מטאפורה חזותית המציגה נתונים ארגוניים בורחים דרך פער בין מחשב נייד ארגוני נעול לבין טלפון אישי, המייצגת את מושג "פער ההדבקה" שבלב המאמר.
Artificial IntelligenceCybersecurityEnterprise Technology

העובדים שלכם כבר מדליפים את הסודות שלכם ל‑ChatGPT — והאיסור רק החמיר את המצב

Ashutosh SinghalAshutosh Singhal30 בינואר 202613 min

ישבתי מול מנהל אבטחת מידע (CISO) בחברת שירותים פיננסיים גדולה כשהוא אמר משהו שנתקע לי בראש במשך שבועות. הוא נשען לאחור, שפשף את רקותיו ואמר: "חסמנו את ChatGPT בכל מכשיר שאנחנו מנהלים. עדכנו את מדיניות השימוש המקובל. שלחנו שלושה מיילים לכל החברה. וביום שלישי שעבר גיליתי שכל צוות המיזוגים והרכישות שלנו מדביק תנאי עסקאות לתוך Claude בטלפונים האישיים שלהם בזמן ארוחת הצהריים."

הוא לא היה כועס. הוא היה מותש. הוא עשה כל מה שספר החוקים של אבטחת הסייבר אמר לו לעשות, וזה לא עבד.

אותה שיחה גיבשה משהו שראיתי בכל התקשרות ארגונית שהצוות שלי ב‑VeriPrajna לקח על עצמו: איסור על בינה מלאכותית יצירתית לא מונע מאנשים להשתמש בה — הוא רק גורם להם להסתיר אותה. ושימוש מוסתר מסוכן אינסופית יותר משימוש גלוי. הנתונים מספרים את אותו הסיפור. ארבעים ושישה אחוזים מהעובדים אומרים שהם היו ממשיכים להשתמש בכלי בינה מלאכותית גם אם החברה שלהם הייתה אוסרת עליהם במפורש. שלושים ושמונה אחוזים מודים שהם כבר שיתפו נתוני עבודה רגישים עם פלטפורמות בינה מלאכותית ציבוריות מבלי לספר לאיש. נפח הנתונים הזורם לאפליקציות בינה מלאכותית יצירתית גדל פי שלושים משנה לשנה. זו אינה בעיית מדיניות. זו בעיה ארכיטקטונית.

הלילה שבו סמסונג שינתה הכול

במאי 2023, שלושה מהנדסים באגף המוליכים למחצה של סמסונג עשו משהו רציונלי לחלוטין. הם היו באמצע איתור באגים בקוד קנייני לייצור שבבים — עבודה מורכבת בעלת סיכון גבוה, שבה חוות דעת שנייה יכולה לחסוך ימים של מאמץ. אז הם הדביקו את הקוד שלהם לתוך ChatGPT.

אחד העלה קוד מקור עבור מסדי נתונים למדידת מוליכים למחצה. אחר שיתף לוגיקה תוכנתית לזיהוי פגמי תפוקה — סוג הנתונים שמשפיע ישירות על מחיר המניה של סמסונג. שלישי העלה הקלטה של פגישה פנימית כדי להפיק ממנה פרוטוקול.

אף אחד מהם לא ניסה לפגוע בחברה. הם ניסו לעשות את עבודתם היטב. הם התייחסו ל‑ChatGPT כמו שהיית מתייחס למחשבון: מכניסים משהו, מקבלים משהו, וממשיכים הלאה. מה שהם לא הבינו במלואו הוא שתנאי השירות של OpenAI באותה תקופה אפשרו לשמור את הקלט — פוטנציאלית לשימוש באימון המודל, ובוודאות מאוחסן בשרתים מחוץ לשליטת סמסונג.

אני זוכר שקראתי את הכתבות בתקשורת והרגשתי גוש בבטן. לא כי הדליפה הפתיעה אותי — הזהרתי לקוחות בדיוק מפני התרחיש הזה — אלא כי התגובה של סמסונג הייתה כה צפויה. הם הוציאו איסור לכל החברה. איימו בפיטורין על הפרות. נעלו את הרשת.

וידעתי, בוודאות מוחלטת, שזה לא יעבוד.

מדוע איסור על בינה מלאכותית תמיד מתפוצץ בפנים?

הנה מה שרוב צוותי האבטחה טועים בו: הם ממדלים את האיום כאילו העובדים הם יריבים. בונים חומה גבוהה יותר, והבעיה נעלמת. אבל האנשים שמדליפים נתונים ל‑ChatGPT אינם יריבים. הם העובדים הטובים ביותר שלכם.

