ChatGPT、Geminiなど生成AIサービスを安全に使用する方法

近年、精度の高い生成AIツールが次々と誕生し、OSやオフィススイートから画像エディターやチャットに至るまでAI機能が統合されています。セキュリティを危険にさらすことなく使用するにはどうすればよいでしょうか。

最近では生成AIツールを使って文章や画像、動画、さらには音楽まで作成できるようになり、2022年ごろから急速に普及しました。生成AIのアプリケーション、サービス、プラグインの爆発的な成長は、今後さらに加速するとみられています。オフィスアプリケーションや画像エディターから、Visual Studioなどの統合開発環境(IDE)など、長年使用されている使い慣れたツールにも生成AIが搭載されています。また多くの開発者が、大規模言語モデルを搭載した何千もの新しいアプリを開発し続けています。しかしそんな中、まだ誰も本質的なセキュリティ上の問題、とりわけ機密データの漏えいを最小限に抑えること、また、さまざまな生成AIツールによるアカウント/デバイスのハッキングの問題を解決できていません。ましてや、未来の「邪悪なAI」に対する適切な安全策を講じることもできていません。誰かがユーザーを保護するためのソリューションを考案するまでは、自分を守るためのスキルをいくつか身につけておく必要があります。

このブログでは、後で後悔することがないように、生成AIを安全に活用するためのヒントについてお話しします。

重要なデータをフィルタリングする

ChatGPTの開発元であるOpenAIのプライバシーポリシーには、チャットボットとの対話はすべて保存され、さまざまな目的のために利用される場合があると明確に記載されています。まず、誰かが不適切なコンテンツを生成することを思いついた場合に備えて、技術的な問題を解決し、利用規約違反を防止します。そんなことを考えるなど理解できないと思うかもしれません。この場合、チャットは人間によってレビューされる場合もあります。次に、データは新しいGPTバージョンのトレーニングや他の製品の「改良」に利用される可能性があります。

GoogleのGemini、AnthropicのClaude、MicrosoftのBingとCopilotなど、他のほとんどの一般的な言語モデルには同様のポリシーがあり、すべて会話全体を保存できることになっています。

とはいえ、ソフトウェアのバグにより、ユーザーが自分の会話ではなく他人の会話を見てしまうという、不測のチャット漏えいがすでに発生しています。このデータがトレーニングに使用されると、事前トレーニングされたモデルからのデータ漏えいにつながる可能性もあります。AIアシスタントは、誰かの質問への回答と関連性があると判断した場合、あなたが入力したあなたの情報を他人に提供してしまう可能性があります。情報セキュリティの専門家は、会話を盗むことを目的とした複数の攻撃(123)も設計していますが、攻撃がそれだけにとどまる可能性は低いと考えられます。

したがって、チャットボットに書き込む内容はすべて悪用される可能性があることに注意してください。生成AIと話すときは予防措置を講じることをお勧めします。

個人のプライベートな情報をチャットに書き込まないようにしましょう。たとえば、パスワード、パスポートや銀行カードの番号、住所、電話番号、名前、またはあなたや会社、顧客に属するその他の個人データが生成AIとのチャットに含まれてはなりません。リクエストでこれらをアスタリスクまたは「REDACTED(編集済み)」に置き換えることができます。

いかなるドキュメントもアップロードしないようにしましょう。多数のプラグインやアドオンにより、ドキュメント処理にチャットボットを使用できます。たとえば、エグゼクティブサマリーを入手するために作業ドキュメントをアップロードしたくなるかもしれません。しかし、不用意に複数ページのドキュメントをアップロードすると、機密データ、知的財産、または新製品の発売日やチーム全体の給与などの商業上の秘密が漏えいする危険があります。さらに、外部ソースから受け取ったドキュメントを処理する際に、言語モデルによってスキャンされるドキュメントを利用した攻撃の標的になる可能性もあります。

プライバシー設定を確認しましょう。大規模言語モデル(LLM)ベンダーのプライバシーポリシーと利用可能な設定を注意深く確認します。通常、トラッキングを最小限に抑えるために設定を変更することができます。たとえば、OpenAIでは、チャット履歴の保存を無効化することができます。その場合、データは30日後に削除され、トレーニングに使用されることはありません。API、サードパーティのアプリ、またはサービスを使用してOpenAIソリューションにアクセスする場合、その設定はデフォルトで有効になっています。

コードを送信する場合は、機密データをクリーンアップしてください。このヒントは、コードのレビューと改善にAIアシスタントを使用しているソフトウェアエンジニアに向けたものです。API キー、サーバーアドレス、またはアプリケーションの構造やサーバー構成の漏えいにつながる可能性のあるその他の情報はすべて削除しましょう。

