آیا اطلاعات شرکت من با استفاده از ChatGPT امن است؟ | بررسی امنیت هوش مصنوعی
📅 تاریخ انتشار: ۱۴۰۵/۰۴/۲۰ | ⏱ زمان مطالعه: ۱۰ دقیقه

آیا اطلاعات شرکت من با استفاده از ChatGPT امن است؟

📌 خلاصه: پاسخ کوتاه به این سوال خیر است. ChatGPT به‌طور پیش‌فرض محیطی امن برای اطلاعات حساس سازمانی نیست. حتی با اشتراک Enterprise، داده‌های شما همچنان روی سرورهای شخص ثالث ذخیره می‌شوند و ریسک‌های امنیتی جدی مانند دسترسی ادمین‌ها، حملات پرامپت اینجکشن و افشای اطلاعات از طریق Compliance API وجود دارد. در این مقاله، ریسک‌ها را بررسی و راهکارهای جایگزین مانند نویسا را معرفی می‌کنیم.

🔍 مقدمه: سوالی که هر مدیری باید بپرسد

یکی از پرتکرارترین سوالاتی که این روزها از مدیران فناوری اطلاعات و مدیران ارشد سازمان‌ها پرسیده می‌شود، این است: «آیا می‌توانیم از ChatGPT برای کارهای شرکت استفاده کنیم؟ اطلاعات ما امن است؟»

سامسونگ در سال ۲۰۲۳ این سوال را با هزینه‌ای سنگین پاسخ داد. وقتی مهندسان سامسونگ کدهای منبع و اطلاعات محرمانه شرکت را در ChatGPT وارد کردند، داده‌ها به سرورهای OpenAI راه پیدا کردند و شرکت مجبور شد استفاده از هوش مصنوعی را در کل سازمان ممنوع کند [citation:7]. این تنها یک نمونه از صدها مورد مشابه است.

در این مقاله، با نگاهی دقیق و بی‌طرفانه، ریسک‌های امنیتی استفاده از ChatGPT برای سازمان‌ها را بررسی می‌کنیم و راهکارهایی برای حفظ امنیت اطلاعات ارائه می‌دهیم.

📊 واقعیت آماری: ChatGPT و ریسک داده

آمارها نشان می‌دهند که ریسک استفاده از ChatGPT در سازمان‌ها بسیار جدی است:

این اعداد نشان می‌دهد که مشکل کوچکی نیست. کارمندان به‌طور روزانه اطلاعات حساس را در اختیار هوش مصنوعی قرار می‌دهند، اغلب بدون اینکه بدانند این داده‌ها چه سرنوشتی پیدا می‌کنند.

⚠️ ChatGPT چقدر ناامن است؟ ریسک‌های اصلی

۱. ذخیره‌سازی و دسترسی به داده‌ها

حتی اگر از گزینه «عدم استفاده از داده برای آموزش» استفاده کنید، داده‌های شما همچنان روی سرورهای OpenAI ذخیره می‌شوند. یک تحقیق امنیتی نشان داد که «عدم استفاده برای آموزش» به معنای نبود داده روی سرور نیست [citation:1].

⚠️ نکته مهم: OpenAI تمام مکالمات را حداقل به مدت ۳۰ روز روی سرورهای خود نگهداری می‌کند، حتی مکالماتی که کاربران حذف کرده‌اند یا در حالت «Temporary Chat» انجام داده‌اند [citation:7].

علاوه بر این، OpenAI یک Compliance API دارد که به ادمین‌های سازمانی امکان دسترسی کامل به تمام مکالمات، فایل‌های آپلودشده، کدها و داده‌های به‌اشتراک‌گذاشته‌شده در سراسر سازمان را می‌دهد [citation:1]. اگر کلید این API در دست افراد غیرمجاز قرار بگیرد، کل داده‌های سازمان در معرض خطر خواهد بود.

۲. تفاوت پلن‌ها در حریم خصوصی

بسیاری از مدیران تصور می‌کنند با خرید اشتراک پولی، حریم خصوصی داده‌هایشان تضمین می‌شود. اما واقعیت متفاوت است:

پلن آموزش روی داده ذخیره‌سازی داده
Free / Plus / Pro ✅ بله (پیش‌فرض) ۳۰ روز پس از حذف
Business / Enterprise ❌ خیر (پیش‌فرض) ۳۰ روز پس از حذف

پلن‌های Business و Enterprise داده‌ها را برای آموزش مدل استفاده نمی‌کنند، اما همچنان داده‌ها روی سرورهای OpenAI ذخیره می‌شوند و در دسترس ادمین‌ها و پرسنل OpenAI هستند [citation:7].

۳. حملات پرامپت اینجکشن (Prompt Injection)

یکی از جدیدترین و خطرناک‌ترین تهدیدها، حملات پرامپت اینجکشن است. در این حملات، یک مهاجم سعی می‌کند هوش مصنوعی را فریب دهد تا دستورات مخرب را اجرا کند یا اطلاعات حساس را فاش کند [citation:9].

ChatGPT با قابلیت‌های جدیدی مثل اتصال به درایوهای ابری (Google Drive، OneDrive، SharePoint) و ضبط و ترجمه جلسات، سطح حمله را به‌شدت افزایش داده است [citation:6]. یک مهاجم می‌تواند با یک پرامپت ساده، هوش مصنوعی را به ارسال اطلاعات حساس به سرور خودش هدایت کند.

۴. Shadow AI و حساب‌های شخصی

بسیاری از کارمندان از حساب‌های شخصی ChatGPT برای کار استفاده می‌کنند. این حساب‌ها خارج از نظارت تیم IT هستند و داده‌های سازمان را در معرض ریسک‌های جدی قرار می‌دهند [citation:10]. طبق گزارش‌ها، حدود 80 درصد از ابزارهای هوش مصنوعی مورد استفاده کارمندان، بدون نظارت تیم IT هستند [citation:10].