חשבו מי באמת משתמש בכלי בינה מלאכותית בעבודה. זה לא האדם שמדשדש לו לאורך היום. זה המהנדס שנתון בלחץ לספק עד יום שישי. האנליסט שצריך לסכם ארבעים עמודים של בדיקת נאותות עד הבוקר. המפתח שיודע שהבינה המלאכותית יכולה לאתר באג בשניות שהיה לוקח לו שעה למצוא ידנית.

כשאתם אוסרים על הכלי, אתם אומרים לאנשים הפרודוקטיביים ביותר שלכם: "היו איטיים יותר. היו פחות יעילים. צפו במתחרים שלכם עוקפים אתכם, ותקבלו את זה בהשלמה." כמובן שהם לא מצייתים. הם פשוט עוברים לטלפונים האישיים שלהם. הם משתמשים בנקודות חמות (hotspot) של 4G כדי לעקוף את רשת החברה. הם מוצאים אחת מ‑317 ומעלה אפליקציות בינה מלאכותית יצירתית נפרדות ש‑Netskope עקבה אחריהן בסביבות ארגוניות — כי גם אם תחסמו את OpenAI, גוגל ו‑Anthropic, יש מאות חלופות קטנות ופחות מאובטחות שמחכות.

כשאבטחה נתפסת כחוסמת ולא כמאפשרת, העובדים המצפוניים ביותר שלכם הופכים למפרי המדיניות העיקריים שלכם.

התחלתי לקרוא לזה "פער ההדבקה" (Paste Gap) בשיחות עם הצוות שלי. נתונים עוזבים את המחשב הנייד הארגוני המאובטח, נוסעים למכשיר אישי, ומודבקים לשירות ענן ציבורי. שום חומת אש לא תופסת אותם. שום CASB לא מתעד אותם. זה בלתי נראה. וזה קורה ממש עכשיו, בכל ארגון שניסה לפתור את הבעיה הזו עם מזכר מדיניות.

המספרים מדהימים: עלייה של 485% בקוד מקור קנייני שמודבק לכלי בינה מלאכותית. שבעים ושניים אחוזים מהשימוש הארגוני בבינה מלאכותית מתרחשים דרך חשבונות אישיים, לחלוטין מחוץ לשדה הראייה של ה‑IT. זה אינו טפטוף. זה מבול, והסכרים עשויים מנייר.

מה שטעיתי בו לגבי שכבות בינה מלאכותית "ארגוניות"

אהיה כן — כש‑OpenAI השיקה את ChatGPT Enterprise, חשבתי שזה אולי יספיק. אפס שמירת נתונים. אין אימון על נתונים עסקיים. תאימות SOC 2. זה סימן את כל התיבות.

ואז התחלנו לעשות בדיקת נאותות מעמיקה יותר עבור הלקוחות שלנו, והסדקים התגלו.

אפילו הסכמים ארגוניים כוללים בדרך כלל חלון קצר של שמירת נתונים — לעיתים קרובות שלושים יום — לצורך ניטור שימוש לרעה. אלו שלושים יום שבהם הבקשות הרגישות ביותר שלכם יושבות על שרתים של מישהו אחר. ו"מישהו אחר" הוא חברה מבוססת ארה"ב, מה שמביא אותנו לבעיה שמדירה שינה מעיני מנהלי אבטחת מידע אירופאים.

חוק ה‑CLOUD האמריקאי — Clarifying Lawful Overseas Use of Data Act — מאפשר לרשויות אכיפת החוק בארה"ב לכפות על חברות טכנולוגיה אמריקאיות למסור נתונים המאוחסנים בשרתים שלהן, ללא קשר למיקום הפיזי של אותם שרתים. אם בנק גרמני משתמש ב‑Azure OpenAI עם מרכז נתונים בפרנקפורט, הנתונים אולי "נחים" בתוך האיחוד האירופי, אבל הישות המשפטית השולטת עדיין כפופה לצווים אמריקאיים. במהלך ההסקה — כשהמודל בפועל מעבד את הנתונים שלכם — היא עשויה עדיין לעבור דרך תשתית בשליטת ארה"ב.

ראיתי חדר מלא בקציני ציות מחוויר כשהובלתי אותם דרך זה. הם חתמו על ההסכם הארגוני בחושבם שפתרו את בעיית הריבונות. הם אפילו לא שרטו אותה.

כתבתי על בעיית ארכיטקטורה זו — ועל מודל האיום המלא — במסמך העמדה האינטראקטיבי שלנו על Shadow AI ומודלי שפה גדולים (LLM) ארגוניים פרטיים. הוא נולד בדיוק מתוך השיחות האלה.

