په ChatGPT او Mixpanel کې د معلوماتو سرغړونه: څه پیښ شول

دا سرغړونه د OpenAI په سیسټمونو کې نه وه، بلکې په مکس پینل کې وه، چې یو بهرنی تحلیلي چمتو کونکی دی.
یوازې هغه کاروونکي چې په platform.openai.com کې API کاروي اغیزمن شوي، په عمده توګه پراختیا کونکي او شرکتونه.
د پیژندنې او تخنیکي معلوماتو افشا شوي، مګر چیټونه، پاسورډونه، API کیلي یا د تادیې معلومات نه دي افشا شوي.
OpenAI د مکس پینل سره اړیکې پرې کړې، د خپلو ټولو چمتو کونکو بیاکتنه کوي، او د فشینګ په وړاندې د اضافي احتیاطي تدابیرو سپارښتنه کوي.

د د GPT چیٹ په تیرو څو ساعتونو کې، دوی یو بریښنالیک ترلاسه کړی چې له یو څخه ډیرو یې سترګې پورته کړې دي: OpenAI د خپل API پلیټ فارم سره تړلې د معلوماتو سرغړونې راپور ورکويدا خبرداری ډېر لیدونکو ته رسېدلی دی، په شمول د هغو خلکو چې په مستقیم ډول اغیزمن شوي نه دي، کوم چې یو څه ګډوډي رامینځته کړه د پیښې د اصلي ساحې په اړه.

هغه څه چې شرکت یې تایید کړي دي هغه دا دي چې یو د ځینو پیرودونکو معلوماتو ته غیر مجاز لاسرسیخو ستونزه د OpenAI سرورونو سره نه وه، بلکې د ... سره وه. Mixpanel، د دریمې ډلې ویب تحلیل چمتو کونکی چې د API انٹرفیس کارولو میټریکونه یې راټول کړي دي platform.openai.comسره له دې، قضیه دا مسله بیرته مخې ته راوړي. د مصنوعي استخباراتو خدماتو کې د شخصي معلوماتو اداره کولو څرنګوالي په اړه بحث، هم په اروپا کې او د چتر لاندې RGPD.

په مکس پینل کې یوه تېروتنه، نه د اوپن ای آی په سیسټمونو کې

د مکس پینل او چیټ جی پی ټي ناکامي

لکه څنګه چې د OpenAI لخوا په خپل بیان کې توضیح شوي، پیښه په کې رامینځته شوه 9 د نوامبرکله چې مکسپینل وموندله چې بریدګر لاسرسی ترلاسه کړی دی د هغې د زیربنا یوې برخې ته غیر مجاز لاسرسی او د تحلیل لپاره کارول شوی ډیټاسیټ یې صادر کړی و. د دې اونیو په جریان کې، پلورونکي داخلي څیړنه ترسره کړه ترڅو معلومه کړي چې کوم معلومات له خطر سره مخ شوي دي.

کله چې مکس پینل ډیر وضاحت ترلاسه کړ، په رسمي ډول د نومبر په ۲۵مه OpenAI ته خبر ورکړل شود اغیزمن شوي ډیټاسیټ لیږل ترڅو شرکت وکولی شي په خپلو پیرودونکو باندې اغیز ارزونه وکړي. یوازې بیا OpenAI د معلوماتو کراس ریفرنس کول پیل کړل، احتمالي ښکیل حسابونه وپیژنئ او هغه بریښنالیک خبرتیاوې چمتو کړئ چې پدې ورځو کې په ټوله نړۍ کې زرګونو کاروونکو ته رسیږي.

اوپن ای آی ټینګار کوي چې د دوی په سرورونو، غوښتنلیکونو، یا ډیټابیسونو کې هیڅ ډول مداخله نه ده شوې.بریدګر د چیټ جی پي ټي یا د شرکت داخلي سیسټمونو ته لاسرسی نه درلود، بلکې د هغه چمتو کونکي چاپیریال ته لاسرسی درلود چې د تحلیلي معلوماتو راټولول یې. سره له دې، د وروستي کارونکي لپاره، عملي پایله ورته ده: د دوی ځینې معلومات هغه ځای ته رسیدلي چې باید نه وي.

