«كاسبرسكي» تحدد أربعة مخاطر لاستخدام ChatGPT على خصوصية الشركات

يعتمد الكثير من الموظفين اليوم على النماذج اللغوية القائمة على الشبكات العصبونية في عملهم مثل روبوت المحادثة ChatGPT، حيث كشف استطلاع أجرته كاسبرسكي في روسيا أن 11% من المشاركين استخدموا روبوتات المحادثة، مع اعتقاد قرابة 30% منهم بقدرتها على استبدال الوظائف في المستقبل.

وتشير استطلاعات أخرى إلى أن 50% من موظفي المكاتب في بلجيكا و65% منهم في المملكة المتحدة يعتمدون على روبوت المحادثة ChatGPT.

كما يشير رواج كلمة «ChatGPT» في سجلات البحث ضمن Google Trends إلى استخدام واضح للأداة خلال أيام الأسبوع، الذي قد يكون مرتبطاً باستخدام الموظفين له أثناء العمل.

وقد حدد باحثو كاسبرسكي أربعة مخاطر رئيسية قد تتعرض لها الشركات عند استخدام موظفيها روبوت ChatGPT، متمثلة في تسرب البيانات أو الاختراق من جهة المزود، وتسريب البيانات عبر روبوتات المحادثة، والعميل الخبيث، واختراق الحسابات.

وحول تسرب البيانات أو الاختراق من جهة المزود، فإنه على الرغم من أن مشغلي روبوتات المحادثة القائمة على النماذج اللغوية الكبيرة هم اللاعبون الأكبر في المجال التقني، فهي غير منيعة ضد الاختراق أو تسرب البيانات، فعلى سبيل المثال، تمكن مستخدمو أداة ChatGPT في إحدى الحوادث من رؤية الرسائل في سجلات محادثة تعود لمستخدمين آخرين.
وبالنسبة إلى تسريب البيانات عبر روبوتات المحادثة؛ يمكن استخدام الرسائل التي يتم تبادلها مع روبوتات المحادثة لتدريب النماذج اللغوية المستقبلية، إذ تميل النماذج اللغوية الكبيرة أحياناً إلى «التذكر غير المقصود» حيث تستحضر سلاسل فريدة من البيانات مثل أرقام الهواتف التي لا تعمل على تحسين جودة النموذج، ولكنها تشكل مخاطراً على الخصوصية، فأي بيانات في مجموعة البيانات المستخدمة لتدريب هذه النماذج قد يصل إليها مستخدمون آخرون سواء عن قصد أو عن غير قصد.
وقد يلجأ الأشخاص في الأماكن التي تحظر فيها الخدمات الرسمية، مثل ChatGPT، إلى بدائل غير رسمية من برامج أو مواقع إلكترونية أو روبوتات محادثة أخرى، ويقومون بتحميل برمجيات خبيثة تتظاهر بأنها عميل أو تطبيق لا وجود له في الحقيقة.
كما يمكن للمهاجمين الدخول إلى حسابات الموظفين، والوصول إلى بياناتهم، عبر هجمات التصيد الاحتيالي أو بيانات تسجيل الدخول. حيث تجد خدمة Kaspersky Digital Footprint Intelligence بانتظام منشورات في منتديات الإنترنت المظلم تبيع إمكانية الوصول إلى حسابات مختلفة على منصات روبوتات المحادثة.

وقد تعرض روبوتات المحادثة خصوصية كل من المستخدمين والشركات للخطر، لذا على المطورين المسؤولين أن يوضحوا كيفية استخدامهم للبيانات عند تدريب نموذجهم اللغوي في سياسة الخصوصية الخاصة بهم.
ويظهر تحليل أجرته كاسبرسكي لروبوتات المحادثة الشائعة (بما في ذلك ChatGPT، وChatGPT API، وAnthropic Claude، وBing Chat، وBing Chat Enterprise، وYou.com، وGoogle Bard، وتطبيق Genius من تطوير Alloy Studios) أن معايير الأمن والخصوصية أعلى في روبوتات المحادثة الموجهة للعملاء من الشركات (B2B) نظراً للمخاطر الأكبر التي تتعرض إليها معلومات الشركات.

