Riscos corporatius derivats de l'ús de ChatGPT
Celia Catalán
A final del mes de novembre del 2022 es va publicar el prototip de chatbot d'intel·ligència artificial (IA), ChatGPT, desenvolupat per l'organització OpenAI. Uns mesos més tard, el març del 2023, es va llançar la darrera versió del chatbot, el model GPT-4. El seu ús va començar a popularitzar-se portant alguns països com Itàlia a plantejar com el servei gestionava la informació que se li proporcionava. Posteriorment, el país va bloquejar ChatGPT per incompliment sobre la protecció de dades personals durant vint dies. Després d'aquest període OpenAI va realitzar una sèrie de canvis per continuar operant, com ara: mostrar de forma detallada quines dades personals es recopilen, com es processen i la possibilitat que els usuaris es neguin que les dades s'usin en altres IAs. Actualment la Unió Europea es troba en procés d'elaboració de la primera norma sobre IA, aquesta afectaria també la IA generativa utilitzada per ChatGPT[1]. S'espera que estigui llesta a finals del 2023.
L'aparició de ChatGPT com a servei obert al públic va suposar un nou moment històric de l'àmbit cibernètic. Gran quantitat d'usuaris van desafiar amb el seu enginy la IA i van provar la seva usabilitat, mostra els 67 milions de resultats de Google davant la pregunta Per què fer servir ChatGPT? Les respostes a la qüestió són àmplies i variades, sobre gran quantitat d'àmbits, on caldria esmentar l'ús amb intenció maliciosa del servei: generació de nous codi maliciós o continguts per a un phishing més eficaç.
Per als usuaris, la capacitat de la IA per resoldre els problemes ràpidament ha prevalgut davant el fet que es tracta d'un servei prestat per una organització i que aquesta podria obtenir beneficis en un futur gràcies a l'entrenament i les dades proporcionades. Tot i això, OpenAI es presenta com una organització sense ànim de lucre i amb l'objectiu de crear una IA segura per a la humanitat. Això hauria participat a la generació de confiança sobre els consumidors.
Així mateix, sembla oblidat allò que “la informació és poder”. La confiança dels usuaris podria haver col·laborat en aquest oblit massiu. Avui dia, l'exposició a Internet d'una persona mitjana és força alta i no té perspectiva sobre les conseqüències que això pot comportar. En aquesta línia, els usuaris fan peticions a ChatGPT que comporten proporcionar-li informació personal o confidencial com, per exemple: generar un currículum vitae, redactar un contracte legal, seleccionar entre diversos documents PDF un candidat, etc.
Aquesta confiança en el servei ha promogut l‟expansió de l‟ús de la IA des del pla personal al corporatiu. Aquesta situació fa que l'establiment de límits sigui una necessitat a les empreses. Grans corporacions com Samsung ja n'han prohibit o limitat l'ús com a conseqüència d'incidents relacionats amb la pèrdua d'informació corporativa.
Actualment, hi ha controvèrsia sobre l'ús de la informació que se li proporciona a ChatGPT, ja que malgrat que aquesta tecnologia afirma no emmagatzemar les dades, nombrosos usuaris haurien pogut accedir a informacions proporcionades per altres (vegeu codi de desenvolupament de productes interns< a href="https://hipertextual.com/2023/04/chatgpt-empleados-samsung-filtran-informacion-confidencial#:~:text=La%20empresa%20permet%20que%20alguns%20de%20els seus%20empleats,tenen %20autoritzat%20usar-lo%20en%20els%20equips%20de%20treball." target="_blank">[2] o llicències per a Windows 11 Pro[3]).
També s'han detectat errors en les respostes proporcionades, ja bé per ser falses o per ser inventades, com li va passar a un advocat nord-americà que va utilitzar ChatGPT per argumentar-lo en un escrit que va presentar a judici i en què la IA va inventar precedents legals inexistents, per la qual cosa ara podria ser sancionat[4].
A més, cal recordar que ChatGPT tampoc no és infal·lible en l'àmbit de la ciberseguretat. Com a servei, per utilitzar-lo requereix usuari, compte de correu electrònic, número de telèfon mòbil i contrasenya. Actualment ja s'han detectat les primeres filtracions de dades amb l'exposició d'uns 100.000 comptes d'usuaris[5]. A la informació filtrada a banda de contenir la necessària per a l'accés al servei també es trobaria aquella enviada a ChatGPT, és a dir, el registre de les converses mantingudes amb la IA per un usuari en concret.
En síntesi, els riscos corporatius derivats de l'ús de la IA són nombrosos i variats com la utilització a les consultes d'informació personal o confidencial (propietat de l'empresa o sobre la qual és responsable en la gestió), les possibles bretxes de seguretat i les filtracions de dades al servei i fins i tot l'acceptació de la premissa que el judici de la IA és de més valor que el d'un mateix. Per tot això, les organitzacions s'hauran de preguntar: val la pena assumir aquests riscos?
Noelia B., Analista d'Intel·ligència.
