AI-संचालित चैटबॉट हमारे जीवन के लगभग हर पहलू में सहज रूप से एकीकृत हो गए हैं, सवालों के जवाब देने और ग्राहक सेवा में सहायता करने से लेकर व्यक्तिगत कार्यों को प्रबंधित करने और लेन-देन करने तक। तत्काल, व्यक्तिगत बातचीत प्रदान करने की उनकी क्षमता के साथ, हम अक्सर बिना किसी दूसरे विचार के संवेदनशील डेटा को स्वतंत्र रूप से साझा करते हैं। हालाँकि, जब कोई चैटबॉट सेवा डेटा लीक का अनुभव करती है, तो यह न केवल व्यक्तिगत गोपनीयता से समझौता करती है - यह उन सभी विश्वासों पर प्रहार करती है जो उपयोगकर्ता इन तकनीकों में रखते हैं। इन AI सिस्टम के साथ आदान-प्रदान किए जाने वाले व्यक्तिगत, वित्तीय और संवादात्मक डेटा की विशाल मात्रा का मतलब है कि उल्लंघन के दूरगामी परिणाम हो सकते हैं, जो व्यक्तिगत सुरक्षा से लेकर AI सेवाओं की विश्वसनीयता तक सब कुछ प्रभावित करते हैं जिन पर हम भरोसा करते हैं।
कुख्यात ब्रीच फ़ोरम पर पोस्ट की गई जानकारी के अनुसार, एक हैकर ने कथित तौर पर ओमनीजीपीटी में घुसपैठ करने का दावा किया है, जो एक व्यापक रूप से इस्तेमाल किया जाने वाला एआई चैटबॉट और उत्पादकता प्लेटफ़ॉर्म है। कथित तौर पर इस उल्लंघन ने 30,000 उपयोगकर्ताओं के व्यक्तिगत डेटा को उजागर किया, जिसमें ईमेल, फ़ोन नंबर और 34 मिलियन से अधिक वार्तालाप लॉग शामिल हैं। उपयोगकर्ता चैट के अलावा, उजागर किए गए डेटा में अपलोड की गई फ़ाइलों के लिंक भी शामिल हैं, जिनमें से कुछ में क्रेडेंशियल, बिलिंग विवरण और एपीआई कुंजी जैसी संवेदनशील जानकारी शामिल है।
सच कहा जाए तो, डेटा लीक का सामना कर रही AI चैटबॉट सेवा से कम से कम थोड़ा चिंतित न होना मुश्किल है, खासकर यह देखते हुए कि इन उपकरणों की लोकप्रियता कितनी तेज़ी से बढ़ी है। हम कई तरह की क्षमताओं के लिए उन पर भरोसा करते हैं - रचनात्मक लेखन और विचार-मंथन से लेकर शोध और यहां तक कि व्यवसाय स्वचालन तक।
चित्र 1. कथित OmniGPT उल्लंघन ने उल्लंघन मंचों पर दावे पोस्ट किए। स्रोत: HackRead.com
ये घटनाएं क्यों होती हैं?