دا ډول سناریوګانې د هغه څه لاندې راځي چې په سایبري امنیت کې د برید په توګه پیژندل کیږي ډیجیټل اکمالاتي زنځیرد لوی پلیټ فارم په مستقیم ډول د برید کولو پرځای، مجرمین یو دریم اړخ په نښه کوي چې د هغه پلیټ فارم څخه معلومات اداره کوي او ډیری وختونه لږ سخت امنیتي کنټرولونه لري.

اړوند ماده:

د مصنوعي ذهانت مرستیالان کوم معلومات راټولوي او ستاسو محرمیت څنګه خوندي کوي

کوم کاروونکي په حقیقت کې اغیزمن شوي دي؟

د چیټ جی پي ټي معلوماتو سرغړونه

یو له هغو ټکو څخه چې تر ټولو ډیر شکونه رامینځته کوي دا دي چې څوک باید واقعیا اندیښمن وي. پدې مسله کې، OpenAI خورا روښانه دی: دا تشه یوازې هغه کسان اغیزمنوي چې د OpenAI API کاروي. د ویب له لارې platform.openai.comدا په عمده توګه پراختیا ورکوونکي، شرکتونه او سازمانونه چې د شرکت ماډلونه په خپلو غوښتنلیکونو او خدماتو کې مدغم کوي.

هغه کاروونکي چې یوازې د ChatGPT منظم نسخه په براوزر یا ایپ کې کاروي، کله ناکله پوښتنو یا شخصي کارونو لپاره، دوی به په مستقیم ډول اغیزمن شوي نه وای د پیښې له امله، لکه څنګه چې شرکت په خپلو ټولو بیانونو کې تکراروي. سره له دې، د شفافیت لپاره، OpenAI غوره کړه چې معلوماتي بریښنالیک په پراخه کچه واستوي، کوم چې د ډیری خلکو د اندیښنې لامل شوی چې ښکیل نه دي.

ځانګړې محتوا - دلته کلیک وکړئ ستاسو د جي مېل حساب خوندي کولو څرنګوالی

د API په قضیه کې، دا معمول دی چې د هغې تر شا وي مسلکي پروژې، شرکتي ادغامونه، یا سوداګریز محصولاتدا په اروپايي شرکتونو هم پلي کیږي. د ورکړل شویو معلوماتو له مخې، هغه سازمانونه چې دا چمتو کونکی کاروي د ټیکنالوژۍ لوی شرکتونه او کوچني نوي شرکتونه دواړه شامل دي، دا نظر پیاوړی کوي چې په ډیجیټل ایکوسیستم کې هر لوبغاړی د تحلیلونو یا څارنې خدماتو بهر کولو پر مهال زیان منونکی دی.

له قانوني پلوه، دا د اروپایي پیرودونکو لپاره اړونده ده چې دا په a کې سرغړونه ده د درملنې مسؤل کس (مکسپینل) چې د OpenAI په استازیتوب معلومات اداره کوي. دا د GDPR مقرراتو سره سم اغیزمنو سازمانونو او، چیرې چې مناسب وي، د معلوماتو ساتنې چارواکو ته خبر ورکول اړین دي.

کوم معلومات افشا شوي او کوم معلومات خوندي دي؟

د کارونکي له نظره، لویه پوښتنه دا ده چې کوم ډول معلومات پریښودل شوي دي. OpenAI او Mixpanel موافق دي چې دا ... د پروفایل معلومات او اساسي ټیلی میټري، د تحلیلونو لپاره ګټور دی، مګر د AI یا لاسرسي اسنادو سره د تعاملاتو مینځپانګې لپاره نه.