サードパーティのアプリケーションとプラグインの使用を制限する

どのようなAIアシスタントを使用しているかにかかわらず、常に上記のヒントに従ってください。ただし、それでもプライバシーを確保するには十分ではない可能性があります。ChatGPTプラグイン、Gemini拡張機能、または個別のアドオンアプリケーションを使用することで、これまでにない新しいタイプの脅威が生まれるでしょう。

まず、チャット履歴は、GoogleやOpenAIのサーバーだけでなく、プラグインやアドオンをサポートするサードパーティのサーバー、さらにはパソコンやスマホの予期せぬ場所にも保存される可能性があります。

次に、ほとんどのプラグインは、Web検索、Gmailの受信トレイ、Notion、Jupyter、Evernoteなどのサービスからの個人メモなどの外部ソースから情報を取得します。その結果、これらのサービスからのデータは、プラグインまたは言語モデル自体が実行されているサーバーにも送信される可能性があります。このような統合には重大なリスクを伴う可能性があります。たとえば、ユーザーに代わって新しいGitHubリポジトリを作成するこちらの攻撃を考えてみましょう。

そして、AIアシスタント用のプラグインの公開と検証は、現時点では、たとえばApp StoreやGoogle Playのアプリ審査よりもはるかに不透明なプロセスです。したがって、正常に動作しない、作成方法が拙劣で、バグが多い、または明らかに悪意のあるプラグインに遭遇する可能性はかなり高くなります。誰も作成者やその連絡先を実際にチェックしていないと見られているためです。

これらのリスクをどのように緩和することができるでしょうか。ここでの重要なヒントは、少し時間を置くことです。プラグインのエコシステムはまだ歴史が浅く、公開とサポートのプロセスは十分にスムーズではありません。また、作成者自身も、プラグインを適切に設計したり、情報セキュリティ要件に準拠したりすることに常に注意を払っているとは限りません。このエコシステム全体が成熟し、より安全で信頼性の高いものになるには、さらに時間が必要です。

その上、多くのプラグインやアドオンがChatGPTのストックバージョンに加える価値は、UIのマイナーな調整と、特定のタスク(「高校の物理教師として行動する」など)のためにアシスタントをカスタマイズする「システムプロンプト」テンプレートなど、最小限です。それらがなくてもタスクを問題なく実行できるため、わざわざデータについて信頼するに値しません。

特定のプラグイン機能が今すぐ必要な場合は、使用する前に最大限の注意を払うようにしましょう。

  • 拡張機能やアドオンは、少なくとも数か月前から存在し、定期的に更新されているものを選びます。
  • ダウンロード数が多いプラグインのみを検討し、問題がないかレビューを注意深く読みます。
  • プラグインにプライバシーポリシーが付いている場合は、拡張機能の使用を開始する前によく読みます。
  • オープンソースツールを選択します。
  • 初歩的なコーディングスキルを持っている場合、またはプログラマーの友人がいる場合は、コードをざっと読み、宣言されたサーバー、理想的にはAIモデルサーバーのみにデータが送信されることを確認します。

実行プラグインは特別な監視を必要とする

これまで、データ漏えいに関連するリスクについて説明してきました。しかし、生成AIを使用する場合の潜在的な問題はそれだけではありません。多くのプラグインは、航空券の注文など、ユーザーのコマンドで特定のアクションを実行できます。これらのツールは、悪意のある攻撃者に新たな攻撃ベクトルを提供します。被害者には、メインコンテンツに加えて、言語モデルに対する隠された命令を含むドキュメント、Webページ、動画、さらには画像が提示されます。被害者がチャットボットにドキュメントやリンクをフィードすると、チャットボットは、被害者のお金でチケットを購入するなど、悪意のある命令を実行します。このタイプの攻撃はプロンプトインジェクションと呼ばれ、さまざまなLLMの開発者がこの脅威に対する保護手段を開発しようと試みています。しかし、誰もまだ開発に成功しておらず、おそらく今後も難しいと言えます。

幸いなことに、ほとんどの重要なアクション(特にチケットの購入などの決済取引を伴うアクション)では、二重の確認が必要となります。しかし、言語モデルとプラグイン間の相互作用により、攻撃対象範囲が非常に大きくなるため、これらの対策から一貫性のある結果を保証することは困難です。

したがって、生成AIツールを選択する際には細心の注意を払い、生成AIツールが信頼できるデータのみを受け取って処理するようにする必要があります。

ヒント