एआई-संचालित चैटबॉट और क्रिएटिविटी सेवाओं की पहुंच और सुविधा ने उन्हें हमारे दैनिक जीवन का अभिन्न अंग बना दिया है, लेकिन सबसे ज़्यादा चिंता की बात यह है कि यह उल्लंघन सेवा के बैक एंड पर हुआ। इसका मतलब यह है कि यह उपयोगकर्ताओं या उपभोक्ताओं द्वारा इसे रोकने के लिए किए जा सकने वाले किसी भी काम से पूरी तरह बाहर है।
एआई चैटबॉट को किसी भी और सभी सूचनाओं के लिए एक आकस्मिक भंडार के रूप में माना जाने की एक सामान्य प्रवृत्ति है। हालाँकि, वास्तविकता में, ये प्लेटफ़ॉर्म 'ब्लैक बॉक्स' के रूप में काम करते हैं, जहाँ उपयोगकर्ता को इस बात की कोई जानकारी नहीं होती है कि उनके डेटा को कैसे संभाला, संग्रहीत या संरक्षित किया जाता है। धारणा और वास्तविकता के बीच यह वियोग तब विनाशकारी परिणाम दे सकता है जब संवेदनशील डेटा, जैसे अपलोड किए गए दस्तावेज़, API कुंजियाँ और व्यक्तिगत विवरण लीक हो जाते हैं, जैसा कि इस मामले में देखा गया है।
उपयोगकर्ताओं के लिए निरंतर सुरक्षा जागरूकता प्रशिक्षण भी उतना ही महत्वपूर्ण है। बहुत से लोग अभी भी एआई चैटबॉट सेवाओं या क्लाउड प्लेटफ़ॉर्म में संवेदनशील जानकारी दर्ज करने से जुड़े जोखिमों के बारे में पूरी तरह से अवगत नहीं हो सकते हैं। उपयोगकर्ताओं को संभावित डेटा दुरुपयोग के बारे में शिक्षित करना और व्यक्तिगत या गोपनीय डेटा साझा करते समय सावधानी बरतने पर ज़ोर देना जोखिम को कम करने में काफ़ी मददगार हो सकता है।
शक्तिशाली, अक्सर मुफ़्त, AI-समृद्ध सेवाओं का आकर्षण केवल बढ़ता ही रहेगा, जिससे सुरक्षा के लिए पारंपरिक “व्हेक-ए-मोल” दृष्टिकोण निरर्थक होता जाएगा। हर हफ़्ते सैकड़ों (या हज़ारों) नई AI सेवाएँ उभरने के साथ, साइबर सुरक्षा टीमें पहले से ही अभिभूत हैं और संभवतः गति नहीं रख सकती हैं।
"हमारे पास आजकल बहुत अधिक खाली समय है" - ऐसा कभी किसी साइबर सुरक्षा टीम ने नहीं कहा!
हर एक AI टूल का पीछा करने के बजाय, अंतर्निहित जोखिमों पर ध्यान केंद्रित करना चाहिए। इसका मतलब है कि संवेदनशील डेटा की सुरक्षा को प्राथमिकता देना, चाहे वह किसी भी सेवा के साथ साझा किया जा रहा हो। चाहे वह एक वैध AI प्लेटफ़ॉर्म हो या कोई अन्य छाया IT संसाधन, डेटा इंटरैक्शन को सीमित करना और मजबूत सुरक्षा उपायों को लागू करना AI टूल के लगातार बढ़ते परिदृश्य पर नज़र रखने की कोशिश करने से कहीं ज़्यादा प्रभावी साबित होगा। जैसा कि हाल की घटनाओं से पता चलता है, मज़बूत दिखने वाली सेवाएँ भी परिष्कृत ख़तरे वाले अभिनेताओं के लिए लक्ष्य बन सकती हैं।
क्या किया जा सकता है?