מלכודת העוטף (Wrapper)

בערך באותו זמן, תיבת הדואר הנכנס שלי התחילה להתמלא בהצעות ממשרדי ייעוץ לבינה מלאכותית. "נבנה לך פתרון בינה מלאכותית מותאם אישית!" רובם היו עוטפים (wrappers) — ממשק נחמד שהורכב על גבי ה‑API של OpenAI, אולי עם הנחיית מערכת שאמרה "אתה עוזר משפטי מועיל."

ישבתי בהדגמה אחת שבה הספק הציג בגאווה "פלטפורמת בינה מלאכותית קניינית" לניתוח חוזים. שאלתי שאלה אחת: "לאן הולכים הנתונים כשמשתמש מעלה חוזה?" שתיקה. ואז: "ובכן, זה הולך ל‑API של OpenAI, אבל יש לנו הסכם BAA במקום."

זה אינו פתרון. זה מתווך שמוסיף השהיה לדליפת הנתונים שלכם.

עוטף אינו פותר את בעיית ריבונות הנתונים. הוא רק מייפה את הממשק של דליפת הנתונים החוצה.

עוטפים מכשילים ארגונים בשלוש דרכים ספציפיות. ראשית, הם ניתנים לשכפול באופן טריוויאלי — אם "פתרון הבינה המלאכותית" שלכם הוא הנחיה ועוד מפתח API, המתמחה שלכם יכול לבנות אותו מחדש בצהריים אחד. שנית, חסרה להם אינטגרציה עמוקה עם הנתונים האמיתיים שלכם, והם מתקשים עם הדקויות של מונחים ספציפיים לחברה, בסיסי קוד מדור קודם, או בקרות גישה. שלישית — וזה הקטלני — הם עדיין שולחים את הנתונים שלכם דרך האינטרנט הציבורי לספק צד שלישי. סיכון האבטחה לא השתנה. פשוט הוספתם לו לוגו.

מה באמת פירושו "להיות הבעלים של האינטליגנציה"?

תרשים ארכיטקטורה המשווה שלוש גישות — API/עוטף ציבורי, שכבת API ארגונית, ו‑LLM פרטי המתארח עצמאית — ומראה לאן הנתונים נוסעים בכל תרחיש.

היה רגע מסוים שבו הגישה שלנו ב‑VeriPrajna התגבשה. עבדנו עם לקוח בתעשייה מפוקחת — אני לא יכול לומר איזו, אבל חשבו על "סוג הנתונים שבו דליפה מגיעה לחדשות הערב." הצוות המשפטי שלהם בדיוק הרג פיילוט מבטיח של בינה מלאכותית כי הוא הסתמך על API ציבורי. צוות ההנדסה היה זועם. יחידת העסקים איימה לפעול על דעת עצמה ולבנות משהו משלה עם חשבונות אישיים.

הייתי בשיחה עם הארכיטקט הראשי שלי, והוא אמר משהו פשוט: "למה אנחנו מתווכחים באיזה API להשתמש? אנחנו פשוט צריכים להריץ את המודל בעצמנו."

אז זה כשהתחייבנו במלואנו למה שאני קורא לו כעת Deep AI — פריסת מודלי שפה גדולים בקוד פתוח ישירות בתוך התשתית של הלקוח עצמו. לא לעטוף את המודל של מישהו אחר. לא לשכור אינטליגנציה לפי טוקן. באמת להיות הבעלים שלה.

הנה איך זה נראה בפועל. אתם לוקחים מודל משקלים פתוחים בעל ביצועים גבוהים — Llama 3 מ‑Meta, למשל, שבו גרסת 70B הפרמטרים מתחרה ב‑GPT‑4 באמות מידה רבות — ופורסים אותו על מופעי GPU בתוך הענן הפרטי הווירטואלי (VPC) של הלקוח. משקלי המודל חיים על חומרה שהלקוח שולט בה. מנוע ההסקה רץ מאחורי חומת האש הארגונית. כשמפתח מזין למודל קוד קנייני, אותו קוד נוסע מהמחשב הנייד שלו לשרת פנימי, מעובד בזיכרון, וחוזר. הוא לעולם אינו נוגע באינטרנט הציבורי. הוא לעולם אינו נוחת על שרת צד שלישי.

