员工可能会将敏感数据输入广受欢迎的人工智能聊天机器人GPT,从而将机密商业信息置于风险之中。
与此同时,不法分子正试图通过创建虚假的 Chrome 扩展程序来劫持 Facebook 帐户并安装后门程序,从而利用其受欢迎程度。安全公司 Guardio最近报告了恶意扩展,并表示已将其从 Google Play 商店中删除。
根据安全公司 Cyberhaven最近的一份报告,人们输入GPT 的内容被聊天机器人的制造商 OpenAI 用作训练数据以改进技术。根据使用 Cyberhaven 产品的 160 万员工的数据,虽然只有 5.6% 的员工在工作场所使用过该技术,但 Cyberhaven Labs 的数据显示,自GPT 推出以来,其中 4.9% 的员工至少尝试过一次将公司数据粘贴到 GPT 中几个月前。
据该公司称,摩根大通和 Verizon 等公司出于此类担忧已阻止访问GPT,亚马逊的一名律师在 1 月份警告员工不要向聊天机器人输入机密信息。
3 月 1 日,Cyberhaven 表示,它检测到每 100,000 名员工有 3,381 次将公司数据粘贴到GPT 的尝试,这被定义为“数据出口事件”。
这家网络安全公司还表示,不到 1% (0.9%) 的员工应对 80% 的数据外出事件负责。
假 GPT 扩展程序获取浏览器信息
2 月,Guardio 报告了一种恶意假冒 GPT 浏览器扩展的新变种,它通过劫持知名的 Facebook 商业账户来滥用聊天机器人的品牌,以牺牲企业传播为代价来创建付费媒体活动。
名为“快速访问聊天 GPT”的窃取扩展程序在 Facebook 赞助的帖子上得到推广,并使用GPT 的 API 简单地连接到聊天机器人,但是,恶意扩展程序还从浏览器中获取了所有可能的信息,包括 cookies任何服务的授权活动会话使用量身定制的策略来接管 Facebook 帐户。
“现在,一旦受害者打开扩展窗口并向GPT 写了一个问题,查询就会发送到 OpenAIs 服务器让你忙起来——同时在后台它会立即触发收获,”Guardio 3 月 8 日在其博客上写道。正如 Guardio Labs 负责人 Nati Tal 在帖子中指出的那样,该扩展还滥用了 Facebook 的 API,其方式本应触发这家社交媒体巨头的政策执行者。在从官方 Chrome 网上商店删除之前,该扩展程序自 3 月 3 日出现后,每天的安装次数超过 2,00 次。
