Mentionsy

Cześć, witamy w Data Zen AI Podcast, miejscu tworzonym przez społeczność Data Zen.

Bo te narzędzia AI jak ChatGPT, Copilot, Gemini są super potężne.

Czy AI się na nich uczy i co najważniejsze, jak się chronić?

Zastanowimy się, co to są te dane wrażliwe dla AI, jak łatwo je niechcący ujawnić, jak bezpiecznie korzystać z AI w pracy, no i jak robią to duże firmy, te z Azure AI, AWS Bedrock czy Google Cloud AI.

Co to właściwie są te dane wrażliwe w kontekście AI?

Ale też wewnętrzna komunikacja, maile, wiadomości na Teamsach o problemach z produktem, dane pracowników, informacje o planowanych fuzjach, bazach klientów, dokumenty prawne, dane medyczne, jeśli firma takie przetwarza.

Czy to jakieś skomplikowane ataki hakerskie na serwery AI?

Tak, ktoś kopiuje fragment kodu, żeby AI pomogło znaleźć błąd.

Te modele AI, one się uczą na danych, które dostają.

Skoro tak, to może powiedzmy wprost, czego absolutnie nie wolno wrzucać do takich publicznych narzędzi AI.

To od razu nasuwa się pytanie, czy te modele AI naprawdę pamiętają to, co im piszemy?

I co ciekawe, ostatnio, przynajmniej jeśli chodzi o OpenAI, zaszła tu dość istotna zmiana.

Od czerwca 2025 roku w wyniku nakazu sądowego OpenAI jest prawnie zobowiązane do przechowywania wszystkich treści generowanych przez użytkowników konsumenckiej wersji ChatGPT i standardowego API.

API OpenAI generalnie domyślnie nie uczy się na danych z zapytań, ale narzędzia konsumenckie jak ChatGPT, DALE, Sora, one mogą domyślnie to robić, chyba że użytkownik aktywnie to wyłączy.

Dla przeciętnego użytkownika, nawet tego płacącego za plusa czy pro, oznacza to, że jego rozmowy, które mogą zawierać wrażliwe dane, mogą być trzymane przez OpenAI na zawsze, zgodnie z prawem, nawet jeśli on je usunie ze swojego konta.

Na to wygląda, według obecnych informacji od OpenAI, które wynikają z tego nakazu sądowego, to naprawdę zmienia postrzeganie prywatności tych rozmów.

Tam wyciekło podobno aż 38 TB danych zespołu AI.

Co gorsza, istniało ryzyko, że ktoś mógłby użyć tego tokena, żeby zmodyfikować kod źródłowy albo same modele AI.

To był jakiś agregator AI.

To idealnie ilustruje problem Shadow AI, narzędzi wprowadzanych po cichu przez pracowników bez zgody IT.

To pokazuje, że AI to nie jest cyfrowy konfesjonał.

Na przykład integracja AI z innymi systemami, przez API, CRM, systemem do zarządzania projektami.

Tak, niby ulepszają AI, ale mogą zbierać dane.

No i samo przechowywanie danych w chmurze przez dostawców AI.

Nie wprowadzać żadnych danych wrażliwych do publicznych, ogólnodostępnych narzędzi AI.

Zrozummymy, jak działa retencja danych, zwłaszcza po tych zmianach w OpenAI.

Generalnie traktujmy publiczne AI jak pomocnego, ale jednak obcego.

Po pierwsze, zawsze przegląd kodu przed wklejeniem czegokolwiek do AI, nawet do pomocy w debugowaniu.

Po drugie, jeśli AI ma analizować dane, to te dane muszą być zaanonimizowane lub zamaskowane.

Jak przedsiębiorstwa mogą systemowo chronić się przed wyciekami, gdy pracownicy używają AI?

Tak, po pierwsze, jasne polityki użytkowania AI, co wolno, czego nie wolno, jakie dane są zakazane, lista zatwierdzonych narzędzi tych enterprise'owych, jak Azure OpenAI, AWS Bedrock, Google Vertex AI, OpenAI Enterprise, Gemini Advanced, no i konsekwencje łamania zasad.

No i dokładna ocena ryzyka dostawców AI oraz wdrożenie klasyfikacji danych w firmie.

Trzeba audytować logi, robić testy penetracyjne specyficzne dla AI.

Tradycyjne cyberbezpieczeństwo to za mało dla AI.

Często pada też pytanie, zwłaszcza w firmach pracujących dla klientów, czy można bezpiecznie używać AI do przetwarzania danych tych klientów?

Generalnie używanie publicznych narzędzi AI do danych klientów jest ekstremalnie ryzykowne i zazwyczaj niedopuszczalne.

Mam wrażenie, że dobrze rozebraliśmy ten temat ochrony danych w kontekście AI.

Dziękujemy, że byliście z nami w Data Zen AI Podcast.

Może macie pomysły na tematy związane z AI, które chcielibyście usłyszeć?

Skoro nawet usunięte rozmowy z AI mogą potencjalnie żyć wiecznie w systemach dostawcy, co tak naprawdę oznacza dzisiaj prywatność cyfrowa, jak poza technologią możemy o nią dbać na co dzień?