– Ar pastebite, kad darbuotojai vis dažniau dalijasi konfidencialia informacija su DI sistemomis?

– Taip, pastebime augančią tendenciją. Mūsų tyrimai KTU rodo, kad beveik 40 proc. darbuotojų yra bent kartą įkėlę darbo informaciją į „ChatGPT“ ar panašius įrankius.

Žmonės dažnai neįvertina, kad kopijuodami e. laišką ar dokumentą į „ChatGPT“, jie faktiškai siunčia šiuos duomenis į išorinę sistemą. Pavyzdžiui, žinau atvejį, kai vienos įmonės finansų skyriaus darbuotojas įkėlė sutarties projektą į „ChatGPT“ prašydamas jį patobulinti, visiškai nesuvokdamas, kad taip jis šiuos duomenis padarė prieinamus trečiajai šaliai.

Gali kilti klausimas, kaip apsaugoti savo aplinką, ir tam yra prieinamos generatyvinio dirbtinio intelekto (GDI) saugaus naudojimo organizacijoje gairės.

– Kodėl darbuotojai yra linkę pasitikėti DI sistemomis ir dalytis su jomis jautria informacija?

– Čia yra keli psichologiniai mechanizmai. Pirmiausia, DI įrankiai sukurti būti draugiški ir patikimi – jie atsako mandagiai, profesionaliai ir sukuria iliuziją, kad bendraujate su patikimu kolega.

Antra, dauguma darbuotojų neturi gilaus supratimo, kaip veikia šie įrankiai. Jie mato tik naudotojo sąsają, bet nežino, kas vyksta „po gaubtu“ – kur keliauja duomenys, kaip jie saugomi ir kas gali turėti prieigą.

Be to, pastebime ir technologinį optimizmą – dauguma darbuotojų mano, kad jei įrankis populiarus ir jį naudoja milijonai žmonių, jis tikriausiai yra saugus. Tai panašu į situaciją, kai žmonės nedaro savo asmeninių duomenų ar kompiuteriuose saugomos informacijos atsarginių kopijų, nes galvoja, kad jiems nieko blogo nenutiks arba jie neturi ko slėpti.

Dauguma darbuotojų neturi gilaus supratimo, kaip veikia šie įrankiai. Jie mato tik naudotojo sąsają, bet nežino, kas vyksta „po gaubtu“ – kur keliauja duomenys, kaip jie saugomi ir kas gali turėti prieigą.

– Ar, jūsų nuomone, žmonės gali tapti mažiau atsakingi už savo sprendimus, jei nuolat pasitiki DI?

– Taip, tai matome jau dabar. Šį reiškinį vadiname atsakomybės perkėlimu arba automatizacijos šališkumu. Kai žmonės naudoja DI įrankį, jie linkę dalį atsakomybės perkelti sistemai. Pavyzdžiui, žinau atvejį, kai darbuotojas, rašydamas svarbų pasiūlymą klientui ir naudodamasis DI, per neatidumą įtraukė klaidingą informaciją, nes tiesiog pasitikėjo DI pateiktu tekstu be patikrinimo.

Matome ir atvirkštinį paradoksą – kai kuriose situacijose žmonės tampa per daug atsargūs nepriimdami jokių sprendimų be DI patvirtinimo. Vienas iš mūsų tyrimų parodė, kad IT specialistai, nuolat naudojantys kodo generavimo įrankius, pradeda abejoti savo gebėjimais rašyti kodą nesinaudodami šiais įrankiais.

– Kokių grėsmių kelia darbuotojų pasitikėjimas DI sistemomis, tokiomis kaip „ChatGPT"?

– Grėsmių spektras – platus. Pirmiausia, tai tiesioginis konfidencialios informacijos nutekėjimas. Įsivaizduokite, kad į „ChatGPT“ įkeliate dokumentą su klientų duomenimis, įmonės finansine informacija ar intelektine nuosavybe, – dabar ši informacija yra „OpenAI“ serveriuose.

Taip pat atsiranda rizika, kad konkurentai galėtų gauti prieigą prie vertingos verslo informacijos. Buvo atvejis, kai vienos įmonės darbuotojas įkėlė naują produkto koncepciją į DI įrankį, prašydamas pataisyti teksto klaidas, ir taip faktiškai paviešino dar nepatentuotą idėją.

Reikia nepamiršti, kad kyla ir BDAR pažeidimų rizika. Jei į DI įrankį įkeliate dokumentą su asmens duomenimis be tinkamo teisinio pagrindo, pažeidžiate įstatymą ir įmonei gali grėsti rimtos baudos. Lietuvoje viena organizacija jau susidūrė su problemomis, kai darbuotojas įkėlė klientų duomenis į „ChatGPT“ norėdamas sukurti tikslesnius atsakymus.

– Ar jau yra buvę atvejų, kai konfidencialūs duomenys, sukelti į DI sistemas, pateko į viešumą?

– Taip, jau yra nemažai tokių atvejų tiek Lietuvoje, tiek pasaulyje. „Samsung“ darbuotojai netyčia nutekino įmonės programinį kodą per „GitHub Copilot“. Vienas JAV teisininkas naudojo „ChatGPT“, ruošdamas teismo dokumentus, ir sistema sugalvojo neegzistuojančius teismų sprendimus, kuriuos jis pateikė teismui.

Lietuvoje buvo atvejis, kai įmonės rinkodaros specialistas įkėlė dar nepaskelbtą reklamos kampaniją į „ChatGPT“ prašydamas patobulinti tekstą, o vėliau pastebėjo labai panašią konkurentų kampaniją. Nors tiesioginio ryšio neįrodėme, sutapimas buvo įtartinas.

Prisimenu atvejį, kai darbuotojas įkėlė įmonės vidinės komunikacijos fragmentus į „ChatGPT“, o paskui pastebėjo, kad dalis turinio atsirado „ChatGPT“ atsakymuose kitiems naudotojams, nors ir be konkrečių įmonės pavadinimų.

– Kaip „ChatGPT“ ir kitos panašios DI platformos tvarko naudotojų pateikiamus duomenis? Ar jie gali būti saugomi ir panaudoti vėliau?

– Tai priklauso nuo konkrečios platformos ir jos duomenų tvarkymo politikos. „OpenAI“, „ChatGPT“ kūrėjai pagal savo privatumo politiką saugo pokalbius 30 dienų, kad galėtų reaguoti į piktnaudžiavimo atvejus, tačiau taip pat naudoja šiuos duomenis savo modeliams tobulinti.

Nemokamose DI platformų versijose praktiškai visada jūsų įvesti duomenys yra naudojami modeliams apmokyti. Vadinasi, jūsų įkelti tekstai gali tapti modelio žinių dalimi. Yra dokumentuotų atvejų, kai modeliai prisimena dalykus, kurie buvo pateikti treniravimo metu.

Verta paminėti, kad mokamose versijose, pavyzdžiui, „ChatGPT Enterprise“, paprastai yra griežtesnės privatumo apsaugos priemonės ir įmonės gali pasirinkti nenaudoti jų duomenų modeliams tobulinti. Tačiau net ir tada duomenys turi būti siunčiami į išorinius serverius apdoroti.