🏛️ نتیجه تحقیقات نهادهای نظارتی

دفتر کمیسر حریم خصوصی کانادا (OPC) به همراه نهادهای نظارتی استان‌های کبک، بریتیش کلمبیا و آلبرتا، تحقیقات گسترده‌ای درباره حریم خصوصی ChatGPT انجام داده‌اند. نتایج این تحقیق نشان داد که [citation:2]:

در نتیجه، نهادهای نظارتی کانادا تشخیص دادند که روش آموزش اولیه ChatGPT با قوانین حریم خصوصی کانادا مطابقت ندارد [citation:2].

🔐 چگونه می‌توانیم از اطلاعات شرکت محافظت کنیم؟

خبر خوب این است که راه‌هایی برای کاهش این ریسک‌ها وجود دارد. در اینجا چند توصیه کلیدی ارائه می‌دهیم:

۱. استفاده از راهکارهای جایگزین با اجرای لوکال

بهترین راه برای حفظ امنیت اطلاعات، استفاده از هوش مصنوعی‌ای است که روی سرورهای خود سازمان اجرا شود. با اجرای لوکال، داده‌ها هرگز از سازمان خارج نمی‌شوند و کاملاً تحت کنترل شما هستند.

💡 راهکار نویسا: نویسا قابلیت اجرای لوکال (Local Deployment) روی سرورهای سازمانی را دارد. این یعنی تمام پردازش‌ها در محیط امن سازمان انجام می‌شود و هیچ داده‌ای به بیرون ارسال نمی‌شود. همچنین نویسا محدودیت مدل ندارد و قدرت آن به سخت‌افزار شما بستگی دارد.

۲. مقایسه ChatGPT و نویسا برای سازمان‌ها

❌ ChatGPT (حتی Enterprise)

  • ✖️ داده‌ها روی سرورهای شخص ثالث ذخیره می‌شود
  • ✖️ امکان دسترسی ادمین و پرسنل OpenAI
  • ✖️ ریسک حملات پرامپت اینجکشن
  • ✖️ داده‌ها حداقل ۳۰ روز نگهداری می‌شوند
  • ✖️ وابستگی به اینترنت و سرورهای OpenAI

✅ نویسا (اجرای لوکال)

  • ✔️ داده‌ها هرگز از سازمان خارج نمی‌شود
  • ✔️ کنترل کامل توسط تیم IT سازمان
  • ✔️ بدون ریسک پرامپت اینجکشن
  • ✔️ سازمان تعیین‌کننده زمان نگهداری داده‌هاست
  • ✔️ بدون نیاز به اینترنت و استقلال کامل

۳. سیاست‌های داخلی و آموزش کارمندان

۴. نظارت و مانیتورینگ مستمر

استفاده از ابزارهای نظارتی برای شناسایی و جلوگیری از اشتراک‌گذاری اطلاعات حساس در ابزارهای هوش مصنوعی ضروری است. بسیاری از ابزارهای DLP سنتی در تشخیص این نوع تهدیدها ناکارآمد هستند و باید از راهکارهای تخصصی استفاده کرد .

📌 جمع‌بندی: پاسخ نهایی به سوال مدیران

پاسخ نهایی: خیر، اطلاعات شرکت شما با ChatGPT امن نیست.

حتی با گران‌ترین اشتراک‌های Enterprise، داده‌های شما روی سرورهای شخص ثالث ذخیره می‌شوند و در معرض ریسک‌های جدی مانند دسترسی غیرمجاز، حملات پرامپت اینجکشن و افشای از طریق Compliance API هستند.

اگر برای سازمان شما امنیت داده‌ها، حریم خصوصی و استقلال اهمیت دارد، بهترین راهکار استفاده از هوش مصنوعی‌هایی با قابلیت اجرای لوکال مانند نویسا است. با نویسا، داده‌های شما هرگز از سازمان خارج نمی‌شوند و شما کنترل کامل بر روی اطلاعات خود دارید.

برای آشنایی بیشتر با قابلیت‌های نویسا، راهنمای جامع استفاده از نویسا را مطالعه کنید. همچنین می‌توانید همین حالا ثبت‌نام کنید و نویسا را به‌صورت رایگان تست کنید.

🚀 شروع رایگان با نویسا 🚀

❓ سوالات متداول

❓ آیا ChatGPT Enterprise امن است؟
نسبتاً. Enterprise داده‌ها را برای آموزش استفاده نمی‌کند، اما داده‌ها همچنان روی سرورهای OpenAI ذخیره می‌شوند و از طریق Compliance API قابل دسترسی هستند [citation:1][citation:7].

❓ آیا با غیرفعال کردن آموزش، داده‌های من حذف می‌شوند؟
خیر. غیرفعال کردن آموزش فقط به این معنی است که از داده‌های شما برای بهبود مدل استفاده نمی‌شود. اما داده‌ها همچنان روی سرورهای OpenAI ذخیره می‌شوند [citation:7].

❓ بهترین راهکار برای سازمان‌ها چیست؟
استفاده از هوش مصنوعی با قابلیت اجرای لوکال مانند نویسا که داده‌ها هرگز از سازمان خارج نمی‌شود و کنترل کامل با تیم IT است.

❓ آیا استفاده از Temporary Chat امن است؟
خیر. Temporary Chat فقط مکالمه را از تاریخچه شما پنهان می‌کند، اما داده‌ها همچنان به مدت ۳۰ روز روی سرورهای OpenAI ذخیره می‌شوند [citation:7].