د احتمالي افشا شوي معلومات د API حسابونو پورې اړوند لاندې عناصر موندل کیږي:

نوم په API کې د حساب ثبتولو پر مهال چمتو شوی.
برېښلیک پته د دې حساب سره تړاو لري.
نږدې موقعیت (ښار، ولایت یا ایالت، او هیواد)، د براوزر او IP پتې څخه استخراج کیږي.
عملیاتي سیسټم او براوزر د لاسرسي لپاره کارول کیږي platform.openai.com.
د حوالې ویب پاڼې (حواله کوونکي) چې له هغې څخه د API انٹرفیس ته رسیدلی و.
داخلي کارونکي یا سازمان پیژندونکي د API حساب سره وصل شوی.

د وسایلو دا سیټ یوازې هیچا ته اجازه نه ورکوي چې د حساب کنټرول واخلي یا د کارونکي په استازیتوب د API زنګونه اجرا کړي، مګر دا د کارونکي په اړه یو بشپړ پروفایل چمتو کوي، دوی څنګه وصل کیږي، او دوی څنګه خدمت کاروي. د هغه برید کونکي لپاره چې په ټولنیزه انجنیريدا معلومات د خورا قانع کوونکي بریښنالیکونو یا پیغامونو چمتو کولو په وخت کې خالص سره زر کیدی شي.

په ورته وخت کې، OpenAI ټینګار کوي چې د معلوماتو یو بلاک شتون لري چې جوړجاړی نه دی شوید شرکت په وینا، دوی خوندي پاتې دي:

د چیٹ خبرې اترې د ChatGPT سره، د اشارو او ځوابونو په شمول.
د API غوښتنې او د کارونې لاګونه (تولید شوي مواد، تخنیکي پیرامیټرې، او نور).
پاسورډونه، اسناد، او API کیلي د حسابونو.
د تادیاتو معلومات، لکه د کارت شمیرې یا د بل کولو معلومات.
د هویت رسمي اسناد یا نور په ځانګړي ډول حساس معلومات.

په بل عبارت، دا پیښه د د پیژندنې او شرایطو معلوماتخو دا د مصنوعي ذهانت سره خبرو اترو یا هغو کیليګانو ته اشاره نه ده کړې چې دریمې ډلې ته اجازه ورکوي چې په مستقیم ډول په حسابونو کې کار وکړي.

اصلي خطرونه: فشینګ او ټولنیز انجینرۍ

فشینګ څنګه کار کوي

حتی که بریدګر پاسورډونه یا API کیلي ونه لري، د هغوی درلودل نوم، برېښنالیک پته، موقعیت، او داخلي پیژندونکي د پیل کولو اجازه ورکوي د درغلیو کمپاینونه ډېر باوري. دا هغه ځای دی چې OpenAI او امنیتي متخصصین خپلې هڅې متمرکزې کوي.

د دې معلوماتو سره چې په میز کې دي، دا اسانه ده چې یو داسې پیغام جوړ کړئ چې مشروع ښکاري: هغه بریښنالیکونه چې د OpenAI د اړیکو سټایل تقلید کويدوی د API یادونه کوي، د کارونکي نوم یادوي، او حتی د دوی ښار یا هیواد ته اشاره کوي ترڅو خبرتیا نوره هم ریښتینې کړي. که تاسو کارونکي په جعلي ویب پاڼه کې د دوی اسنادو د سپارلو لپاره دوکه کولی شئ، نو د زیربنا برید کولو ته اړتیا نشته.

ځانګړې محتوا - دلته کلیک وکړئ د AVG انټي ویروس وړیا او تادیه شوي نسخې ترمینځ څه توپیر دی؟

تر ټولو احتمالي سناریوګانې هڅې پکې شاملې دي چې کلاسیک فشینګ (د "حساب تاییدولو" لپاره د API مدیریت پینلونو ته لینکونه) او د نورو پراخو ټولنیزو انجینرۍ تخنیکونو له لارې چې هدف یې د سازمانونو مدیران یا د IT ټیمونه په شرکتونو کې دي چې API په شدت سره کاروي.

