如何確保企業(yè)安全使用ChatGPT

作者：容域科技發(fā)布時(shí)間：2024-10-09

1. ChatGPT
ChatGPT于2022年11月推出，旨在收集用戶(hù)體驗(yàn)信息，并非專(zhuān)為企業(yè)應(yīng)用程序而生。要訪問(wèn)ChatGPT, 用戶(hù)必須通過(guò)電話號(hào)碼驗(yàn)證等方式注冊(cè)。由于數(shù)據(jù)主要用于模型改進(jìn)，因此建議用戶(hù)不要上傳敏感信息。
與使用谷歌搜索的注意事項(xiàng)類(lèi)似，使用ChatGPT時(shí)，請(qǐng)確認(rèn)網(wǎng)站是否正確，并避免輸入客戶(hù)身份數(shù)據(jù)或敏感信息。使用該服務(wù)的企業(yè)可考慮使用代理服務(wù)器提高安全性和保護(hù)用戶(hù)隱私。至關(guān)重要的是，用戶(hù)需謹(jǐn)記該原型的首要目標(biāo)是從用戶(hù)交互中獲取見(jiàn)解，因此在涉及敏感信息時(shí)須謹(jǐn)慎操作。

2.新必應(yīng)
新必應(yīng)(New Bing)是一款基于ChatGPT模型開(kāi)發(fā)的智能搜索引擎，識(shí)別正確的URL標(biāo)識(shí)符尤為重要。被屏蔽：必應(yīng)AI搜索結(jié)果
新必應(yīng)由ChatGPT模型演變而來(lái)，使用時(shí)須注意識(shí)別正確的URL。
登錄新必應(yīng)需填寫(xiě)注冊(cè)郵箱，并通過(guò)Azure Active Directory和Microsoft Authenticator進(jìn)行多因素身份驗(yàn)證以確保數(shù)據(jù)和隱私安全。所有請(qǐng)求均使用HTTPS 協(xié)議。新必應(yīng)的使用條款詳見(jiàn)“The New Bing-Learn More(新必應(yīng)-了解更多)”。其中，尤為關(guān)注使用條款中缺少擔(dān)保、陳述或保證條款等信息，且此在線服務(wù)僅供娛樂(lè)之用，服務(wù)過(guò)程中可能包含或生成錯(cuò)誤信息。用戶(hù)需對(duì)使用此在線服務(wù)而帶來(lái)的相關(guān)風(fēng)險(xiǎn)負(fù)責(zé)。
強(qiáng)烈建議各組織針對(duì)如何使用ChatGPT和新必應(yīng)開(kāi)展員工培訓(xùn)，使員工了解這些工具的潛在風(fēng)險(xiǎn)，避免泄露公司敏感信息，谷歌翻譯就曾發(fā)生類(lèi)似事件。
微軟Azure OpenAI公共云服務(wù)推出了OpenAI大語(yǔ)言模型。該模型屬于Azure認(rèn)知服務(wù)系列，以平臺(tái)即服務(wù)(PaaS)方式運(yùn)行。企業(yè)可通過(guò)訂閱設(shè)置控制該服務(wù)的使用情況，既能自由選擇將虛擬網(wǎng)絡(luò)(VNet)設(shè)置為公有或私有網(wǎng)絡(luò)，又能單獨(dú)禁用該服務(wù)訂閱。建議企業(yè)采用定義明確的網(wǎng)絡(luò)設(shè)計(jì)，以確保對(duì)數(shù)據(jù)流的完全控制。
此外，還可基于認(rèn)知服務(wù)的角色訪問(wèn)控制 (RBAC),按照最小特權(quán)原則配置AzureAD 托管標(biāo)識(shí)。如何使用托管標(biāo)識(shí)配置Azure OpenAI服務(wù)-Azure OpenAI|Microsoft Learn在Azure OpenAI服務(wù)中，靜態(tài)數(shù)據(jù)(包括客戶(hù)訓(xùn)練數(shù)據(jù)和微調(diào)模型)默認(rèn)通過(guò)FIPS 140-2兼容的AES-256加密標(biāo)準(zhǔn)加密操作。認(rèn)知服務(wù)加密只支持長(zhǎng)度為2048的RSA密鑰。如有需要，還可通過(guò)密鑰保管庫(kù)(Azure Key Vault)支持客戶(hù)管理的密鑰，但啟用此功能必須遵循輔助請(qǐng)求流程。

