中國國家安全部近日公開一宗資料外洩個案。某單位員工違規用開源 AI 工具處理內部文件,電腦系統預設開啟公網連接且未設定密碼,導致境外 IP 非法存取及下載敏感資料。國家安全部披露該單位直接用開源框架建立聯網大模型,攻擊者無需授權即可自由連接內部網絡,引致資料外洩及安全風險。
開源 AI 工具暗藏資料儲存風險
開源 AI 工具以免費、高效及功能多樣等優勢成為許多單位及個人首選。專家指出用戶使用 AI 工具往往忽略資料儲存功能,任何上傳至 AI 檔案、圖片或文字資料都會被模型儲存。這類工具核心是開源大模型,其架構、參數及訓練資料完全公開並允許用戶免費使用。
國家保密局表示開源 AI 工具資料安全風險源於資料儲存功能。資料儲存至模型後至少面臨兩種外洩風險:首先開源 AI 工具開發者擁有最高權限,可直接存取及查看所有儲存資料,若開發者缺乏保密意識或存在利益驅動,用戶上傳敏感資訊可能被非法利用或外洩。其次黑客可利用工具漏洞攻擊入侵後台並批量竊取儲存資料,無需接觸用戶終端即可實現遠端竊密。
個人企業均面臨資訊外洩威脅
機關單位或企業將工作機密上傳至開源 AI 工具,無異於將核心資訊暴露在透明環境。對於個人而言,身份證號碼、手機號碼及私隱相片等敏感資訊上傳可能引致電話詐騙及資料倒賣等問題。國家保密局特別警告若涉及國家機密資訊被上傳至此類工具,將直接威脅國家安全並造成不可挽回損失。
國家保密局建議有開源 AI 使用需求的機構單位應推進開源大模型私有化部署,將所有資料儲存在本地伺服器並切斷與互聯網直接連接。同時需建設配套基礎設施並組建專業團隊進行系統維護及安全監測,及時修補漏洞及抵禦攻擊。
資料來源:新浪財經
Comments are closed, but trackbacks and pingbacks are open.