СтуЧат в GPT. Чем грозит лишняя откровенность с чат-ботами и как их создатели собирают о нас информацию

Большие языковые модели собирают всю информацию, которую мы им передаём, и откровенность с чат-ботами может дорого обернуться. Нет таких данных, которые не могли бы выйти за пределы диалога с ChatGPT, DeepSeek, Gemini или другой нейросетью. Простому пользователю достаточно не забывать о цифровой гигиене, а вот у корпораций есть риск потерять очень чувствительную информацию, рассказали эксперты «Секрету фирмы».

Почему нейросети вызвали тревогу о безопасности данных

В феврале 2025 года в Южной Корее заблокировали чат-бот DeepSeek. Агентство по защите персональных данных заявило, что китайская нейросеть передавала данные пользователей и их запросы третьим сторонам без разрешения.

В конце апреля чат-бот разблокировали, а DeepSeek указал, что теперь персональные данные обрабатываются в соответствии с законодательством Кореи. Однако сама история заставила многих задуматься.

Звоночек далеко не первый: в 2023 году компания OpenAI сообщала об утечке данных пользователей ChatGPT — некоторые пользователи могли видеть чужие сообщения, имена, фамилии, электронную почту и платежные данные подписчиков сервиса.

В том же году специалисты нескольких университетов Европы и США провели исследование уязвимостей чат-бота ChatGPT. В диалоге ИИ буквально заставили выдать имена, фамилии, номера телефонов, биткоин-адреса, даты дней рождения и даже откровенный контент случайных людей.

Это заставляет задумываться о том, насколько вообще безопасным оказывается общение с чат-ботами, которым пользователи, кажется, стали доверять слишком много тайн.

Как чат-боты собирают вашу информацию

Создатели чат-ботов могут использовать данные пользователей для обучения новых версий своих моделей, отметил руководитель группы исследований и разработки технологий машинного обучения в «Лаборатории Касперского» Владислав Тушканов. Обычно информация о том, какие сведения разработчики собирают, как их хранят и обрабатывают, указывается в пользовательском соглашении. И, конечно, многие принимают его, не читая.

Например, в пользовательском соглашении ChatGPT указано, что компания может использовать контент пользователя «для улучшения сервиса». По умолчанию так и происходит, но OpenAI дает клиенту право отказаться от этого.

Правда, предупреждает, что «в некоторых случаях это может ограничить возможности» ChatGPT по решению конкретных задач.

Все сервисы, которые позволяют нам общаться с большими языковыми моделями, отправляют всю полученную информацию на свои серверы: DeepSeek — на китайские, ChatGPT — на серверы Open AI, и так далее. Допускаю, что буквально каждая буква, которую вы написали — возможно, даже до того, как нажали на кнопку «отправить» — может оказаться в облаке компании-разработчика чат-бота. При этом нет таких данных, которые гарантированно не выйдут за пределы чата.

Даже если компании утверждают, что данные анонимизируются, это не всегда исключает риски, согласился директор по инновациям финтех разработчика и интегратора Fork-Tech Владислав Лаптев.

Думаю, ИИ хранит все или почти все загружаемые в него неповторяющиеся данные. Чем больше у него будет база — тем более релевантные ответы он будет давать. Например, на первых порах Алиса от «Яндекса» невежливо отвечала пользователям, потому что она как раз дообучалась. Пользователи, которые грубили Алисе, реакциями помогали закрепить ей аналогичный стиль общения и тем самым повлияли на её манеру общения.

Гендиректор АНО «Национальный центр компетенций по информационным системам управления холдингом» (НЦК ИСУ) Кирилл Семион уверен, что утечка чувствительной информации, переданной чат-боту, «100% произойдет». Но вы, скорее всего, никогда не узнаете, как ее используют. Он заявил, что «с точки зрения сохранения конфиденциальности, безопасных моделей просто нет».

Как информация может утечь из чат-бота

Владислав Тушканов заметил, что утечки данных могут случиться из-за кибератак, ошибок при проектировании сервиса, в случае компрометации аккаунтов клиентов ИИ-сервисов.

Еще одной потенциальной причиной утечек данных могут оказаться «сервисы-прослойки». К ним относятся, например, «неофициальные» Telegram-боты. Ими часто пользуются, если разработчик нейросети ограничил возможность подключения к ней в каком-либо регионе. Или если нужен более удобный интерфейс — часто так обеспечивается доступ сразу к нескольким закрытым моделям через один сервис.

По словам эксперта, не все такие «сервисы-прослойки» предоставляют информацию о политике конфиденциальности. В «Лаборатории Касперского», например, видели сайт, который давал возможность воспользоваться ChatGPT, но там же была страница, где переписки людей с чат-ботом публиковались в открытом доступе.

Утечка возможна и без взломов и различных мошеннических механизмов. Владислав Лаптев указал, что разговоры с чат-ботом могут просматривать, в частности, рецензенты — сотрудники компаний, отвечающие за модерацию и дообучение моделей. Они имеют доступ к фрагментам переписок.

Кроме того, отметил эксперт, если данные используются в обучении, они могут попасть в «память» модели и при определенных условиях оказаться в ответе другому пользователю — как это и произошло, судя по всему, при исследовании уязвимостей ChatGPT, о котором говорилось выше.

Риски для пользователей от общения с чат-ботом

Эксперт Олег Рогов заметил, что пользователи могут случайно раскрыть при общении с чат-ботом паспортные, платежные данные, конфиденциальную переписку, логины, пароли, медицинские или юридические документы. Их передавать чат-боту не рекомендуется.