3.Azure認(rèn)知服務(wù)
目前已有大量文件說(shuō)明如何使用PaaS服務(wù)處理數(shù)據(jù)。其中，訓(xùn)練數(shù)據(jù)(包括微調(diào)模型) 在資源同一區(qū)域內(nèi)的PaaS存儲(chǔ)帳戶(hù)中存儲(chǔ)和加密，并通過(guò)客戶(hù)訂閱和API憑據(jù)實(shí)現(xiàn)邏輯上的隔離。
請(qǐng)求和響應(yīng)數(shù)據(jù)會(huì)存儲(chǔ)30天，專(zhuān)供技術(shù)支持工程師使用，且僅在客戶(hù)提出技術(shù)支持請(qǐng)求或調(diào)查客戶(hù)濫用或誤用服務(wù)時(shí)才能調(diào)用。

雖然我們通常并未深入探討ChatGPT或其他生成式AI模型在組織中的使用指南或策略，但對(duì)于企業(yè)來(lái)說(shuō)，在使用ChatGPT等AI驅(qū)動(dòng)工具時(shí)，仍須了解必要的安全措施。
企業(yè)可考慮采用以下高級(jí)策略，確保ChatGPT的安全使用：
1.指定明確的策略：面向組織制定使用指南和策略，規(guī)定ChatGPT等AI工具的使用方式，確保員工了解這些策略，并提供有關(guān)安全和負(fù)責(zé)任使用的最佳實(shí)踐培訓(xùn)。保護(hù)個(gè)人身份信息(PII)等敏感信息：利用現(xiàn)有的策略意識(shí)和執(zhí)行程序，防止敏感信息被上傳到AI工具，避免數(shù)據(jù)泄露。
2.采取訪問(wèn)控制：僅限授權(quán)人員訪問(wèn)ChatGPT等AI系統(tǒng)。利用多因素身份驗(yàn)證等強(qiáng)認(rèn)證方式，最大限度地降低未授權(quán)訪問(wèn)的風(fēng)險(xiǎn)。
3.使用安全的通信通道：確保用戶(hù)和ChatGPT之間的所有通信都通過(guò)加密通道進(jìn)行，以防預(yù)潛在的中間人攻擊和其他安全威脅。
4.監(jiān)測(cè)并審查使用情況：定期審查并監(jiān)測(cè)ChatGPT的使用情況，以檢測(cè)可疑行為或潛在的濫用行為，并使用自動(dòng)監(jiān)控工具協(xié)助識(shí)別異常行為。
5.鼓勵(lì)員工上報(bào)安全問(wèn)題：營(yíng)造一種開(kāi)放、負(fù)責(zé)任的氛圍，鼓勵(lì)員工上報(bào)ChatGPT等AI工具的安全問(wèn)題或事件。
6.了解AI安全的最新信息：持續(xù)更新AI安全的最新進(jìn)展，與業(yè)界同行合作并分享最佳實(shí)踐，實(shí)時(shí)關(guān)注新興威脅。

采取以上策略既可確保企業(yè)安全、負(fù)責(zé)任地使用ChatGPT等AI驅(qū)動(dòng)工具，也能最大限度地發(fā)揮這些技術(shù)的潛在價(jià)值。
ChatGPT是一個(gè)先進(jìn)而強(qiáng)大的工具，即使用戶(hù)的專(zhuān)業(yè)知識(shí)很少，也能產(chǎn)生有意義的結(jié)果。然而，這些結(jié)果的質(zhì)量可能會(huì)因參數(shù)的特征、明確性和用戶(hù)請(qǐng)求的背景等因素而有所不同。為了使ChatGPT的輸出價(jià)值最大化，用戶(hù)必須對(duì)該工具的能力和局限性有扎實(shí)的了解，并有能力批判性地評(píng)估ChatGPT所生成的內(nèi)容。
通過(guò)采用提示工程等策略實(shí)現(xiàn)高效利用ChatGPT,其中包括制作精確和結(jié)構(gòu)良好的提示，以及調(diào)整溫度參數(shù)(溫度參數(shù)常用來(lái)做模型的收斂)以控制輸出的隨機(jī)性和創(chuàng)造性。這些技術(shù)可以顯著提高ChatGPT 回答的相關(guān)性和可靠性，使用戶(hù)能夠更有效地獲得他們尋求的信息。

