ИИ
Взрывной рост приложений, сервисов и плагинов для работы с искусственным интеллектом (ИИ), произошедший в прошлом году, очевидно, будет лишь ускоряться. ИИ внедряют в давно привычные инструменты — от офисных программ и графических редакторов до сред разработки вроде Visual Studio. Все, кому не лень, создают тысячи новых приложений, обращающихся к крупнейшим ИИ-моделям. Но в этой гонке пока никто не сумел решить проблемы безопасности — не организовать полноценную защиту от футуристического «злого ИИ», а хотя бы минимизировать проблемы с утечкой конфиденциальных данных или выполнением хакерских действий на ваших аккаунтах и устройствах через разнообразные ИИ-инструменты. Пока не придумано готовых коробочных решений для защиты пользователей ИИ-ассистентов, придется кое-чему подучиться и помочь себе самостоятельно.
Итак, как воспользоваться ИИ и не пожалеть об этом?
Фильтруйте важные данные
Политика конфиденциальности OpenAI, компании-разработчика ChatGPT, вполне недвусмысленно уведомляет, что все диалоги с чат-ботом сохраняются и могут быть использованы для нескольких целей. Во-первых, для решения технических проблем или работы с нарушениями: вдруг кому-нибудь — удивительно! — придет в голову сгенерировать недопустимый контент? В этом случае чаты может даже посмотреть живой человек. Во-вторых, эти данные могут быть использованы для обучения новых версий GPT и других «усовершенствований продукта».
Большинство других популярных языковых моделей, будь то Gemini от Google, Claude или разновидности ChatGPT от Microsoft (Bing, Copilot и так далее), имеют схожие политики: все они могут сохранять диалоги целиком.
При этом непреднамеренные утечки диалогов уже случались в результате программных ошибок — некоторые пользователи видели чужие переписки вместо своих. А использование этих данных для обучения может привести к утечке информации из уже обученной модели — ИИ-ассистент может выдать кому-нибудь ваши сведения, если они покажутся ему уместными в контексте ответа. Ну а специалисты по ИБ разработали целый ряд атак (раз, два, три) для целенаправленного воровства диалогов и наверняка не остановятся на достигнутом.
Поэтому помните: все, что вы напишете чат-боту, может быть использовано против вас. При общении с ИИ мы рекомендуем соблюдать меры предосторожности.
Не отправляйте чат-боту никакие персональные данные. Пароли, номера паспортов и банковских карт, адреса, телефоны, имена и другие личные данные — ваши, вашей компании, ваших клиентов, — не должны попадать в переписку с ИИ. Вместо них в запросе можно оставить несколько звездочек или пометку REDACTED.
Не загружайте документы. Многочисленные плагины и приложения-надстройки позволяют пользоваться чат-ботами для обработки документов. Возникает сильное искушение загрузить в сервис рабочий документ, чтобы, например, получить его краткое изложение. Но, загружая многостраничный документ не глядя, вы рискуете «слить» конфиденциальные данные, интеллектуальную собственность или коммерческую тайну — например, даты запуска новых продуктов или зарплаты всего отдела. А при обработке документов, присланных из внешних источников, и вовсе можно подвергнуться атаке, рассчитанной на чтение документа языковой моделью.
Используйте настройки конфиденциальности. Внимательно изучите политику конфиденциальности и доступные настройки своего поставщика языковой модели — с их помощью обычно можно минимизировать отслеживание. Например, в разработках OpenAI можно отключить сохранение истории чатов — тогда через 30 дней данные будут удалены и никогда не будут использоваться для обучения. У тех, кто пользуется решениями OpenAI по API, через сторонние клиентские приложения или сервисы, эта настройка подключается автоматически.
Отправляете код? Почистите его от конфиденциальных данных. Отдельный совет — программистам, использующим ИИ-ассистенты для проверки и доработки кода: исключайте API-ключи, адреса серверов и другую информацию, выдающую структуру приложения и серверной инфраструктуры.