په اروپا کې، دا ټکی په مستقیم ډول د GDPR اړتیاو سره تړاو لري د معلوماتو کمولد سایبر امنیت ځینې متخصصین، لکه د OX امنیت ټیم چې په اروپایي رسنیو کې یې یادونه شوې، په ګوته کوي چې د محصول تحلیلونو لپاره د اړتیا په پرتله د ډیرو معلوماتو راټولول - د بیلګې په توګه، بریښنالیکونه یا د موقعیت تفصيلي معلومات - کولی شي د امکان تر حده د پروسس شوي معلوماتو مقدار محدودولو مکلفیت سره ټکر وکړي.

د OpenAI ځواب: د مکس پینل سره وقفه او یوه بشپړه بیاکتنه

کله چې اوپن ای آی د پیښې تخنیکي توضیحات ترلاسه کړل، نو هڅه یې وکړه چې په قاطع ډول غبرګون وښيي. لومړی اقدام دا و د مکس پینل ادغام په بشپړه توګه لرې کړئ د خپلو ټولو تولیدي خدماتو څخه، ترڅو چمتو کوونکی نور د کاروونکو لخوا تولید شوي نوي معلوماتو ته لاسرسی ونلري.

په ورته وخت کې، شرکت وايي چې د اغیزمن شوي ډیټاسیټ په بشپړه توګه بیاکتنه کوي د هر حساب او سازمان په ریښتینې اغیزه پوهیدل. د دې تحلیل پراساس، دوی پیل کړي دي په انفرادي ډول خبر ورکړئ مدیرانو، شرکتونو او کاروونکو ته چې د بریدګر لخوا صادر شوي ډیټاسیټ کې ښکاري.

OpenAI دا هم ادعا کوي چې پیل یې کړی دی د دوی په ټولو سیسټمونو او نورو ټولو بهرنیو چمتو کونکو سره اضافي امنیتي چکونه د چا سره کار کوي. هدف دا دی چې د خوندیتوب اړتیاوې لوړې شي، د قرارداد مادې پیاوړې شي، او په ډیر دقت سره پلټنه وشي چې دا دریمې ډلې څنګه معلومات راټولوي او ذخیره کوي.

شرکت په خپلو اړیکو کې ټینګار کوي چې "باور، امنیت او محرمیتدا د دې د ماموریت مرکزي عناصر دي. د بیاناتو هاخوا، دا قضیه ښیي چې څنګه په ظاهري ډول د ثانوي اجنټ کې سرغړونه کولی شي د ChatGPT په څیر لوی خدماتو په امنیت باندې مستقیم اغیزه ولري.

په هسپانیه او اروپا کې په کاروونکو او سوداګرۍ اغیزه

په اروپايي شرایطو کې، چیرته چې GDPR او راتلونکي AI پورې اړوند مقررات دوی د معلوماتو د ساتنې لپاره لوړ معیارونه ټاکلي، او د دې په څیر پیښې څیړل کیږي. د هر هغه شرکت لپاره چې د اروپایی اتحادیې دننه د OpenAI API کاروي، د تحلیل چمتو کونکي لخوا د معلوماتو سرغړونه کوچنۍ خبره نه ده.

له یوې خوا، د اروپایی معلوماتو کنټرولران چې د API برخه دي باید د دوی د اغیزو ارزونو او د فعالیت لاګونو بیاکتنه وکړئ د دې لپاره چې وګوري چې د مکس پینل په څیر چمتو کونکو کارول څنګه تشریح شوي او ایا د دوی خپلو کاروونکو ته چمتو شوي معلومات کافي روښانه دي.

له بلې خوا، د شرکتونو بریښنالیکونو، ځایونو، او سازماني پیژندونکو افشا کول دروازه پرانیزي چې د پراختیایي ټیمونو، معلوماتي ټکنالوژۍ څانګو، یا د مصنوعي ذهانت د پروژې مدیرانو په وړاندې هدفمند بریدونهدا یوازې د انفرادي کاروونکو لپاره د احتمالي خطرونو په اړه ندي، بلکې د هغو شرکتونو لپاره هم دي چې د OpenAI ماډلونو په اساس مهم سوداګریزې پروسې پرمخ وړي.

