ハーモニック・セキュリティによると、イギリスとアメリカの従業員のおよそ12人に1人が中国製の生成AI(GenAI)ツールを使用しており、これにより組織はセキュリティ、プライバシー、コンプライアンスのリスクにさらされています。
このセキュリティベンダーは、米英に拠点を置く14,000人のエンドユーザーを対象に30日間の分析を実施し、DeepSeek、Moonshot Kimi、Manus、Baidu Chat、Qwenといった中国製GenAIツールの利用リスクを調査しました。
これらのツールは通常無料で強力な機能を提供していますが、ほとんどの欧米のセキュリティ責任者はリスクが高すぎると考えています。その理由は、モデルに共有されたデータが中国国内のサーバーに保存され、当局がアクセスできる可能性があるためです。
また、多くの中国製GenAIプロバイダーは、このデータをどのように利用するかについても曖昧であり、さらなる法的責任が生じる恐れがあります。
GenAIについてさらに読む:中国GenAIスタートアップDeepSeekが世界的なプライバシー論争を引き起こす
ハーモニック・セキュリティの調査によると、中国製GenAIツールを使用した1,059人のユーザーが合計17MBのコンテンツをアップロードしていました。同社は、機密データの漏洩が535件検出され、そのうち85%がDeepSeek経由で発生したと主張しています。
漏洩したコンテンツの多くはソフトウェア関連で、33%がコード、独自ロジック、またはアクセス認証情報に関するものでした。他の機密カテゴリーには、M&A文書(18%)、個人を特定できる情報(18%)、財務データ(14%)が含まれていました。
「これらのプラットフォームに提出されたすべてのデータは、データ保持、入力再利用、モデル学習方針に関する透明性がまったくないことから、中国共産党の所有物と見なすべきです。これにより、組織は重大な法的・コンプライアンス上の責任を負う可能性があります」とハーモニック・セキュリティのCEO、アラステア・パターソン氏は警告しています。
「ブロッキング(遮断)だけではほとんど効果がなく、しばしばビジネスの優先事項と合致しません。強硬な姿勢を取る企業であっても、ユーザーはしばしばコントロールを回避します。より効果的なアプローチは、教育に注力し、非公認のGenAIツール、特に中国でホストされているプラットフォームの使用リスクについて従業員を訓練することです。」
また、組織はより安全な代替手段を提供し、機密データのアップロードを防ぐポリシーを徹底するべきだと彼は付け加えています。
研究者らは、DeepSeekがジェイルブレイクや幻覚、危険なコード生成に脆弱であり、そのAndroidアプリにも多数のセキュリティ問題があることも発見しています。
さらに、同社は今年1月にチャット履歴などの機密情報を含むオンラインデータベースを誤って流出させたこともありました。
翻訳元: https://www.infosecurity-magazine.com/news/one-12-usuk-employees-chinese-genai/