据四位知情人士透露,去年夏天,美国国土安全部负责网络防御工作的代理负责人将敏感的合同文件上传到了ChatGPT的公开版本中。这一操作触发了多个旨在防止政府资料被窃取或意外泄露的自动安全警报。
涉事官员为网络安全和基础设施安全局(CISA)的代理局长马杜·戈图穆卡拉。这次事件之所以引人注目,是因为他在今年5月上任后不久,就向局内的首席信息官办公室申请并获准使用这款流行的人工智能工具,而当时国土安全部的其他员工是无法访问该应用的。
四位官员均表示,戈图穆卡拉上传到ChatGPT的文件并非机密级别,但其中包含了被标注为“仅供官方使用”的CISA合同文件——这是政府用于标记不宜公开的敏感信息的标识。CISA的网络安全传感器在去年8月就捕捉到了这些上传行为。其中一位官员指出,仅在8月的第一周,就出现了多次相关警报。
随后,国土安全部的高级官员牵头进行了一次内部审查,以评估这些资料泄露是否对政府安全构成实际损害。目前,审查的具体结论尚不明确。
针对此事,CISA公共事务主管玛西·麦卡锡在一份邮件声明中表示,戈图穆卡拉“已获准在国土安全部的控制措施下使用ChatGPT”,并强调“此次使用是短期且有限的”。声明补充说,CISA的安全策略仍然默认阻止对ChatGPT的访问,除非获得豁免。声明还指出,戈图穆卡拉最后一次使用该工具是在2025年7月中旬,是在获得部分员工的临时授权豁免后进行的。
这里存在一个关键的风险点:任何上传至ChatGPT公开版本的材料都会与OpenAI共享,这意味着这些素材可能被用于训练模型,并回答其他用户的问题。OpenAI宣称其应用拥有超过7亿活跃用户。相比之下,国土安全部批准供员工使用的其他AI工具(例如内部开发的DHSChat)已经过配置,能够防止输入的内容离开联邦网络。
一位官员对此评论道:“戈图穆卡拉强迫CISA为他提供ChatGPT,然后滥用了这项权限。”
所有联邦官员都接受过如何妥善处理敏感文件的培训。根据国土安全部的政策,安全官员必须调查公务文件泄露的原因和影响,并视情况决定是否采取行政或纪律处分。可能的措施范围很广,从强制再培训或正式警告,到更严厉的处理,如暂停甚至撤销安全许可。
四位官员中的两位透露,在国土安全部发现该活动后,戈图穆卡拉与部门高级官员就他上传至ChatGPT的内容进行了沟通审查。当时,国土安全部的代理总法律顾问约瑟夫·马扎拉和首席信息官安托万·麦考德也参与了评估。另有消息称,在2025年8月,戈图穆卡拉还与CISA首席信息官罗伯特·科斯特洛及首席法律顾问斯宾塞·费舍尔就此次事件,以及“仅供官方使用”材料的正确处置方式进行了会谈。上述官员中有多位未对置评请求作出回应。
自2025年5月被任命为代理局长以来,戈图穆卡拉一直领导着CISA。然而,他的上任过程并不顺利:今年夏天,至少六名职业员工因戈图穆卡拉推动的一项被国土安全部称为“未经授权”的反间谍测谎程序而被停职。在上周的国会听证会上,当被问及是否知晓测谎失败一事时,戈图穆卡拉两次予以否认。此外,就在上周,他曾试图罢免CISA的首席信息官科斯特洛,但被该机构的其他政治任命人员介入阻止。
这一事件突显了在政府及企业环境中引入生成式AI工具时所面临的复杂安全挑战。政策的制定、权限的控制与实际操作之间往往存在差距。对于技术从业者而言,理解并防范此类数据泄露风险,是构建可信系统的重要一环。想了解更多关于前沿技术实践与安全讨论,欢迎访问云栈社区进行交流。 | 
发表于 昨天 05:56
|
查看: 3|
回复: 0
