Madhu Gottumukkala va compartir documents per a ús oficial a la versió pública de l’eina d’IA generativa.

L’agència encarregada de la ciberseguretat dels EUA (CISA) s’ha convertit en el centre d’atenció aquesta setmana després de confirmar-se que diversos documents interns han estat pujats accidentalment a la versió pública de ChatGPT.

Madhu Gottumukkala, director interí de CISA, va compartir documents marcats com «for official use only» (només per a ús oficial) amb l’assistent d’OpenAI al juliol i l’agost de l’any passat. Aquest error es va produir poc després del seu nomenament perquè es va incorporar al seu lloc al maig, quan va obtenir permís especial.

Tot i que els documents no eren classificats formalment, sí que contenien informació delicada de contractació i gestió interna del Departament de Seguretat Nacional (DHS). Així, doncs, es tracta d’una fallada de seguretat operativa significativa en una agència encarregada de defensar les xarxes federals contra els adversaris estatals de Rússia, la Xina i altres nacions hostils.

Els sistemes automatitzats de prevenció de pèrdua de dades (DLP) van detectar aquestes càrregues i van generar diverses alertes internes, cosa que va portar a una revisió i discussions amb alts càrrecs legals i de TI dins de CISA.

L’assessor general interí, Joseph Mazzara, el director d’informació, Antoine McCord, i el director d’informació de CISA, Robert Costello, van iniciar avaluacions formals per avaluar el dany potencial a la postura de seguretat del govern.

Posteriorment, l’assessor jurídic principal de CISA, Spencer Fisher, es va reunir amb Gottumukkala per reforçar els procediments adequats de gestió de material delicat però no classificat i revisar els protocols federals de protecció de dades, segons informa Cyberpress.

El Departament de Seguretat Nacional ha mantingut que l’accés de Gottumukkala a ChatGPT era temporal i limitat sota excepcions autoritzades.

Els analistes han assenyalat que l’incident de CISA amb ChatGPT reflecteix més un problema de governança i cultura de seguretat que no pas una fallada tècnica aïllada. Pujar documents delicats a una IA pública mostra la falsa sensació de seguretat que pot generar l’ús d’eines d’intel·ligència artificial sense restriccions clares, fins i tot entre càrrecs alts.

El que és públic es pot fer públic

Cal recordar que la versió pública de ChatGPT no està dissenyada per gestionar informació delicada d’entitats governamentals o corporatives.

En utilitzar-la les dades introduïdes poden romandre als servidors d’OpenAI, encara que no es publiquin obertament, i podrien formar part de dades que es fessin sevir per optimitzar els models de llenguatge si no se n’han configurat exclusions expresses.

A més, la plataforma té més de 700 milions d’usuaris actius, i teòricament amplifica la superfície d’exposició de qualsevol dada delicada.