هرچه اتصال به هوش مصنوعی بیشتر باشد، خطر حملات سایبری بزرگ‌تر می‌شود

اتصال هوش‌مصنوعی به داده‌های شخصی می‌تواند بهره‌وری را به‌صورت چشمگیری افزایش دهد، اما در عین حال خطرات امنیتی و حریم خصوصی را نیز گسترش می‌دهد. کارشناسان هوش مصنوعی هشدار می‌دهند بدون چارچوب‌های قانونی و اخلاقی واضح، جمع‌آوری داده‌های گسترده نه تنها خطرناک است بلکه از نظر اخلاقی نیز قابل دفاع نیست. بنابراین، هم کاربران و هم ارائه‌دهندگان سرویس باید به‌صورت مشترک مسئولیت حفاظت از داده‌ها را بپذیرند و با ابزارهای فنی، سیاست‌های شفاف و نظارت مستمر، خطرات را به حداقل برسانند.

کد خبر : 1040554

اشتراک گذاری

در سال‌های اخیر ابزار‌های هوش‌مصنوعی (AI) توانسته‌اند از طریق (API) به ایمیل، تقویم، فایل‌ها، عکس‌ها و یادداشت‌های کاربر متصل شوند. این پیوند‌ها امکان نوشتن خودکار، جست‌وجوی هوشمند و دسته‌بندی محتوا را فراهم می‌آورند و بسیاری از فرایند‌های روزمره را تسهیل می‌کنند. سازمان‌های نظارتی تاکید دارند فقط داده‌های ضروری برای عملکرد سرویس باید جمع‌آوری شوند. این نگرانی پیش از گسترش وسیع هوش‌مصنوعی در زندگی روزمره مطرح شده بود.

دانیل فاورو (Danielle Favreau) هشدار می‌دهد که هرچه اتصال بیشتر باشد، دامنه خطر نیز بزرگ‌تر می‌شود و کاربران در برابر نشت داده و حملات سایبری آسیب‌پذیرتر می‌شوند. این هشدار، زمینه بررسی ریسک‌های نهفته در اتصال هوش‌مصنوعی به داده‌های شخصی را فراهم می‌کند.

هر اتصال جدید نسخه‌ها، لاگ‌ها و کش‌های بیشتری تولید می‌کند. این پراکندگی احتمال نشت اطلاعات، حملات سایبری و درخواست‌های حقوقی برای دسترسی به داده‌ها را افزایش می‌دهد. سرویس‌های هوش‌مصنوعی برای عملکرد پیشرفته گاهی دسترسی کامل به ایمیل‌ها، فایل‌ها و محتوای شخصی می‌خواهند. در صورت نفوذ یا سوءاستفاده، این دسترسی می‌تواند اسناد حقوقی، مدارک مالی و مکاتبات محرمانه را در معرض خطر قرار دهد.

ریسک حملات با دستور‌های مخفی (LLM۰۱) نیز ثبت شده است؛ در این نوع حملات دستورات مخفی در اسناد یا صفحات وب جاسازی می‌شود و هوش‌مصنوعی بدون تشخیص صحیح آنها را اجرا می‌کند. نتیجه می‌تواند ارسال ناخواسته اطلاعات به منابع ناشناس باشد.

چند نشانه‌های خطر هنگام اتصال یک اپلیکیشن هوش‌مصنوعی که باید مورد توجه قرار گیرد: درخواست دسترسی کامل به ایمیل‌ها، فایل‌ها یا مدیریت سیستم، نبود امکان کنترل نگهداری داده‌ها (Retention)، سیاست‌های مبهم درباره اشتراک‌گذاری داده با شرکا و فعال‌سازی پیش‌فرض ویژگی‌هایی مانند ضبط مداوم صفحه یا اسکن کامل دستگاه

قابلیت‌های ثبت مداوم صفحه‌نمایش یا ذخیره‌سازی خودکار محتوا، هرچند جست‌و‌جو را آسان‌تر می‌کنند، اما در صورت هک شدن، مجموعه عظیمی از اطلاعات حساس را در اختیار مهاجمان می‌گذارند.

