隐私提示 #434 – 使用逃避公司政策的 GenAI 工具
快速阅读: 据《JD Supra》称,根据LayerX的报告,多数用户通过不受组织单点登录政策支持的个人账户登录生成式AI工具,导致组织无法追踪和管理相关数据。LayerX发现,约18%的用户将数据粘贴到生成AI工具中,其中50%涉及公司信息。77%的用户使用ChatGPT作为在线大型语言模型工具。报告还指出,许多组织对其内部使用的AI工具及其控制措施缺乏了解。为此,LayerX建议首席信息安全官审计生成AI活动,教育员工,并实施风险控制措施,同时强调员工应遵守规定,确保公司数据的安全。
根据LayerX的新报告,大多数用户通过不受组织单点登录政策支持或跟踪的个人账户登录生成式人工智能(生成AI)工具。这些登录到AI软件即服务(SaaS)应用程序的情况对组织来说是未知的,并且“不受组织隐私和数据控制的约束”。这是因为大多数生成AI用户是“非正式”的,可能没有充分意识到生成AI数据泄露的风险。结果,少数用户可能会暴露大量数据。LayerX得出结论:“大约百分之十八的用户将数据粘贴到生成AI工具中,其中约百分之五十涉及公司信息。”LayerX的研究还包括,百分之七十七的用户使用ChatGPT作为在线大型语言模型(LLM)工具。我们多次指出生成AI工具的数据泄露风险,该报告证实了这种风险。此外,报告还指出,“大多数组织不清楚在其组织内部使用了哪些工具、由谁使用以及需要在何处设置控制措施。”此外,“AI增强的浏览器扩展程序通常被视为一个未被察觉的‘后门’,通过这个通道数据可以泄露到生成AI工具中,而无需经过检查的网络渠道。”
LayerX为首席信息安全官(CISO)提供了切实可行的建议:审计组织内所有用户的生成AI活动;积极教育员工并提醒他们生成AI工具的风险;应用基于风险的限制措施“以使员工能够安全地使用AI”。员工也必须尽自己的责任。CISO可以实施运营措施来尝试减轻数据泄露的风险,但员工应遵循组织关于使用生成AI工具的规定,在组织内部与雇主合作,适当和授权地使用生成AI工具,并承担起保护公司数据的责任。
(以上内容均由Ai生成)
