计划将人工智能整合到其工作流中的企业必须意识到使用OpenAI等模型所带来安全风险。虽然OpenAI已采取了一些措施,为其用户提供数据安全和隐私保护,但企业了解使用OpenAI时,所面临的关键风险仍旧至关重要。
本文通过实践性地探讨OpenAI的数据安全风险,希望可以帮你做出明智的决策,并减少采用这一新技术所带来的风险。
为什么OpenAI的数据安全对企业如此重要?
几乎从初创公司到全球性大企业都在寻找采用AI的方式,以免他们在新技术浪潮中落后。但是,企业在未进行适当的风险评估的情况下,应谨慎地将OpenAI整合到他们的技术栈中。
因为适当的评估可以帮助:
- 保护机数据机密性:这些数据包括企业的各种敏感数据——商业机密、支付卡信息、客户、员工的个人身份信息。
- 确保法规合规:一些行业通常需要遵循严格的数据运营法规,如欧洲的GDPR以及国内的一些法规。了解OpenAI如何与这些数据安全标准保持一致,对企业维持合规并避免潜在的法律和财务处罚至关重要。
- 建立信任:在今天的数字化时代,数据安全在很大程度上影响着企业的声誉。考虑将OpenAI整合到他们的技术栈中的企业,需要料及诶可能的数据安全风险,以确保继续获得利益相关者的信任。
OpenAI在安全和数据隐私方面的立场
OpenAI 主动的安全措施和数据隐私政策是什么样的?以下是一些要点:
- OpenAI符合SOC 2标准。
- OpenAI API每年都要接受第三方的渗透测试。
- OpenAI表示,他们可以帮助客户满足其法规、行业和合同要求,如HIPAA等。
- OpenAI雇佣了专业的安全研究人员和道德黑客,以及通过Bug悬赏计划报告安全漏洞。
企业使用OpenAI时面临的主要安全风险
深入评估企业使用OpenAI所带来的数据安全风险可能是一个耗时的过程,但这是为了保护敏感信息和确保与数据保护法规(例如通用数据保护条例GDPR)的合规性而必要的步骤。下面是一些主要的安全风险:
1.ChatGPT对话数据可以用于重新训练模型
当企业使用OpenAI的非API消费者服务,如ChatGPT时,值得注意的是,模型提供的和/或生成的对话数据可能被用来训练和微调OpenAI的模型。这意味着与这些服务的所有交互数据都面临着被暴露的风险。
如果你向ChatGPT提供了专有信息,并且此信息被用于训练OpenAI的模型,例如GPT-3,那么这些信息可能会被其他用户看到。这对于企业来说是一个严重的风险。
但OpenAI确实提供了减轻这种风险的方法。
企业可以正式要求不使用其交互数据进行模型改进——可以通过填写OpenAI的申请表格来实现,该表格要求提供企业的ID和与帐户所有者关联的电子邮件地址。或者,如果您只想关闭某一个账户的数据收集功能,可以简单地在ChatGPT中关闭聊天记录。
除此以外:
- 使用非API服务,如ChatGPT或DALL-E的交互数据可能会被用于进一步训练OpenAI的大型语言模型。
- 这种潜在用途使所有的对话数据都面临一定的风险。
- OpenAI为那些希望自己的数据不以这种方式被使用的企业提供了退出选项——你可以在这里提交退出申请。虽然这可以在企业帐户级别进行管理,但如果员工使用个人帐户或在使用ChatGPT时没有登录,那么他们向ChatGPT提供的任何信息将默认不会退出。
2.通过OpenAI API发送的数据可能会被泄露
为了监控潜在的误用或滥用,通过API发送的数据会被OpenAI存储长达30天。30天后,这些数据通常会被删除,除非法律要求OpenAI这么做。这个存储期间确实存在数据可能被OpenAI内部员工、外部子处理者,甚至在数据泄露时被公众查看的风险。
此外,用户通过文件端点提交的任何数据,例如为了微调客户的模型,都会被保留,直到用户删除为止。这对企业来说是一个严重的数据管理负担和风险。
所有这些数据都允许一组经过授权的OpenAI员工和某些第三方承包商访问,他们都受到保密和安全义务的约束。即使采取了这些预防措施,数据被存储的任何时间都存在企业应该考虑的风险。
与GDPR的合规性不确定