په هسپانیه کې، دا ډول تشه د خلکو په رادار کې راځي د هسپانیې د معلوماتو د ساتنې اداره (AEPD) کله چې دوی په ملي خاوره کې میشت اتباع یا ادارې اغیزمنې کړي. که چیرې اغیزمن شوي سازمانونه په پام کې ونیسي چې لیک د افرادو حقونو او آزادیو ته خطر رامینځته کوي، دوی مکلف دي چې دا ارزونه وکړي او، چیرې چې مناسب وي، باصلاحیته چارواکي ته هم خبر ورکړي.

ستاسو د حساب د ساتنې لپاره عملي لارښوونې

د تخنیکي توضیحاتو هاخوا، هغه څه چې ډیری کاروونکي یې پوهیدل غواړي هغه دي دوی باید همدا اوس څه وکړي؟اوپن اې آی ټینګار کوي چې د پټنوم بدلول اړین ندي، ځکه چې دا افشا شوی نه دی، مګر ډیری متخصصین د احتیاط اضافي طبقې پلي کولو سپارښتنه کوي.

ځانګړې محتوا - دلته کلیک وکړئ څنګه د خپل ډیجیټل سند پاسورډ ګام په ګام بیرته ترلاسه کړئ

که تاسو د OpenAI API کاروئ، یا په ساده ډول غواړئ چې په خوندي اړخ کې اوسئ، نو دا مشوره ورکول کیږي چې د یو لړ اساسي ګامونو تعقیب وکړئ چې دوی خطر په ډراماتیک ډول کموي چې بریدګر ممکن له افشا شویو معلوماتو څخه ګټه پورته کړي:

د ناڅاپي برېښنالیکونو څخه محتاط اوسئ چې ادعا کوي چې د OpenAI یا API پورې اړوند خدماتو څخه دي، په ځانګړې توګه که دوی د "بیړني تایید"، "امنیتي پیښه" یا "د حساب بندیدل" په څیر اصطلاحات ذکر کړي.
تل د لیږونکي پته وګورئ او هغه ډومین چې لینکونه یې د کلیک کولو دمخه اشاره کوي. که تاسو کوم شک لرئ، نو غوره ده چې په لاسي ډول ورته لاسرسی ومومئ. platform.openai.com په براوزر کې URL ټایپ کول.
د څو فکتورونو تصدیق فعال کړئ (MFA/2FA) ستاسو د OpenAI حساب او کوم بل حساس خدمت کې. دا یو ډیر اغیزمن خنډ دی حتی که څوک ستاسو پټنوم د دوکې له لارې ترلاسه کړي.
پاسورډونه، API کیلي، یا د تایید کوډونه مه شریکوئ د بریښنالیک، چیٹ، یا تلیفون له لارې. OpenAI کاروونکو ته یادونه کوي چې دا به هیڅکله د غیر تایید شوي چینلونو له لارې د دې ډول معلوماتو غوښتنه ونه کړي.
والورا خپل پټنوم بدل کړئ که تاسو د API ډېر کاروونکی یاست یا غواړئ چې په نورو خدماتو کې یې بیا وکاروئ، نو هغه څه چې عموما یې غوره ده چې مخنیوی یې وشي.

د هغو کسانو لپاره چې له شرکتونو څخه کار کوي یا د ډیری پراختیا کونکو سره پروژې اداره کوي، دا ممکن یو ښه وخت وي چې د داخلي امنیتي پالیسیو بیا کتنهد API لاسرسي اجازې او د پیښو غبرګون پروسیجرونه، د سایبر امنیت ټیمونو سپارښتنو سره سمون لري.

د معلوماتو، دریمې ډلې، او په مصنوعي ذهانت باور په اړه درسونه

د مکس پینل لیک په وروستیو کلونو کې د نورو لویو پیښو په پرتله محدود شوی، مګر دا په داسې وخت کې راځي کله چې د مصنوعي ذهانت تولیدي خدمتونه عام شوي دي دا په افرادو او اروپایي شرکتونو دواړو پلي کیږي. هرکله چې څوک راجستر کوي، API مدغم کوي، یا داسې وسیلې ته معلومات اپلوډ کوي، دوی د خپل ډیجیټل ژوند یوه مهمه برخه د دریمې ډلې په لاس کې ورکوي.