אנחנו משלבים את זה עם מה שאנחנו קוראים לו RAG פרטי — Retrieval-Augmented Generation הבנוי על בסיסי נתונים וקטוריים הפרוסים בתוך אותה סביבה מאובטחת. המסמכים של החברה נקלטים, מוטמעים (embedded), ומאוחסנים מקומית. וחשוב מכך, המערכת מכבדת את בקרות הגישה הקיימות. אם אין לכם הרשאה לראות מסמך ב‑SharePoint, הבינה המלאכותית לא תאחזר אותו כדי לענות על שאלתכם. בעיית ה"הרשאה השטוחה" הזו — שבה צ'אטבוט חושף בטעות נתונים סודיים לכל מי ששואל — פשוט אינה קיימת בארכיטקטורה הזו.

כיצד הופכים מודל גולמי לרמה ארגונית?

אחד השיעורים הקשים ביותר שלמדנו מוקדם: פריסת מודל היא אולי שלושים אחוזים מהעבודה. להפוך אותו לבטוח לשימוש יומיומי של אלפי עובדים — זה שבעים האחוזים האחרים.

מודלי שפה גולמיים הם בלתי צפויים. הם ידונו בשמחה בנושאים שאסור להם, יפיקו תוכן שמפר את מדיניות החברה, או יגיבו להזרקות הנחיה מתוחכמות שנועדו לעקוף פרוטוקולי בטיחות. אתם צריכים מעקות בטיחות — למעשה חומת אש עבור הנחיות.

אנחנו מיישמים את NVIDIA NeMo Guardrails כשכבה ניתנת לתכנות סביב המודל. לפני שהנחיה מגיעה למודל, היא נסרקת. אם מישהו מקליד מספר ביטוח לאומי או מספר כרטיס אשראי, מעקה הבטיחות תופס אותו. אם מישהו שואל בוט של משאבי אנוש על סיסמאות מסד נתונים, המערכת מזהה את אי‑ההתאמה בכוונה ומסרבת. אם מישהו מנסה מתקפת פריצת כלא (jailbreak) — אותם תעלולים של "התעלם מכל ההוראות הקודמות" — שכבת ההגנה מיירטת אותה.

אני זוכר מבחן חדירה שהרצנו על אחת מהפריסות המוקדמות שלנו. הצוות האדום שלנו בילה יומיים בניסיון לחלץ נתוני אימון או לעקוף הגבלות נושא. הם היו יצירתיים — הנחיות משחק תפקידים מקוננות, הוראות מקודדות, כל הריפרטואר. מעקות הבטיחות החזיקו מעמד. הארכיטקט שלי שלח לי צילום מסך של יומן הניסיונות החסומים ב‑2 לפנות בוקר עם הודעה אחת: "החומה איתנה." זה היה לילה טוב.

לפירוט הטכני המלא של ארכיטקטורה זו — מחסנית ההסקה, תצורת מסד הנתונים הווקטורי, ויישום מעקות הבטיחות — ראו את הצלילה הטכנית לעומק שלנו על אבטחת בינה מלאכותית ארגונית.

"אבל מעבדי GPU יקרים וממשקי API זולים"

אינפוגרפיקה של השוואת עלויות המראה כיצד עלויות ה‑API גדלות באופן לינארי בעוד שעלויות האירוח העצמי נשארות שטוחות יחסית, עם נקודות נתונים מרכזיות מהמאמר.

זו ההתנגדות שאני שומע לרוב ממנהלי כספים (CFO), והיא שגויה באופן ששווה לפרק.

כן, תמחור ה‑API נראה זול על פני השטח — שברירי סנט לכל טוקן. אבל יישומי RAG ארגוניים רעבים לטוקנים באופן זללני. כדי לענות על שאלה בודדת, המערכת עשויה לאחזר עשרה עמודים של הקשר כטוקני קלט. הכפילו זאת על פני אלף עובדים ששואלים עשר שאלות ביום, ואתם מסתכלים על 1,000 עד 3,000 דולר ליום. זה פוטנציאלית מיליון דולר בשנה, וזה מתרחב באופן לינארי. אם האימוץ מוכפל, החשבון מוכפל.

מודלים המתארחים עצמאית עובדים אחרת. אתם משלמים על החומרה — השכרה או רכישה של GPU — ועל חשמל. צומת יחיד מוגדר היטב יכול לטפל באלפי בקשות בשנייה. עד שתרוו את הצומת הזה, העלות השולית של הטוקן הבא היא אפסית למעשה. עבור חברה בינונית שמעבדת מיליארד טוקנים בחודש, ראינו שאירוח עצמי יוצא בין 50 ל‑70 אחוזים זול יותר מעלויות API שוות ערך, עם פרטיות כבונוס חינם.