OpenAI涉及收集大量的在线内容进行AI训练,可能在满足GDPR要求时面临重大挑战。因为GDPR合规性的一个中心问题是潜在地使用个人数据而没有明确的同意。这是企业在使用OpenAI的服务时必须仔细考虑的领域。GDPR要求企业为处理个人数据建立合法的依据。
未能满足GDPR的合规性要求可能会有严重的后果,如重大罚款、强制数据删除或甚至在欧洲联盟范围内的禁令。因此,考虑使用OpenAI的企业应该对数据处理的法律依据进行全面评估,并实施必要的安全措施,以保护个人的数据隐私和安全。
比如:
- 在2023年初,意大利数据保护局(GPDP)指控OpenAI违反了欧盟的数据保护法。这个案件仍在进行中。
- MIT科技评论报道称,由于OpenAI使用数据来训练其ChatGPT模型,它在遵守欧盟数据保护法方面存在很大问题。
- OpenAI处理数据的合法性在世界许多国家仍在审查中。企业在使用这项服务时应仔细考虑风险,以确保遵守GDPR并避免罚款。
数据暴露给第三方子处理器
在处理客户数据时使用子处理器是企业数据安全和隐私的另一个关键风险方面。按照OpenAI数据处理协议的规定,OpenAI聘请了几家子处理器企业进行关于客户数据的各种处理活动。
例如,Microsoft Corporation和Snowflake这样的子处理器分别负责云基础设施和数据仓储。同时,OpenAI的关联公司和TaskUS提供服务、支持和用户支持,后者还处理数据的人工标注,以改进服务。这些子处理器的全球位置给数据安全环境增加了另一层复杂性。
你需要知道的是:
- 子处理器参与各种数据处理活动,需要仔细考虑它们的数据处理实践。
- 子处理器的全球位置引入了需要遵守国际数据保护法律和法规的需求。
- 评估数据处理协议和子处理器的角色,对于了解数据隐私和安全至关重要。
OpenAI的模型对企业并不开放评估
当企业将AI模型融入其流程时,了解这些模型的底层结构和训练数据通常是至关重要。然而OpenAI模型并不是“开放”的,因为它们确切的训练数据和复杂的模型细节并没有公开。所以对于企业来说,这种缺乏透明度可能是一个隐忧,因为它会影响从模型中获得的结果的确定性。
如果没有对训练数据的准确了解,企业很难评估模型输出的可靠性或真实性。在决策严重依赖AI输入的敏感领域,这可能会产生重大影响。
此外,无法仔细检查模型的结构和运作方式可能使企业难以完全理解和管理相关风险。这可能会对其围绕AI使用的风险评估和治理政策产生潜在影响。
面对OpenAI的安全风险,如何降低企业的风险?
我们深入探讨了与OpenAI相关的主要数据安全和隐私问题之后,很明显企业在使用AI应用时必须优先考虑保护敏感和机密信息。
为了减少潜在的风险,企业需要采取主动的措施来加强安全。比如选择除OpenAI外其他更安全的大模型。
1.遵循OpenAI的安全优异实践
OpenAI提供了多种策略来提高安全性。如果企业选择使用OpenAI服务,他们应仔细审查这些建议,并确保已经在内部建立了适当的保护措施和政策,以成功与这些建议保持一致。
阅读更多:OpenAI文档 – 安全优异实践
2.建立快速的内容监控程序
实施一个系统,记录发送给OpenAI的每一个提示,并定期安排安全团队对这些日志进行审查。这种主动的方法有助于快速识别和解决潜在的安全问题。
3.考虑使用具有企业级安全的其他AI工具
通过使用其他优先考虑企业级安全的AI工具来增加保护层,可以提供额外的保护并减少潜在的安全风险。市场上有许多专为企业设计的AI工具,从安全性和数据保护的角度看,它们可能比OpenAI更合适。
4.不要共享关键数据,只共享数据结构信息
通过仅与OpenAI分享必要的数据结构信息(如表列名或数据库表)来最大限度地降低风险。这使OpenAI能够构建可以在您的安全环境中执行的数据查询,而无需暴露敏感数据。
结论 – OpenAI安全吗?
考虑使用OpenAI的企业应该意识到所涉及的数据安全风险。虽然OpenAI已实施了诸如SOC 2合规性和Bug悬赏计划等安全措施,但仍然存在关于会话数据的使用、通过API发送的数据的潜在暴露、与GDPR的合规性以及对模型细节的有限透明度等担忧。要降低这些风险,需要仔细评估,采取主动措施。
