Cyberbedrohungen
ChatGPT Shared Links – praktisch aber riskant
ChatGPT hat eine neue Funktion: Shared Link. So bequem das Teilen von Links sein mag, die damit verbundenen Risiken der unerlaubten Nutzung sind hoch. Wir haben die Gefahren untersucht und zeigen auch wirksame Methoden zu deren Abwehr vor.
Save to Folio
Seit der Veröffentlichung Ende 2022 hat das KI-gestützte Texterstellungstool ChatGPT sowohl bei Unternehmen als auch bei Privatanwendern eine hohe Verbreitung gefunden. Die neueste Funktion, die so genannten Shared Links, birgt jedoch das Risiko der unbeabsichtigten Offenlegung vertraulicher Informationen.
Die von OpenAI im Mai eingeführte Funktion Shared Link ermöglicht es Benutzern, ihre Konversationen mit anderen zu teilen, indem sie eine eindeutige URL für eine bestimmte Kommunikation erzeugen. Durch die Freigabe dieser URL erhalten andere Nutzer Zugang dazu und können sich ebenfalls an der Unterhaltung beteiligen. Die Funktion ist vor allem dann nützlich, wenn längere Dialoge oder nützliche Eingabeaufforderungen geteilt werden sollen, und bietet eine effizientere Alternative zum Teilen von Screenshots.
Abfluss von Informationen durch Shared Link
Dieser praktischen Funktion fehlt jedoch ein Mechanismus zur Zugriffskontrolle - jeder, der die freigegebene URL erhält, kann auf den Inhalt zugreifen, auch Personen, die nicht zur Zielgruppe gehören. Daher rät OpenAI davon ab, vertrauliche Informationen über diese Funktion zu teilen. Darüber hinaus ist es ohne Zugriffsanalyse unmöglich, die Nutzer zu verfolgen, die auf die URL zugegriffen haben, oder auch nur, wie oft sie aufgerufen wurde.
Die Funktion wird auf Social Media-Plattformen ausgiebig genutzt. Wir haben Fälle entdeckt, in denen sensible Informationen, einschließlich personenbezogener Daten, über die geteilten Links unbeabsichtigt offengelegt wurden - zum Beispiel von Personen, die ChatGPT für Überprüfung von Lebensläufen nutzen.
Auch wenn dies eine sinnvolle Nutzung von ChatGPT sein könnte, bereitet das Teilen dieser Interaktionen in der Öffentlichkeit gewisse Probleme. Für den Einzelnen mag der Umfang der geteilten Informationen eine Frage der persönlichen Diskretion sein. Was aber, wenn ein Mitarbeiter versehentlich arbeitsbezogene Informationen weitergibt? Dieses Szenario geht über die Verantwortung des Einzelnen hinaus und stellt die Verantwortlichkeit des gesamten Unternehmens in Frage.
Wir haben Fälle gesehen, in denen Mitarbeiter versehentlich sensible Unternehmensdaten preisgaben.
Weitere Screenshots für Fallstudien, die auf realen Ereignissen beruhen, beinhaltet der Originalbeitrag .Für alle Beispiele wurden bestimmte Details geändert, um Anonymität zu gewährleisten und Informationslecks zu vermeiden. Es handelt sich nicht um die tatsächlichen ChatGPT-Eingabeaufforderungen, sondern um Nachbildungen (daher das unterschiedliche Aussehen).
Diese Beispiele zeigen zwar interessante Verwendungsmöglichkeiten von ChatGPT, werfen aber die Frage auf, ob es notwendig ist, diese über freigegebene Links zu veröffentlichen. Auch wenn die Absicht war, diese mit ausgewählten Kollegen zu teilen, wird der Inhalt für jeden zugänglich, der den Link hat (und somit Zugang zu allen im Link angezeigten Informationen hat).
Empfehlungen für organisatorische Maßnahmen
Um diese Risiken zu minimieren, sollten die folgenden Punkte beachtet werden:
Sensibilisierung für Risiken: Machen Sie sich die mit der Funktion verbundenen Risiken bewusst: Jeder, der die URL des freigegebenen Links kennt, kann auf dessen Inhalt zugreifen. Die Nutzer sollten sich auch darüber im Klaren sein, dass Links aus verschiedenen Gründen bei unbeabsichtigten Parteien landen können.
Policies und Leitlinien: Legen Sie klare Richtlinien darüber fest, welche Informationen in ChatGPT eingegeben werden können. Diese sollten Richtlinien zur Verwendung von Shared Link und andere notwendige Vorsichtsmaßnahmen beinhalten.
Ausbildung und Schulung: Regelmäßige Schulungen zur Informationssicherheit können dazu beitragen, das Bewusstsein der Mitarbeiter zu schärfen und Informationsverluste zu verhindern. Die Schulungen sollten spezifische Risikoszenarien und Lektionen aus realen Fällen beinhalten.
Überwachung und Reaktion: Nutzen Sie Technologien wie URL-Filter und die Ermittlung der Übertragung vertraulicher Informationen für eine proaktive Überwachung und die Einhaltung festgelegter Policies und Richtlinien. Im Falle eines unangemessenen Zugriffs oder eines Informationslecks ist eine rasche Reaktion erforderlich.
Fazit
In einer Zeit, in der die Einführung von KI-Technologien direkte Auswirkungen auf die Wettbewerbsfähigkeit von Unternehmen hat, ist es wichtig, solche Funktionen zu verstehen und zu verwalten, um Informationen angemessen zu schützen. Auf diese Weise können Unternehmen die Vorteile von KI nutzen und gleichzeitig die Risiken von Informationsverlusten effizient abmildern.