ויש עלויות נסתרות ל‑API שלעולם אינן מופיעות בחשבונית. מגבלות קצב שגורמות להשבתות במהלך פריסות לכל החברה. הוצאות מודלים משימוש (deprecations) שמכריחות אתכם לבחון מחדש כל הנחיה ותהליך עבודה כשהספק פורש גרסה. עם מודל המתארח עצמאית, שום דבר לא משתנה אלא אם תחליטו לשדרג אותו. אתם מקבלים יציבות. אתם מקבלים חיזוי. אתם מפסיקים לדאוג מה ועדת התמחור של OpenAI תחליט ברבעון הבא.

בקנה מידה ארגוני, אירוח עצמי אינו האפשרות היקרה. הוא זה שאינו מפשיט אתכם מנכסים כשהאימוץ מצליח.

מדוע לא כולם כבר עושים את זה?

אנשים שואלים אותי את זה, והתשובה הכנה היא: זה קשה. לא מבחינה רעיונית — ההיגיון פשוט — אלא מבחינה תפעולית. אתם צריכים אנשים שמבינים אורקסטרציה של GPU עם Kubernetes, שיכולים להגדיר vLLM לתפוקה אופטימלית, שיודעים כיצד לבנות צינורות אחזור מודעי‑RBAC, שיכולים ליישם מעקות בטיחות מחמירים מספיק כדי למנוע שימוש לרעה אך גמישים מספיק כדי לא לתסכל משתמשים.

לרוב הארגונים אין את הצוות הזה. גם לרוב משרדי הייעוץ לבינה מלאכותית אין — הם יודעים איך לקרוא ל‑API, לא איך לפרוס מחסנית הסקה. זה הפער שאנחנו ממלאים ב‑VeriPrajna. אנחנו לא מוכרים גישה למודל. אנחנו בונים את היכולת להריץ מודלים באופן עצמאי. כשאנחנו עוזבים, הלקוח הוא הבעלים של הכול — משקלי המודל המכווננים (fine-tuned), האינדקסים הווקטוריים, תשתית האורקסטרציה. זה שלהם. זו כל הנקודה.

הדבר האחר שמאט את האימוץ הוא אינרציה. מנהל אבטחת המידע שחסם את ChatGPT מרגיש שהוא עשה משהו. להודות שהאיסור לא עבד פירושו להודות שהשנה האחרונה של אכיפת מדיניות הייתה הצגה. זו שיחה קשה לנהל עם דירקטוריון. אבל החלופה — להעמיד פנים שהבעיה אינה קיימת בזמן שעובדים מדביקים קוד מקור לחשבונות בינה מלאכותית אישיים — גרועה יותר. זו לא שאלה של אם הדליפה הבאה בקנה מידה של סמסונג תקרה. זו שאלה של מתי, והאם היא תקרה לכם.

האות המוסתר ב‑Shadow AI

הנה מה שאני חושב שרוב האנשים מפספסים לגבי מגפת ה‑Shadow AI: זו אינה רק בעיית אבטחה. זה אות. אות רם ובלתי ניתן לטעות שכוח העבודה שלכם נואש לכלים טובים יותר ומוכן לסכן את מקום עבודתו כדי להשיג אותם.

ארבעים ושישה אחוזים מהעובדים אומרים שהם היו מפרים איסור מפורש. זו אינה התרסה לשם ההתרסה. אלו אנשים שאומרים לכם, דרך מעשיהם, שבינה מלאכותית הפכה חיונית לאופן שבו הם עובדים. השאלה אינה האם הארגון שלכם ישתמש בבינה מלאכותית יצירתית. ההחלטה הזו כבר התקבלה — על ידי העובדים שלכם, ללא רשותכם, במכשירים האישיים שלהם, בזמן ארוחת הצהריים.

השאלה היחידה שנותרה היא האם תספקו דרך מאובטחת לעשות את מה שהם כבר עושים באופן לא בטוח.

Shadow AI הוא כוח העבודה שלכם מצביע בהקשות המקלדת שלו. הם בחרו בבינה מלאכותית. עכשיו אתם בוחרים: גלוי ומאובטח, או בלתי נראה ומדמם נתונים.

עברנו את העידן שבו "לא" הייתה אסטרטגיית בינה מלאכותית מקובלת. המודלים בקוד פתוח טובים מספיק. תשתית הפריסה בשלה מספיק. הכלכלה עובדת. הדבר היחיד שעומד בין רוב הארגונים לבין יכולת בינה מלאכותית ריבונית הוא הנכונות להפסיק להעמיד פנים שאיסור עובד.

אתם לא צריכים לאסור על בינה מלאכותית. אתם צריכים להיות הבעלים שלה.

Related Research

Also Published On