Deze week lanceerde OpenAI de langverwachte GPT Store. Ook kondigde het ChatGPT Team aan, dat voor allerlei organisaties gescikt zou moeten zijn. Echter is datasecurity in het geding, meent Alastair Paterson, CEO van Harmonic Security.
Custom GPT’s zullen voortaan via de GPT Store kunnen worden verspreid. Paterson haalt Doc Maker aan als voorbeeld van een dergelijk AI-model. Deze GPT kan allerlei presentaties, spreadsheets en meer produceren op basis van ingezonden documenten.
Tip: OpenAI lanceert GPT Store en nieuw zakelijk abonnement voor kleine bedrijven
Paterson ontdekte dat deze ingezonden data tijdelijk bij de servers van aidocmaker.com belanden. Doc Maker (en alle andere custom GPT’s) zijn enkel toegankelijk is voor betalende gebruikers. Alleen ChatGPT Plus is enigszins aantrekkelijk voor individuele consumenten, alle andere abonnees zullen organisaties zijn. Die moeten weten waar hun data belandt.
Informatie toevertrouwen aan derden
De gratis ChatGPT-dienst lijkt al van nature datalekken uit te lokken. Zo verstuurden Samsung-medewerkers bedrijfsgeheimen naar de chatbot in 2023. Echter blijft die data op OpenAI-servers. Dat is voor sommige bedrijven al onwenselijk, maar er is duidelijk vooraf te bepalen waar de data belandt.
Daarnaast bieden betaalde versies van ChatGPT garanties dat gesprekken niet inzichtelijk zijn voor derden. Geen enkele maker van een custom GPT kan dus over de schouder van een eindgebruiker meelezen.
Met de introductie van ChatGPT Team en de GPT Store heeft OpenAI volgens Paterson meer risico’s gecreëerd dan voorheen. Zo zullen de meest gebruikte GPT’s het meest zichtbaar zijn, waaronder veel AI-modellen die het versturen van data aanmoedigen, stelt hij. Dit levert een zogeheten “shadow AI”-probleem op: werknemers zullen chatbots binnen deze diensten veel informatie toevertrouwen zonder dat er voor organisaties duidelijk is dat dit gebeurt.
We zagen al bij eerder onderzoek dat gemeentelijke ambtenaren bijvoorbeeld maar wat graag gebruikmaken van ChatGPT, of het nou toegestaan is of niet.
Tiered security “erg teleurstellend”
Paterson heeft daarnaast een groot probleem met de afscherming van security-maatregelen. Hij geeft als voorbeeld dat SSO alleen voor Enterprise-gebruikers toegankelijk is en noemt het “erg teleurstellend”.
Wie voor ChatGPT Team kiest, dient 25 dollar per maand per gebruiker te betalen met een jaarlijks afgerekend abonnement, maandelijks kost dat 5 dollar p/m per gebruiker extra. OpenAI belooft deze abonnees om data niet in te zetten om AI-modellen verder op te trainen. Algemene security-maatregelen die een admin uit kan voeren, worden hierbij niet meegeleverd.
De exacte prijs van ChatGPT Enterprise verschilt per bedrijf, want daarvoor moet een beoogde klant contact opnemen met OpenAI-sales. Een offerte die een persoon op Reddit zegt te hebben ontvangen, zou jaarlijks 108.000 dollar kosten met minimaal 150 gebruikers op het account. Dat zou echter sterk kunnen verschillen per organisatie.
ChatGPT Enterprise is bij lange na niet de enige AI-optie voor bedrijven. Een team van software-ontwikkelaars kan bijvoorbeeld terecht bij GitHub Enterprise, terwijl gespecialiseerde AI-oplossingen ook verfijnd kunnen woorden via een dienst als Google Vertex AI. Voor kleinere organisaties, zeker bedrijven die veel gevoelige data behandelen, is er minder keuze. De GPT Store lijkt hierin veel onzekerheid te bieden. Toch stelt Paterson dat het voor elke security-leider een afweging zal zijn tussen datasecurity en -privacy enerzijds, en een te restrictieve houding ten opzichte van AI anderzijds.
Lees ook: Miljardeninvestering Microsoft in OpenAI op de radar van de EU
1 dag geleden
Expert bijdrage
