CẢNH GIÁC: Số liệu thông tin cá nhân khi chat với AI đang bị cho thu thập và đem bán lại, tiết lộ cả thông tin nhạy cảm qua Extension
 

(Cover: Digiday)
Một bản tường trình mới nhất từ PCMag và các nguồn tin kỹ thuật quốc tế vừa gióng lên hồi chuông cảnh cáo về quyền riêng tư cá nhân khi sử dụng các mô hình ngôn ngữ lớn (LLM). Cụ thể hơn, có hàng triệu đoạn chat (prompt) của người tiêu dùng với ChatGPT, Gemini hay Claude đang bị một công ty cho phân tích dữ kiện đã được thu thập và đem rao bán lại cho bên thứ ba.

Lỗ hổng từ các extension trên trình duyệt
Theo đó, công ty đứng sau hoạt động này là Profound, một hãng phân tích có trụ sở tại New York. Điều đáng lưu ý là Profound không lấy cắp số liệu trực tiếp từ máy chủ của OpenAI hay Google (do chính sách bảo mật của các hãng này rất chặt chẽ).

Thay vào đó, dữ kiện bị rò rỉ ra lại thông qua các extension của bên thứ ba. Khi người tiêu dùng cho cài đặt các extension này để hỗ trợ công việc hoặc giải trí, họ vô tình cho phép cấp quyền extension "đọc" nội dung trên trình duyệt, bao gồm cả các đoạn đối thoại riêng tư với chatbot AI. Dịch vụ cho thu thập số liệu này được công ty Profound gọi là "Prompt Volumes".

Dữ kiện bị tiết lộ ra là thứ gì?
Dù Profound tuyên bố số liệu đã được cho "ẩn danh" trước khi đem rao bán cho các công tytiếp thị (marketer), nhưng nội dung trên thực tế lại có chứa đựng nhiều thông tin định danh và rất nhạy cảm. Các ví dụ về loại prompt bị thu thập bao gồm:

- Vấn đề pháp lý: "Làm thế nào để hack tài khoản người khác?", "Hậu quả của việc cư trú bất hợp pháp tại Mỹ...".
- Đời sống cá nhân & 18+: Các câu hỏi về ngoại tình, lục đục gia đình, tư vấn sức khỏe sinh sản, và các nội dung khiêu dâm.
- Thông tin về công việc: Các đoạn code, email nội bộ hoặc số liệu kinh doanh được người sử dụng bỏ vào AI để nhờ giúp giải quyết.

Profound đem bán quyền được truy cập vào kho dữ kiện này cho các công ty muốn nghiên cứu tìm hiểu hành vi của người tiêu dùng. Các chuyên gia tiếp thị cho tận dụng để tìm hiểu "người tiêu dùng thực sự đang hỏi AI điều gì" nhằm tạo ra các chiêu trò quảng cáo nhắm các mục tiêu chính xác hơn.

Tuy nhiên, các chuyên gia bảo mật đã lên tiếng chỉ trích gay gắt về hành động mua bán này. Việc thu thập số liệu ở mức độ chi tiết quá cụ thể kiểu này mà không có sự đồng ý rõ ràng từ người tiêu dùng là một vi phạm quyền riêng tư cá nhân rất nghiêm trọng. Ngay cả khi đã cho xóa tên, địa diểm cụ thể trong đoạn chat vẫn có thể dễ dàng truy ra danh tính người đang dùng thực sự.

Để bảo vệ dữ liệu cá nhân khi muốn sử dụng AI:

- Cho kiểm tra lại toàn bộ Extension đã cài trong máy tính: Gỡ bỏ các tiện ích không rõ nguồn gốc, đặc biệt là các extension yêu cầu quyền "Read and change all your data on the websites you visit" (Đọc và thay đổi thông tin trên các trang web mà bạn truy cập).

- Sử dụng chế độ ẩn danh hoặc các chức năng Temporary Chat (trên ChatGPT) để hạn chế lưu lại các dấu vết.

- Luôn áp dụng nguyên tắc "Không tin tưởng": Không bao giờ cho đăng nhập thông tin định danh cá nhân (PII), mật khẩu, hoặc bí mật kinh doanh vào bất cứ chatbot AI nào, dù đó là bản sử dụng miễn phí hay có trả tiền.

Nguồn: PCMag