ผู้อำนวยการรักษาการของ Cybersecurity and Infrastructure Security Agency (CISA) ได้อัปโหลดเอกสารสัญญาที่มีความอ่อนไหวซึ่งมีข้อความว่า ‘สำหรับใช้ในราชการเท่านั้น’ ลงใน ChatGPT เวอร์ชันสาธารณะเมื่อฤดูร้อนปีที่แล้ว ส่งผลให้เกิดการแจ้งเตือนด้านความปลอดภัยอัตโนมัติหลายครั้งที่ออกแบบมาเพื่อป้องกันการรั่วไหลของข้อมูลออกจากเครือข่ายของรัฐบาล การกระทำนี้ถูกเปิดเผยโดยเจ้าหน้าที่กระทรวงความมั่นคงแห่งมาตุภูมิ (DHS) สี่รายต่อ Politico แม้ว่าเขาจะได้รับอนุญาตพิเศษให้ใช้เครื่องมือ AI นี้ แต่เอกสารดังกล่าวมีความเสี่ยงที่จะถูกใช้ในการฝึกอบรมโมเดล AI ที่อาจเข้าถึงได้โดยกลุ่มแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งขัดต่อภารกิจของ CISA ในการต่อต้านภัยคุกคามดังกล่าว
Severity: สูง
System Impact:
- Public ChatGPT (OpenAI’s models)
- Federal Networks (Specifically CISA/DHS networks)
- Sensitive Contracting Documents
Technical Attack Steps:
- ผู้อำนวยการรักษาการของ CISA (Madhu Gottumukkala) ได้รับการอนุญาตพิเศษให้ใช้ ChatGPT สาธารณะ
- เขาอัปโหลดเอกสารสัญญาที่มีความอ่อนไหว (‘for official use only’) เข้าไปใน ChatGPT สาธารณะ
- ระบบความปลอดภัยของเครือข่ายรัฐบาลกลางตรวจพบและแจ้งเตือนการรั่วไหลของข้อมูลหลายครั้ง
- ข้อมูลที่อัปโหลดมีความเสี่ยงที่จะถูกนำไปใช้ในการฝึกอบรมโมเดล AI ของ OpenAI ซึ่งอาจถูกเข้าถึงโดยบุคคลภายนอก รวมถึงกลุ่มแฮกเกอร์ของรัฐคู่แข่ง
Recommendations:
Short Term:
- ดำเนินการตรวจสอบภายในอย่างละเอียดและประเมินความเสียหายที่อาจเกิดขึ้น
- ทบทวนและบังคับใช้นโยบายการจัดการเอกสารที่มีความอ่อนไหวอย่างเร่งด่วน
- ระงับการเข้าถึงเครื่องมือ AI สาธารณะสำหรับเอกสารราชการทั้งหมด จนกว่าจะมีการประเมินความเสี่ยงที่เหมาะสม
Long Term:
- จัดให้มีการฝึกอบรมด้านความปลอดภัยทางไซเบอร์และนโยบายการจัดการข้อมูลที่มีความอ่อนไหวอย่างสม่ำเสมอและครอบคลุมสำหรับพนักงานทุกคน
- พัฒนาและส่งเสริมการใช้เครื่องมือ AI ภายในองค์กรที่ปลอดภัย (เช่น DHSChat) ซึ่งเก็บข้อมูลบนเครือข่ายของรัฐบาล
- กำหนดแนวปฏิบัติและนโยบายที่ชัดเจนเกี่ยวกับการใช้เครื่องมือ AI ของบุคคลที่สามกับข้อมูลของรัฐบาล
Source: https://cybersecuritynews.com/cisa-chief-chatgpt/
Share this content: