De risico’s van het gebruiken van AI chatbots
Tegenwoordig zijn ze bijna overal te vinden: AI chatbots die je kunnen helpen met allerhande taken en informatievoorziening en eerlijk is eerlijk, ze kunnen enorm handig zijn! Maar zoals wel vaker zijn er ook risico’s verbonden aan het gebruik hiervan.
In dit (geheel door een mens geschreven!) artikel leggen we een aantal van die risico’s uit.
Chatbots
Het lijkt wel een enorme hype te zijn, overal verschijnen nieuwe chatbots en worden ze geïntegreerd in bestaande applicaties. Vaak zijn dit AI-toepassingen gebaseerd op het LLM-model wat staat voor Large Language Model. Dat betekent dat dit type AI getraind is met enorme sets aan data om menselijke taal te intepreteren, begrijpen en genereren.
Ze kunnen dus enorm goed tekst genereren, maar niet echt de materie ‘begrijpen’.
Bekende modellen hiervan zijn ChatGPT, Microsoft Copilot of GROK van X (voorheen Twitter).
Kwaliteit & betrouwbaarheid van de datasets
Deze LLM’s baseren de informatie die ze je geven op informatie die ze al hebben verzameld vanuit hun datasets. Daar zit ook meteen een risico in; je weet immers niet waar de dataset op gebaseerd is, de meeste publiek beschikbare chatbots zijn daar ontzettend onduidelijk over.
Daarnaast moet je je ook afvragen of de informatie relevant is voor de locatie waar je je bevindt, zo zijn er voorbeelden bekend van juristen of advocaten die informatie uit ChatGPT haalden over wetboeken maar de chatbot doodleuk met informatie uit een wetboek van een ander land kwam die helemaal niet relevant was. Dat laat maar weer zien dat de informatie die zo’n bot geeft handig is, maar niet klakkeloos 1-op-1 overgenomen moet worden.
Gevoelige informatie delen
Daarbij is het ook belangrijk om te onthouden dat je geen gevoelige informatie deelt met een chatbot, tenzij de dataset privé of 100% transparant is. Een publieke chatbot verwerkt namelijk de gegevens die jíj erin stopt ook in de dataset en daarmee kunnen die gegevens in potentie gedeeld worden met derden. Uit onderzoek van Netskope is gebleken dat van de 10.000 zakelijke gebruikers er minimaal 183 een incident hebben gehad waarbij gevoelige informatie zoals personal identifiable information (PII) gedeeld is met een chatbot, maar dit kan ook net zo goed broncode van een applicatie of andere bedrijfsgeheimen inhouden. In sommige gevallen zijn er zelfs credentials gedeeld met een chatbot.
Rechten binnen een zakelijke chatbot
Met Microsoft Copilot zien we ook een opkomst van een nieuw soort chatbot, eentje die geïntegreerd wordt in je bestaande Microsoft 365-omgeving en daaruit relevante informatie kan opzoeken.
Maar dit model brengt ook weer een nieuw risico met zich mee: Copilot baseert zich op de bestaande rechten van de gebruiker die een vraag stelt, maar als de rechtenstructuur niet klopt of niet dekkend is kunnen er heel makkelijk gegevens worden gedeeld met iemand die dat niet hoeft te weten. Zo is het niet ondenkbaar dat in specifieke gevallen een gebruiker toegang kan krijgen tot gevoelige HR-informatie, simpelweg omdat de rechten niet goed genoeg zijn ingesteld volgens het Zero Trust-model.
Meer weten of benieuwd hoe bestendig jouw organisatie is?
Hier kunnen we je bij helpen! We kunnen een risico analyse doen om in kaart te brengen waar de grootste risico’s zitten.
Meer weten? Neem contact met ons op!
Meer artikelen
- Amerikaanse overheid stopt financiering van MITREDe Amerikaanse non-profit organisatie MITRE, vooral bekend van het CVE-programma (Common Vulnerabilities & Exposures) wat één van de steunpilaren van de cybersecurity-industrie is heeft bekend gemaakt dat met ingang van 16 april de Amerikaanse overheid stopt met het financieren van dit programma.
- Microsoft dicht actief gebruikt zero-day lek in WindowsMicrosoft heeft recent updates uitgebracht die een zero-day kwetsbaarheid in vrijwel alle versies van Windows oplost. Deze kwetsbaarheid werd volgens diverse onderzoeken ingezet in ransomware-aanvallen om privilege escalation te doen.
- Ransomware bende gebruikt webcam om systemen te versleutelenRansomware bende gebruikt webcams om ransomware ongezien in een netwerk te verspreiden.
- Malware vermomd als CAPTCHA-verificatieNieuwe malware doet zich voor als een defecte CAPTCHA. Gebruikers volgen herstelinstructies, maar voeren zo onbewust malware uit.
- Biometrische authenticatie & deepfakesBiometrische beveiliging is kwetsbaar door deepfakes. Geavanceerde AI kan vingerafdrukken, gezichten en stemmen nabootsen, wat serieuze risico’s oplevert.