此外，用戶(hù)必須對(duì)與ChatGPT互動(dòng)的安全性和完整性保持警惕，確保敏感數(shù)據(jù)得到保護(hù)，不會(huì)在無(wú)意中暴露。正如Andrej Karpathy在2022年12月的一條推文中所強(qiáng)調(diào)的那樣，深入了解如何正確使用ChatGPT 對(duì)于充分利用其潛力是至關(guān)重要的，使其可以真正成為從網(wǎng)絡(luò)安全到其他各研究領(lǐng)域的有價(jià)值的資產(chǎn)。
將AI和機(jī)器學(xué)習(xí)工具整合到我們?nèi)粘９ぷ骱蜕钪惺且粋€(gè)復(fù)雜的、多學(xué)科的挑戰(zhàn)，需要不同業(yè)務(wù)方面的積極參與。

此外，還必須考慮這些工具的社會(huì)影響，例如此前曾發(fā)生在范德比爾特大學(xué)的利用 ChatGPT寫(xiě)敏感的電子郵件的事件。這些工具的使用門(mén)檻很低，但其長(zhǎng)期影響，包括潛在的人類(lèi)的技能萎縮，還沒(méi)有被完全理解。
這些技術(shù)正在被迅速采用。例如，在ChatGPT公開(kāi)后僅4個(gè)月，微軟于2023年3月28日宣布了Copilot, 微軟官方博客介紹到微軟Copilot可以以AI的速度增強(qiáng)防御者的能力”。
為了安全、負(fù)責(zé)任和有效地利用這些創(chuàng)新工具，監(jiān)管機(jī)構(gòu)和政府的參與管控是必不可少的。最近，意大利數(shù)據(jù)保護(hù)局(DPA)成為首個(gè)指控ChatGPT存在非法收集個(gè)人數(shù)據(jù)的國(guó)家機(jī)構(gòu)，并指出ChatGPT缺乏針對(duì)兒童的年齡驗(yàn)證系統(tǒng)，于是導(dǎo)致3月31日ChatGPT在意大利被暫停使用[GPDP,2023]。如果OpenAI能夠證明基于用戶(hù)數(shù)據(jù)的算法訓(xùn)練符合透明度原則和法律要求，則被暫停的臨時(shí)措施將在4月底取消[GPDP,2023]。
這凸顯了技術(shù)開(kāi)發(fā)人員、企業(yè)和監(jiān)管機(jī)構(gòu)之間合作的重要性，以確保AI和機(jī)器學(xué)習(xí)工具的實(shí)施是安全的、道德的和負(fù)責(zé)任的，以便造福于所有利益相關(guān)者。
隨著AI和機(jī)器學(xué)習(xí)工具的集成變得越來(lái)越普遍，各組織必須建立指導(dǎo)方針和政策，以確保我們可以負(fù)責(zé)任地使用這些工具。在云安全聯(lián)盟，我們認(rèn)識(shí)到應(yīng)對(duì)這些技術(shù)所帶來(lái)的
挑戰(zhàn)的重要性，作為回應(yīng)我們致力于在未來(lái)制定一個(gè)全面的ChatGPT使用政策。
我們的目標(biāo)是為企業(yè)提供最佳實(shí)踐和指導(dǎo)，安全、道德和有效地利用ChatGPT和其他AI技術(shù)。通過(guò)制定明確的政策和提升相關(guān)使用意識(shí)，我們的目標(biāo)是幫助用戶(hù)和企業(yè)在保持安全性、隱私性和合規(guī)性的情況下，駕馭快速發(fā)展的AI領(lǐng)域。請(qǐng)繼續(xù)關(guān)注我們的進(jìn)展和更新，在像ChatGPT這樣的AI驅(qū)動(dòng)的聊天機(jī)器人的精彩世界中沖浪。