یو له هغو درسونو څخه چې دا قضیه یې زده کوي دا ده چې اړتیا ده چې د بهرنیو چمتو کونکو سره شریک شوي شخصي معلومات کم کړئډیری متخصصین ټینګار کوي چې حتی کله چې د مشروع او پیژندل شویو شرکتونو سره کار کوئ، د معلوماتو هره پیژندل شوې ټوټه چې له اصلي چاپیریال څخه وځي د افشا کیدو یو نوی احتمالي نقطه پرانیزي.

دا دا هم روښانه کوي چې تر کومه حده شفافه اړیکه دا مهمه ده. OpenAI غوره کړې چې پراخ معلومات چمتو کړي، حتی غیر اغیزمنو کاروونکو ته بریښنالیکونه واستوي، کوم چې ممکن د یو څه اندیښنې لامل شي مګر په پایله کې، د معلوماتو د نشتوالي شک لپاره لږ ځای پریږدي.

په داسې سناریو کې چې مصنوعي ذهانت به په ټوله اروپا کې په اداري پروسیجرونو، بانکدارۍ، روغتیا، تعلیم او لیرې پرتو کارونو کې مدغم شي، د دې په څیر پیښې د یادونې په توګه کار کوي چې امنیت یوازې په اصلي چمتو کونکي پورې اړه نلري.بلکې د شرکتونو د ټولې شبکې تر شا دي. او دا چې، حتی که د معلوماتو په سرغړونې کې پاسورډونه یا خبرې اترې شاملې نه وي، د درغلۍ خطر خورا ریښتینی پاتې کیږي که چیرې د ساتنې اساسي عادتونه ونه منل شي.

هر هغه څه چې د ChatGPT او Mixpanel سرغړونې سره پیښ شوي ښیي چې حتی یو نسبتا محدود لیک هم د پام وړ پایلې لرلی شي: دا OpenAI مجبوروي چې د دریمې ډلې سره خپلې اړیکې بیا غور وکړي، اروپایي شرکتونه او پراختیا کونکي وهڅوي چې د دوی امنیتي کړنې بیاکتنه وکړي، او کاروونکو ته یادونه کوي چې د بریدونو په وړاندې د دوی اصلي دفاع لاهم باخبره پاتې ده. هغه بریښنالیکونه وڅارئ چې دوی یې ترلاسه کوي او د دوی د حسابونو محافظت پیاوړی کړئ.

البرټو ناواررو

زه د ټیکنالوژۍ مینه وال یم چې خپلې "ګیک" ګټې یې په مسلک بدلې کړې. ما د خپل ژوند له 10 کلونو څخه ډیر د عصري ټیکنالوژۍ په کارولو او د خالص تجسس څخه د هر ډول برنامو سره په ټکر کې تیر کړي دي. اوس زه د کمپیوټر ټیکنالوژۍ او ویډیو لوبو کې تخصص لرم. دا ځکه چې زه د 5 کلونو څخه ډیر وخت لپاره د ټیکنالوژۍ او ویډیو لوبو په اړه مختلف ویب پا forو لپاره لیکل کوم ، مقالې رامینځته کوي چې تاسو ته هغه معلومات درکړي چې تاسو ورته اړتیا لرئ په داسې ژبه کې چې هرڅوک د پوهیدو وړ وي.

که تاسو کومه پوښتنه لرئ، زما پوهه د وینډوز عملیاتي سیسټم او همدارنګه د ګرځنده تلیفونونو لپاره Android پورې اړوند هر څه پورې اړه لري. او زما ژمنه تاسو ته ده، زه تل چمتو یم چې یو څو دقیقې مصرف کړم او تاسو سره د انټرنیټ نړۍ کې د هرې پوښتنې په حل کې مرسته وکړم.