Cạn lời: Sếp Sales hồn nhiên dâng địa chỉ khách hàng cho ChatGPT và cái kết đắng lòng

Ai cũng bảo AI sẽ cướp chén cơm của anh em dev, nhưng trước khi ngày đó đến, tôi đồ rằng chính mấy anh chị non-tech trong công ty sẽ dâng hiến cả cái nồi cơm của chúng ta cho OpenAI mất. Chuyện là thế này các đồng đạo ạ.

Tóm tắt nhanh vụ "Hiến tế data" chấn động Reddit

Một thanh niên IT vừa lên Reddit than trời vì pha xử lý đi vào lòng đất của chị đại Head of Sales (Giám đốc Bán hàng) công ty mình.

Chị gái hớn hở khoe đang dùng ChatGPT để chuốt lại email gửi khách cho mượt. Nghe xịn xò con bò đúng không? Cho đến khi thanh niên liếc qua cái prompt...

Ối giời ơi! Trong prompt có đủ combo: họ tên khách hàng, quy mô hợp đồng, chiến lược giá nội bộ, và kinh dị nhất là có cả... ĐỊA CHỈ NHÀ của khách!

Thanh niên mới rén rén hỏi: "Chị sếp ơi, như này có tính là share data nhạy cảm không?". Chị gái nhìn lại thanh niên với ánh mắt kiểu "mày bị ngáo à" và chốt hạ: "Không em, chị chỉ nhờ nó sửa từ vựng thôi mà!".

Đấy, não user mặc định là đ*o có chủ đích share data, thì tức là data không bị share. Ảo ma chưa? Thanh niên chốt lại: mấy khóa training bảo mật nội bộ hay mấy cái poster dán tường rốt cuộc chỉ để làm cảnh, chả có tí tác dụng nào.

Giang cư mận chia phe tế sống

Ngay khi bài lên sóng, anh em sysadmin và dev bay vào combat nhiệt tình, chia ra mấy luồng ý kiến siêu thực tế:

• Phe thực dụng: "Thấy chưa, đó là lý do mấy bản Enterprise của bọn AI nó phải gào lên quảng cáo là không train trên data của user. Tiền nào của nấy, bủn xỉn xài bản free thì chịu!".
• Phe công cụ (DLP): Một lão quái hiến kế: "Chắc phải cài lại con Clippy (cái kẹp giấy ám ảnh của Word ngày xưa) vào máy, mỗi lần user định paste data thì nó hiện lên hỏi: 'Ê mày, định public thông tin công ty lên mây hả?'. Mấy pháp sư cũng bảo nên xài tool DLP (Data Loss Prevention) hoặc các ai tools giám sát bảo mật cài thẳng vào browser là chặn được hết.
• Phe bi quan: Có ông lại bĩu môi: "Bọn nó không ngu đâu, bọn nó đ*o quan tâm thôi! Toàn mấy công việc rảnh rỗi sinh nông nổi ấy mà".
• Phe 'AQ chính truyện': Một trưởng lão chốt câu xanh rờn: "Việc của chú là chụp màn hình, quăng cho HR hoặc team Infosec, xong rồi rửa tay gác kiếm đi. Chõ mõm vào sâu quá rách việc ra". Thêm nữa, vụ này chắc chắn dính đến PII (Thông tin định danh cá nhân). Mấy ông auditor (kiểm toán) chuẩn bị cá kiếm đậm nhờ mấy pha lọt hố này.

Góc nhìn từ Coding4Food: Bài học sinh tồn thời đại AI

Tóm cái váy lại, anh em code dạo hay làm sysadmin phải chấp nhận một sự thật phũ phàng: Bạn có thể code ra một hệ thống bảo mật không lỗ hổng, nhưng bạn không thể vá được lỗ hổng mang tên "nhận thức của user".

Bảo mật bằng chính sách (policy) mồm hay dán giấy giờ là dĩ vãng rồi. User họ nghĩ LLM như một cái máy tính bỏ túi, gõ vào là ra kết quả, chứ không hề biết đằng sau là cả một cụm server đang khát data để train model.

Nên anh em ạ, thay vì cãi lý với Head of Sales (người kiếm tiền cho công ty), cứ lẳng lặng cài cắm mấy tool chặn PII ở mức network hoặc endpoint đi. Cứ report đủ sớ cho Infosec để lỡ hệ thống có toang, công ty bị kiện vì lộ data thì anh em mình còn có log mà cãi, giữ cái cần câu cơm. Cẩn tắc vô áy náy!

---

Nguồn tham khảo: Reddit