Ограничьте использование сторонних приложений и плагинов
Все вышеперечисленные рекомендации нужно применять всегда, вне зависимости от того, каким из популярных ИИ-ассистентов вы пользуетесь. Но даже этого может оказаться мало для обеспечения конфиденциальности. Использование подключаемых модулей (плагины в ChatGPT, расширения в Gemini) или отдельных приложений-надстроек создает новые типы угроз.
Во-первых, ваша история общения теперь может храниться не только на серверах Google или OpenAI, но и на серверах третьей стороны, поддерживающей работу плагина или надстройки, а также в непредсказуемых уголках вашего компьютера или смартфона.
Во-вторых, большинство плагинов получают информацию из внешних источников: ищут в Интернете, подключаются к вашему почтовому ящику Gmail или личным заметкам в сервисах вроде Notion/Jupyter/Evernote. В результате любые ваши данные изо всех этих ресурсов тоже могут оказаться на серверах, где работает плагин или сама языковая модель. Риски такой интеграции могут быть значительными: взгляните, например, на атаку, которая от имени пользователя создает новые репозитории на GitHub.
В-третьих, процесс публикации и верификации плагинов для ИИ-ассистентов сегодня организован куда хуже, чем, например, проверка приложений в App Store или Google Play. Поэтому шансы натолкнуться на плохо работающий, некачественно написанный, содержащий ошибки, а то и откровенно вредоносный плагин далеко не нулевые — тем более что авторов и их контактные данные, похоже, не особо и проверяют.
Как снизить эти риски? Наш главный совет — подождать. Экосистема плагинов слишком молода, процессы публикации и поддержки плагинов недостаточно отлажены, а сами авторы далеко не всегда заботятся о том, чтобы правильно спроектировать плагин или соблюсти требования информационной безопасности. Всей этой экосистеме нужно больше времени, чтобы дозреть до надежного и безопасного состояния.
К тому же многие плагины и надстройки дают минимальные возможности по сравнению со стандартной версией ChatGPT — незначительное изменение интерфейса плюс шаблоны «системных промптов», которые настраивают ассистента на конкретную работу («сейчас ты будешь учителем физики в средней школе»). Таким оболочкам точно не стоит доверять свои данные, ведь решить задачу прекрасно можно и без них.
Но если все же какая-то функциональность плагинов нужна вам здесь и сейчас, то перед их использованием постарайтесь принять максимум доступных вам мер предосторожности.
- Выбирайте расширения и приложения-надстройки, существующие хотя бы несколько месяцев и регулярно обновляемые.
- Рассматривайте только плагины с большим количеством загрузок, внимательно изучайте отзывы на предмет возможных проблем.
- Если у плагина есть политика конфиденциальности, внимательно изучите ее до использования надстройки.
- Делайте выбор в пользу инструментов с открытым исходным кодом.
- Если вы хоть немного умеете программировать (или у вас есть друзья-программисты), поверхностно изучите код, чтобы убедиться, что он отправляет данные только на заявленные серверы, в идеале — только на серверы ИИ-модели.
Плагины-исполнители требуют особого контроля
Пока мы рассуждали только о рисках, касающихся утечки информации, но это не единственная потенциальная проблема при работе с ИИ. Многие плагины способны выполнять конкретные действия по команде пользователя, например заказывать авиабилеты. Такие инструменты дают потенциальным злоумышленникам новые возможности для атаки — жертве предлагают документ, веб-страницу, видео или даже картинку, содержащие, помимо основного содержимого, еще и команды для языковой модели. Если жертва загрузит документ или ссылку в чат-бота, тот выполнит вредоносную команду и, к примеру, купит авиабилеты за ваш счет. Подобные атаки называются prompt injection, и, хотя разработчики различных GPT пытаются разработать защиту от этой угрозы, полного успеха в борьбе с ней не достиг никто (и, возможно, никогда не достигнет).
К счастью, большинство важных действий, особенно связанных с платежными операциями, например выкуп билетов, требуют двойного подтверждения. Но взаимодействие языковых моделей и плагинов к ним создает настолько большую поверхность атаки, что гарантировать устойчивость таких мер защиты сложно.
Поэтому надо не только тщательно выбирать ИИ-инструменты, но и следить, чтобы к ним на обработку попадали лишь доверенные данные.
Советы