एआई निस्संदेह क्रांतिकारी है, जो अनगिनत तरीकों से उद्योगों और दैनिक जीवन को बदल रहा है। हालाँकि, विशुद्ध तकनीकी दृष्टिकोण से, एआई सेवाएँ, विशेष रूप से वेब और क्लाउड के माध्यम से एक्सेस की जाने वाली सेवाएँ, मूल रूप से केवल वेबसाइट या क्लाउड प्लेटफ़ॉर्म हैं। जबकि उनकी अंतर्निहित तकनीक उल्लेखनीय रूप से शक्तिशाली और अभिनव है, साइबर सुरक्षा के दृष्टिकोण से, वे डेटा लीक और अनधिकृत पहुँच के लिए एक और संभावित मार्ग का प्रतिनिधित्व करते हैं। नागरिक रिकॉर्ड, पीआईआई और स्रोत कोड जैसे संवेदनशील संगठनात्मक डेटा की सुरक्षा के लिए काम करने वाले सुरक्षा पेशेवरों के लिए, एआई सेवाओं को छाया आईटी के लेंस के माध्यम से देखा जाना चाहिए।
और जबकि AI दक्षता और नवाचार को बढ़ावा देता है, यह डेटा उल्लंघनों, अनुपालन उल्लंघनों और छाया AI उपयोग जैसी चुनौतियों को भी जन्म देता है। AI को तेजी से अपनाना अक्सर शासन को पीछे छोड़ देता है, जिससे उचित सुरक्षा उपायों के बिना संगठन प्रतिष्ठा, वित्तीय और कानूनी जोखिमों के प्रति संवेदनशील हो जाते हैं।
परिभाषा के अनुसार, शैडो आईटी में ऐसी कोई भी सेवा शामिल है जो कॉर्पोरेट उपयोग और डेटा लेनदेन के लिए स्पष्ट रूप से स्वीकृत या अधिकृत नहीं है। जब एआई सेवाओं को शैडो आईटी के रूप में माना जाता है, तो इससे जुड़े जोखिम स्पष्ट हो जाते हैं। क्या आप संवेदनशील ग्राहक डेटा को किसी अस्वीकृत वेबसाइट में दर्ज करने की अनुमति देंगे? क्या आप गोपनीय अनुलग्नकों को किसी अज्ञात क्लाउड सेवा पर अपलोड करने की अनुमति देंगे? क्या आप संदिग्ध डेटा सुरक्षा प्रथाओं वाले क्षेत्राधिकारों में होस्ट किए गए प्लेटफ़ॉर्म का उपयोग करने वाले कर्मचारियों को अनुमति देंगे? इन सभी सवालों का जवाब एक जोरदार 'नहीं' होना चाहिए।
एआई सेवाओं को छाया आईटी के रूप में मानना दृष्टिकोण में आवश्यक बदलाव को मजबूर करता है। प्रौद्योगिकी की क्षमताओं से चकित होने के बजाय, संगठनों को वही कड़े सुरक्षा मानक लागू करने चाहिए जो वे किसी अन्य अनधिकृत सेवा के लिए लागू करते हैं। इसमें डेटा इंटरैक्शन को प्रतिबंधित करना, पहुंच को सीमित करना और संवेदनशील जानकारी को किसी भी अप्रबंधित, बाहरी प्लेटफ़ॉर्म से जुड़े अंतर्निहित जोखिमों के संपर्क में आने से रोकने के लिए मजबूत निगरानी को लागू करना शामिल है, भले ही वह कितना भी अभिनव या मददगार क्यों न लगे।
हमें निश्चित रूप से अपने वर्तमान डेटा संरक्षण नियमों को एआई ऐप्स को कवर करने के लिए विस्तारित करने की आवश्यकता है, और आदर्श रूप से, हमें नियमों का एक ऐसा सेट चाहिए जो हर चीज के लिए काम करे - अनुमोदित ऐप्स, अस्वीकृत ऐप्स, यहां तक कि हमारे अपने आंतरिक ऐप्स भी।
एक सुरक्षा व्यवसायी के रूप में, एक बार जब आप किसी दिए गए सेवा / इकाई के संबंधित जोखिमों की पहचान कर लेते हैं, तो आप अंततः तीन प्रश्न पूछना चाहेंगे:
- क्या हमारे किसी उपयोगकर्ता ने इसे ब्राउज़/उपयोग किया है? यदि हां, तो कितने? और वास्तव में कौन?
- क्या हमारे वेब और क्लाउड इन्फ्रास्ट्रक्चर के किसी हिस्से ने इस सेवा को एक्सेस किया है?
- और यदि पहले दो प्रश्नों में से किसी एक का परिणाम "हां" में होता है, तो आपके संगठन और उस सेवा के बीच कितना डेटा लेन-देन किया गया है?
चित्र 2. एआई डैशबोर्ड आपकी सुरक्षा टीमों को चुनौतियों का आकलन करने के लिए महत्वपूर्ण दृश्यता प्रदान करता है
चित्र 3. अलग-अलग जोखिम स्कोर और सेवा विशेषताओं के साथ 1300 से अधिक आर्टिफिशियल इंटेलिजेंस सेवाओं पर नज़र रखना