وبالتالي، تركز الشروط والأحكام الخاصة باستخدام البيانات، وجمعها، وتخزينها، ومعالجتها بشكل أكبر على الحماية في ذلك المجال مقارنة بالخدمات الموجهة للمستهلكين الأفراد (B2C). في هذا التحليل، لا تقوم الأدوات الموجهة للشركات في هذا التحليل بحفظ سجلات المحادثة تلقائياً عادةً، وفي بعض الحالات، لا ترسل أي بيانات إلى خوادم الشركة، حيث يعمل روبوت المحادثة محلياً في شبكة العميل.
وفي سياق الموضوع، قالت آنا لاركينا، خبيرة الأمن والخصوصية لدى كاسبرسكي، إنه بعد فحص المخاطر المحتملة المرتبطة باستخدام روبوتات المحادثة المستندة إلى النماذج اللغوية الكبيرة للأغراض المهنية، وجدنا أن خطر تسرب البيانات الحساسة يكون أعلى عند استخدام الموظفين للحسابات الشخصية أثناء العمل.

وتابعت لاركينا أن ذلك رفع وعي الموظفين بمخاطر استخدام روبوتات المحادثة أولوية للشركات، فمن ناحية، يحتاج الموظفون إلى معرفة البيانات التي تعتبر سرية أو شخصية، أو تعد سراً مهنياً، ولماذا لا يجب إدخالها إلى روبوت محادثة، ومن ناحية أخرى، يجب على الشركة وضع قواعد واضحة لاستخدام مثل هذه الخدمات، وذلك إن كانت تسمح باستخدامها أصلاً.

كما أوصى خبراء كاسبرسكي، باستخدام كلمات مرور قوية وفريدة؛ وإنشاء كلمات مرور معقدة لكل حساب، وتجنب استخدام معلومات يمكن تخمينها بسهولة مثل أعياد الميلاد أو أسماء الأشخاص، وتوخي الحذر من التصيد الاحتيالي، موضحين الحذر من الرسائل الإلكترونية، أو الرسائل النصية، أو المكالمات المفاجئة التي تطلب معلومات شخصية، وتحقق من هوية المرسل قبل مشاركة أي بيانات حساسة.

وأشادوا بضرورة تثقيف الموظفين، حيث يجب على الموظف أن يكون على معرفة مستمرة بأحدث التهديدات السيبرانية وأفضل الممارسات للحفاظ على أمن الشركة السيبراني، فضلاً عن تحديث رامج الشركة بانتظام، وتحديث أنظمة التشغيل، والتطبيقات، وبرامج مكافحة الفيروسات بشكل مستمر ومنتظم. فغالباً ما تتضمن هذه التحديثات تصحيحات أمنية.

وأوصوا بضرورة تقليل مشاركة معلومات الشركة على شبكات التواصل الاجتماعي أو المنتديات العامة، والتأكد من مشاركتها عند الضرورة القصوى فقط، والتأكد من موثوقية الروابط ومواقع الويب المستخدمة، والتأكد من سلامة الروابط الخاصة بمواقع الويب قبل زيارتها، خاصة قبل إدخال بيانات تسجيل الدخول أو إجراء عمليات شراء، بالإضافة إلى استخدم حل حماية مخصص للشركات لمنع الموظفين من استشارة روبوتات المحادثة غير الموثوقة، يمكن للشركات استخدام حل أمني يحلل الخدمات السحابية، إذ يقدم حل Kaspersky Endpoint Security Cloud ميزة Cloud Discovery لإدارة الخدمات السحابية وتقييم أخطار استخدامها.

ولمعرفة المزيد حول أخطار الخصوصية الناجمة عن استخدام روبوتات المحادثة، يرجى زيارة موقع Securelist.com.