliliği sorumlusu Camilla Winlo yakın tarihli bir blog yazısında “Üretken yapay zeka çıktılarından kimin sorumlu olduğu sorusu çok sıcak bir konu” dedi. “Üretimsel yapay zeka çok esnek davranacak, ‘öğrenecek’ ve zaman içinde değişecek şekilde tasarlandı. Tasarım gereği geliştiriciler aracın nasıl kullanılacağını bilemeyecek. Ancak kullanıcıların aracın nasıl çalıştığını bilmesi pek mümkün değil.”
Diğer açık sorular arasında AB’nin “unutulma hakkı”nın yüksek lisans eğitimlerinin oluşturulma şekliyle uyumlu olup olmadığı yer almaktadır (bkz.: RSAC Şifreleme Uzmanları Paneli Yapay Zeka, Kuantum Sonrası ve Gizlilikle Mücadele Ediyor).
RSA kripto sisteminde “S” olan kriptograf Adi Shamir, hem Çin’in hem de ABD’nin, Avrupa’nın aksine, bu tür kısıtlamalarla (eğer varsa) çok az karşılaştığını söyledi. Bu ayın başlarında RSA Konferansında “Yasayı çiğnemediğiniz sürece, Avrupa’da yasal olarak büyük dil modelleri geliştirme olasılığı konusunda oldukça kötümserim” dedi.
Verilerinizin başka birinin LLM’sini eğitmek için kullanılması risksiz bir girişim değildir. Pek çok CISO, fikri mülkiyetin, gizli bilgilerin, düzenlenmiş verilerin (insanların kişisel tanımlayıcı bilgileri dahil) ve diğer hassas verilerin bir başkasının LLM’sine girebileceğinden haklı olarak endişe duymaktadır. Bir kez oraya varıldığında, bilgiler diğer kullanıcılara sunulabilir, sırlar parçalanabilir ve en azından bu bilgilerin bulunduğu ülkelerde gizlilik hakları ihlal edilebilir.
Bu riskler göz önüne alındığında, Britanya Çalışma ve Emeklilik Bakanlığı, işlediği kişisel bilgilerin hacmi nedeniyle, diğer birçok firma gibi çalışanların ve yüklenicilerin ChatGPT ve benzerlerini kullanmasını yasakladı.
Bu, gizli veya özel bilgilere sahip kuruluşların yeni yapay zeka araçlarını benimsemeyeceği anlamına gelmiyor. Bunu yaparlarsa veya yaptıklarında, bunun dışarıdakilerin erişemeyeceği özel bir sohbet robotuna dayalı olması daha muhtemeldir.
Öyle olsa bile, CISO’lar için zorluklardan biri, çalışanların kullanıyor olabileceği tüm farklı yapay zeka hizmetlerini takip etmeye çalışmak olacaktır; bu, gölge BT endişelerinin kuşattığı imkansız bir görevdir. Uzmanlar, veri kaybını önleme yazılımı ve sitelerin ve hizmetlerin engellenmesi veya filtrelenmesi gibi teknik kontrollerin yardımcı olabileceğini söylüyor.
Armstrong, “Eğitim de bunun merkezinde yer alacak; organizasyondaki herkese yapay zeka ile ilgili riskleri ve fırsatları anlatmak ve onlara riski yönetmeleri için bir yol sunmak” ve aynı zamanda riskleri değerlendirebilmeleri için yönetim kurulunu eğitmek gerekecek.
Kuruluşlar, belki de özel LLM’lere dayalı olarak genel yapay zeka araçlarını satın aldıkça, sağlayıcıların geçerli gizlilik veya güvenlik kurallarına uygunluk açısından izlenmesi gerekecektir. “Sözleşmeler ve durum tespiti de önemli olacak; kuruluşunuzun sizin için AI uygulamaları geliştirmek üzere ‘resmi olarak’ bir sağlayıcıyla çalıştığı durumlarda, kiminle uğraştığınızı bilmek ve uygun katılım şartlarını belirlemek önemli olacaktır.” Armstrong dedi.
*Güncelleme 21 Mayıs 2024 14:13 UTC: Bu hikaye, Slack’in açıklamasını içerecek şekilde güncellendi.