Некоторые малоизвестные ИИ-продукты сохраняют и используют данные для обучения, не соблюдая стандарты 152-ФЗ «О персональных данных» или AI Act — регламента ЕС об искусственном интеллекте. Такие сервисы могут использовать данные в собственных целях — например, для коммерческого анализа. Важно внимательно читать правила использования конкретного продукта.

Часто пользователи полагают, что общаются с нейтральным ассистентом, но на самом деле оставляют цифровой след. Владислав Лаптев подчеркнул, что этой информацией в случае её появления в открытом доступе могут воспользоваться напрямую — например, чтобы украсть аккаунт от каких-либо сервисов.

А ещё злоумышленники с помощью взломанных чат-ботов могут выстроить цифровой профиль человека, узнав его интересы, страхи, политические взгляды. И никто не знает, кто и когда получит к этому доступ.

В идеале к чат-ботам стоит относиться, как к незнакомцам в интернете, и не разглашать в диалогах с ними данные о себе и близких, которыми вы не готовы были бы делиться с незнакомым человеком.

Однако для частных пользователей уровень угроз минимален, уверен эксперт Алексей Карпунин. В этом случае речь идёт скорее об элементе общей цифровой гигиены в отношении использования чувствительной информации в Сети.

Какие риски несет бизнес

Эксперты подчеркивают, что когда речь идет о корпорациях, использование чат-ботов может представлять собой серьёзный риск. Данные, безопасность которых стоит на кону, могут обернуться финансовыми и репутационными потерями, попав не в те руки.

Возможна утечка ноу-хау, бизнес-моделей, внутренних процессов, данных клиентов. Если сотрудник случайно загрузит в чат персональные данные клиента, это может обернуться нарушением закона и даже уголовной ответственностью. Поэтому серьёзные компании создают собственную защищённую инфраструктуру, адаптируют открытые модели ИИ под внутренние стандарты и создают безопасную корпоративную среду для их использования.

Владислав Тушканов подчеркнул, что к ИИ-системам, которые используются в критичных сценариях, должны предъявляться высокие с точки зрения надежности и безопасности требования. Это:

• повышение цифровой грамотности персонала;
• обеспечение безопасности ML-инфраструктуры
• защита от LLM-специфичных атак и т.д.

Эксперт Минцифры Валерий Сидоренко заметил, что загружать чувствительную информацию в чат-боты, созданные зарубежными компаниями с не локализованными в России серверами, обычно просто запрещено внутренними правилами компаний. Тем более, если речь идет о данных, составляющих государственную или служебную тайну, закрытую корпоративную информацию.

Все большие корпорации, для которых актуальна работа с ИИ, стремятся разработать свои внутренние модели и запрещают сотрудникам использовать чат-боты других корпораций. Здесь речь идёт о банальном риске «слива» с серверов конкурентов. Службы безопасности во всех корпорациях ведут невидимую борьбу и, вне всяких сомнений, есть риск доступа конкурентов к чувствительным данным.

Один из примеров небезопасного использования — загрузка в бот данных корпоративной отчетности до её официального выхода с просьбой сформировать из этого PDF.

Представьте себе ситуацию, при которой ваш конкурент знает, что вы консультируетесь по маркетинговым вопросам с глобальной моделью. Допустим, он задаст этой модели вопрос о том, какие перспективные направления бизнеса рассматривает ваша компания. Вы уверены, что ответ не будет основан на сделанных вами запросах?

Как защитить данные при работе с чат-ботами

Владислав Лаптев подчеркнул, что нет универсального способа защиты, но есть набор простых правил, которые сильно снижают риски.

• Отключите обучение на ваших данных в настройках, если такая опция есть, или используйте временные чаты, которые не сохраняются.
• Не передавайте чат-боту чувствительную информацию о себе и не обсуждайте с ним важную информацию.
• Деперсонализируйте данные перед загрузкой: меняйте имена, адреса, даты.
• Используйте официальные приложения и сервисы нейросетей. Под видом конкретных чат-ботов могут скрываться фишинговые программы.
• Пользуйтесь надёжными паролями и двухфакторной аутентификацией для аккаунтов в чат-ботах.
• Всегда задавайте себе вопрос: «Что случится, если этот текст прочитает посторонний человек?». Если последствия неприятные, это не должно быть в чате с ИИ.
• Разворачивайте работу чат-ботов в периметре компании для работы с чувствительной информацией: на своих серверах, желательно отключённых от интернета.

Такие модели, как Qwen, DeepSeek, отечественные GigaChat можно развернуть и на собственных серверах, подчеркнул доцент Школы управления Сколково Пётр Паршаков.

Эксперт Валерий Сидоренко призвал чаще пользоваться российскими решениями, особенно для выполнения внутрикорпоративных задач или работы с данными, — GigaChat, YandexGPT. Он признаёт, что пока они отстают в техническом плане, но разработчиков российских сетей хотя бы можно будет привлечь к ответственности за утечку данных — в отличие от западных аналогов.

Законодательство ужесточается: с 30 мая 2025 года вступает в силу закон №420-ФЗ, который вводит «оборотные» штрафы за утечку персональных данных, которые будут зависеть от дохода компании за определенный период. Если Яндекс или Сбер получат оборотные штрафы, для них это будут огромные финансовые потери — поэтому внимание ИТ-гигантов к безопасности неизбежно возрастёт.