توجه به تغییر سیاست‌های شرکت‌ها

شرکت‌های هوش‌مصنوعی به‌طور مستمر سیاست‌های استفاده از داده‌ها را تغییر می‌دهند. به‌عنوان مثال (Anthropic) اخیرا از کاربران خواسته تا درباره استفاده از محتوای چت‌ها در آموزش مدل تصمیم بگیرند؛ چنین تغییراتی در بلندمدت سطح ریسک را افزایش می‌دهد.

متخصصان حقوقی هشدار می‌دهند که محتوای چت‌های هوش‌مصنوعی ممکن است در جریان پرونده‌های قضایی قابل درخواست باشد. ذخیره این داده‌ها در سرور‌های شرکت‌های ثالث، احتمال دسترسی قانونی به آنها را افزایش می‌دهد و به‌نوعی داده‌ها را به بایگانی قضایی بالقوه تبدیل می‌کند.

اگرچه برخی سرویس‌ها اعلام می‌کنند داده کاربران برای آموزش مدل استفاده نمی‌شود، اما خطر دسترسی کارکنان، نگهداری طولانی‌مدت داده‌ها، لاگ‌ها و سطح گسترده مجوز‌ها همچنان وجود دارد. بیشترین آسیب‌پذیری مربوط به کاربرانی است که نسخه سازمانی این سرویس‌ها را ندارند.

نشانه‌های هشداردهنده

چند نشانه‌های خطر هنگام اتصال یک اپلیکیشن هوش‌مصنوعی که باید مورد توجه قرار گیرد: درخواست دسترسی کامل به ایمیل‌ها، فایل‌ها یا مدیریت سیستم، نبود امکان کنترل نگهداری داده‌ها (Retention)، سیاست‌های مبهم درباره اشتراک‌گذاری داده با شرکا، فعال‌سازی پیش‌فرض ویژگی‌هایی مانند ضبط مداوم صفحه یا اسکن کامل دستگاه.

مجید فرزانه، کارشناس هوش‌مصنوعی در گفتگویی با آناتک در مسئله حفظ حریم خصوصی بیان می‌کند: «بدون چارچوب‌های حکمرانی شفاف و سخت‌گیرانه، استفاده از هوش‌مصنوعی می‌تواند به سوگیری الگوریتمی، نقض داده‌ها و انتشار اخبار جعلی منجر شود.»

چند راهکار کاربری برای کاهش ریسک

باید توجه داشت هرچه اتصال بیشتر باشد، دامنه خطر نیز بزرگ‌تر می‌شود و میزان آسیب‌پذیری کاربران در برابر حملات و نشت داده افزایش می‌یابد. در ادامه چند راهکار پیشنهاد می‌شود تا محدوده دسترسی هوش مصنوعی قابل کنترل باشد:

ایجاد فضای آزمایشی: یک پوشه یا لیبل مخصوص برای اشتراک با هوش‌مصنوعی تعریف شود تا داده‌های حساس در آن قرار نگیرند.

استفاده از دسترسی‌های حداقلی: فقط خواندن و فقط بخش‌های محدود به‌کار گرفته شود؛ دسترسی کامل به ایمیل یا فایل‌ها باید به‌صورت استثنایی باشد.

تفکیک حساب‌های شخصی و کاری: برای هر حوزه حساب جداگانه‌ای ایجاد شود تا داده‌های کاری در معرض خطر حساب‌های شخصی نباشند.

تنظیم مدت نگهداری چت‌ها و لاگ‌ها: دوره زمانی کوتاهی برای نگهداری تعیین شود و پس از آن به‌صورت خودکار حذف شوند.

نیاز به تایید دستی برای عملیات خارج از محدوده امن: هر عملیاتی که به‌صورت خودکار داده‌های حساس را ارسال می‌کند، باید با تایید کاربر تکمیل شود.

بازبینی دوره‌ای سیاست‌های شرکت‌ها و مجوز‌های دسترسی: کاربران باید به‌صورت منظم سیاست‌های حریم خصوصی و مجوز‌های داده را مرور کنند.

خودداری از وارد کردن اطلاعات حقوقی: داده‌های دارای قابلیت استفاده حقوقی (مانند شماره حساب یا اسناد قانونی) نباید در چت‌های هوش‌مصنوعی وارد شوند.

انتهای پیام/