Cyberhaven 的一份新报告显示,人工智能在工作场所的使用呈指数级增长,员工向 ChatGPT 和 Gemini 等聊天机器人输入敏感数据的频率是去年的两倍多。
周二发布的《人工智能采用与风险报告》还指出,“影子人工智能” ——工作场所使用人工智能工具处理个人账户,而这些账户可能没有与公司账户相同的安全措施——的增长。如果无法了解和控制员工对影子人工智能的使用,组织可能无法意识到也无法阻止机密员工、客户和业务信息的泄露。
随着员工人工智能使用的蓬勃发展,敏感数据输入量增加了一倍以上
Cyberhaven 的报告基于对 300 多万名员工的 AI 使用模式的分析。Cyberhaven 表示,总体而言,2023 年 3 月至 2024 年 3 月期间,企业员工输入 AI 工具的数据量增加了 485%。其中绝大多数(96%)涉及 OpenAI、谷歌和微软的工具。
科技公司的员工是人工智能工具的最大用户,每 10 万名员工向机器人发送数据超过 200 万次,每 10 万名员工复制人工智能生成的内容超过 160 万次。
在员工提交给聊天机器人的数据中,27.4% 是敏感数据,而去年这一比例为 10.7%,增幅达 156%。提交的最常见的敏感数据类型是客户支持数据,占违规输入的 16.3%。
除了客户支持数据外,输入聊天机器人的敏感数据还包括源代码(12.7%)、研发数据(10.8%)等。
影子人工智能带来保密风险
“三大”人工智能工具提供商均提供具有更高安全性和隐私功能的企业人工智能解决方案,例如不使用输入进行进一步的模型训练。然而,Cyberhaven 的分析发现,绝大多数工作场所人工智能的使用都是在个人账户上,没有这些相同的保护措施,构成了组织内的影子人工智能。
对于 ChatGPT,73.8% 的员工使用是在个人账户上;对于 Google 工具,个人账户使用率要高得多。在 2024 年 2 月更名为 Gemini 之前,Google Bard 在工作场所使用个人账户的时间占 95.9%。在 Gemini 发布后,个人账户使用率仍然高达 94.4%。
影子人工智能最危险的用途之一是提交法律文件——尽管这些提交占跟踪到的敏感数据输入的 2.4%,但其中 82.8% 的上传文件流向了个人账户,增加了公开曝光的风险。此外,大约一半的源代码上传文件、55.3% 的研发材料和 49% 的员工和人力资源记录都流向了个人账户。
为什么员工使用人工智能很重要
将敏感的公司信息发送给 AI 工具不仅存在将信息提供给模型或可能通过插件提供给其他第三方的风险,还存在通过 AI 工具漏洞和入侵暴露的风险。
例如,Group-IB 发现,去年大约有225,000 套 OpenAI 凭证被威胁者利用信息窃取程序获取并在暗网上出售。如果员工向 ChatGPT 发送机密信息,那么如果他们的帐户凭证被泄露,这些信息就会被盗用。
此外,Salt Security 的研究人员去年发现了 ChatGPT和几个第三方插件中的漏洞,这些漏洞可能让威胁行为者访问用户的对话和 GitHub 存储库。
在工作场所不安全地使用人工智能生成的内容也是一个令人担忧的问题。Cyberhaven 的研究发现,2024 年 3 月产生的研发材料中有 3.4% 是由人工智能生成的,新源代码插入中有 3.2% 是由人工智能生成的。在这些领域使用 GenAI,尤其是那些并非专门用于编码副驾驶的工具,会增加引入漏洞或纳入受专利保护材料的风险。
发表评论
您还未登录,请先登录。
登录