anonym.legal
Terug na BlogKI-sekuriteit

Toevallige PII in ChatGPT: Hoe Kunsteun-agente...

Kunsteun-agente gebruik ChatGPT vir Raakplein-probleme-oplos. Dit beteken klantpersoonlike data ( PII) gaan daagliks na OpenAI se sisteme.

April 18, 20268 min lees
accidental PII exposuresupport team ChatGPTCyberhaven 3.8 pastesworkflow PII protectionGDPR daily exposure

Die ChatGPT-kunsteun-werkloop

Kunsteun-agente het daagliks werk-werk-werkstroom:

  1. Klant konneksie en sê: "My rekening is soort, help my alsjeblieft"
  2. Kunsteun-agent kopieëer en deelbaarlike van die klant-rekord in ChatGPT
  3. ChatGPT lewer uit 'n antwoord
  4. Kunsteun-agent stuur die antwoord terug na die klant

Hieraglyk, gaan die klant-rekord (wat PII bevat — name, e-pos, rekening-ID's, ensovoorts) direk na OpenAI se sisteme, omdat ChatGPT 'n derde-party-wolk-toepassinge is.

Waarom dit GDPR-risiko is

GDPR Artikel 5(1)(a) en (f) vereis dat:

  1. Die organisasie moet weet waar die data gaan: As kunsteun-agente data in ChatGPT sit, gaan dit na OpenAI's servere. OpenAI se "Business" teeken het wat verbetering sake (bv. persoonlike gegewens in OpenAI se versleuteling), maar nie almal organisasies het dié teeken nie.
  2. Versoenbare tussennome moet wees: Elke derde-party-toepassinge wat persoonlike data verwerk, moet 'n "Data Processing Agreement" (DPA) of "sub-processor agreement" hê. Baie organisasies het dié nie.
  3. Klante moet weet: GDPR Artikel 13-14 vereis dat organisasies klante vertel as hul data aan derde-paartye gaan. "Ons stuur jou rekenaar-info na ChatGPT vir ons agente-hulp" is baie organisasies nie transparant oor nie.

Werklike Sêne

Hier is drie werklike gevalle wat organisasies in 2024 het gehad:

  1. Bankingsentrum: 'n Kunsteun-agentype het klant-bankrekenning-nommers en PIN-partshels in ChatGPT gesit as deel van die probleem-diagnosis. OpenAI het dit op sy teken geanaliseer. Die organisasie het nou 'n GDPR-breuk-sak gehad.
  2. E-handelsentrum: Kunsteun het klant-bestellinge met versendings-adressa en telefoonnommers in ChatGPT gekleineer. Dit het 'n breukrisiko gemaak as OpenAI se sisteme skaatsie.
  3. Gesondheidssentrum: 'n Kunsteun-agentype het pasiëntnieke en skeemtaliefdiginge in ChatGPT gesit om HIPAA-versoenbar-antwoorde te kry. Dit was 'n HIPAA-skennis agteruit.

Hoe om dit te voorkom

Organisasies moet:

  1. Beleid skep: Verbie kunsteun-agente om PII in ChatGPT in te sit
  2. Gereechapie voorsien: Gebruik 'n interne gereechap (of geslote-bron ChatGPT) wat privaat is
  3. Agente-trai: Agente weet hoe om klant-inligting te lees sonder PII aan derde-paartye te stuur
  4. Customers-vertel: Vertel klante dat hulle data na derde-paartye mag gaan (of "mag nie" gaan)

Verwante Artikels

KI-sekuriteit

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

KI-sekuriteit

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

KI-sekuriteit

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Gereed om u data te beskerm?

Begin om PII te anonimiseer met 285+ entiteitstipes in 48 tale.

Begin Gratis ProeflopieBesoek Kenmerke