尖叫！你的AI瀏覽器擴充功能可能正在偷你的數據

虛擬恐龍的世界

大家好，你可聽過電影《侏羅紀公園》嗎？內裡有一個戴皮衣的數學家Dr. Ian Malcom，他對其他人說：“你們站在天才的肩膀上，盡可能快速地完成某件事情，你們甚至在知道自己得到了什麼之前就已經對它進行了專利申請，然後將它包裝起來，標上塑料午餐盒，現在你們要賣了。你們想要賣掉它。”說實話，這段話其實也很適用於現在AI的狀況，當然，我們在這裡談論的不是恐龍，而是AI工具的爆炸性發展。

其實，現在的AI情況可能比侏羅紀公園還要危險。在電影中，把恐龍帶回人類世界的科學被限制在一個島上，被一個公司控制。但在我們現在的現實中，恐龍已經跑出去了，任何想要和恐龍玩耍的人都可以隨心所欲。

科技與我們的生活

過去的半年裡，從ChatGPT的公開發布以來，AI瀏覽器擴展功能如野火般瘋狂擴散。只要你在Chrome網店搜索"AI"，這些擴展功能的列表就會讓你滾來滾去，實在看不完。這些瀏覽器擴展功能的功能各不相同，有的會為你摘要網頁和郵件，有的會幫你寫文章或產品描述，還有的甚至承諾將純文字轉換為可運行的程式碼。

然而，這些AI瀏覽器擴展功能帶來的安全風險也各不相同：有的就是等待著悄悄吸取你資料的惡意軟體，有的是拿著隨意複製粘貼的隱私政策玩快閃，還有的是被大家認可的知名品牌進行的AI實驗。

我們可能會認為，沒有一種AI瀏覽器擴展功能是完全沒有安全風險的。但現在，大部分的公司甚至還沒有相關的政策來評估不同擴展功能帶來的風險類型和風險程度。在沒有清晰指導的情況下，全世界的人都在安裝這些小助手，並給它們餵食敏感的資料。

AI擴展功能的風險攤開來看

不論在任何情況下，AI瀏覽器擴展功能的風險都相當令人震驚。但在這裡，我們要著重談的是員工如何使用AI，以及公司如何管理這些使用。我們將概述三個主要的安全風險範疇，以及評估各種擴展功能的價值並限制其使用的最佳實踐。

假裝是AI瀏覽器擴展的惡意軟體

AI瀏覽器擴展功能最直接的安全風險就是有些直接就是惡意軟體。Guardio在3月8日報告了一種名為“Quick access to Chat GPT”的Chrome擴展功能，它會劫持使用者的Facebook帳戶，並竊取儲存在你瀏覽器上的所有Cookie，包括安全和會話token等。更糟的是，雖然這個擴展功能只在Chrome商店上架一週，但它每天都有超過2000位使用者下載。

合法AI瀏覽器擴展功能的安全風險是什麼？

即使是最狂熱的AI信徒也會同意，惡意的瀏覽器擴展功能是壞的，我們應該盡一切力量阻止人們下載它們。然而，當我們討論合法的AI瀏覽器擴展功能內在的安全風險時，事情就變得複雜起來。

這裡有幾種可能的安全問題：你與生成型AI工具分享的敏感資料可能會被納入它的訓練資料，並被其他使用者看到。為了讓你有個形象的理解，想像你是一位高層主管，想要讓你的策略報告增加一些吸引人的元素，所以你使用一個AI瀏覽器擴展功能來豐富你的寫作。第二天，你最大的競爭對手的一位高層主管向AI詢問你們公司的策略將是什麼，結果得到了一個出乎意料的詳細和富有啟示的答案！

此類洩漏的恐懼已驅使一些公司，包括Verizon、Amazon和Apple，禁止或嚴重限制使用生成型AI。正如The Verge對Apple禁令的文章所解釋的：“考慮到ChatGPT在改進程式碼和頭腦風暴想法等任務方面的實用性，Apple可能正確地擔心其員工會將有關機密項目的資訊輸入該系統”。

瀏覽器擴展功能的漏洞

瀏覽器擴展功能或者AI公司本身可能會遭到資料洩漏。公平地說，這是你與任何供應商合作都可能出現的安全風險，但是值得一提的是，這種情況已經發生在業內的一個主要玩家身上。在三月，OpenAI宣布他們最近發現了一個錯誤，“允許一些使用者看到其他活躍使用者的聊天歷史標題”和“允許一些使用者看到其他活躍使用者的名字、電子郵件地址、付款地址”以及一些其他付款資訊。

瀏覽器擴展功能對於洩漏的脆弱性取決於他們保留多少使用者資料，這是許多“值得尊重”的擴展功能令人困惑的地方。

版權+抄襲+法律爭議的大雜燴

當GitHub Copilot首次亮相時，我們寫了一整篇文章關於這個問題，但值得重申的是，LLMs經常生成與明確的人類來源相似的圖片、文字和程式碼。目前，這是否構成版權侵權還是一個尚未解決的法律問題，但這是一個巨大的賭注。而且這還不包括輸出質量本身——LLM生成的程式碼聲名狼藉，常常複製眾所周知的安全漏洞。

這些問題如此嚴重，以至於在6月5日，Stack Overflow的志願者版主們為了抗議該平台允許AI生成的內容而發起了罷工。

愚公移山，亦步亦趨

AI科技就像一把雙刃劍，既有幫助也有潛在的危險。我們不能像賣田螺的阿伯那麼天真，只看到美好的一面，卻忽略了背後可能隱藏的危險。

因此，這篇文章的目的並不是要各位回家就把電腦砸了，當然啦，如果你覺得這樣可以保證你的數據安全，那就繼續往下砸吧！我們的目的是希望你們能有所警惕，理性看待這個新興的科技趨勢。

當然，有些人可能會說：“哎呀，我就喜歡嘗鮮，愛怎麼玩就怎麼玩。”也沒錯，只要你能承擔得起風險，那就盡情玩樂吧！但要記得：風險與報酬是相等的，這就像去夜市搶拍一隻五十元的大龍蝦，有可能搶到，也有可能被搶空。

保護自己的資料，就像保護自己的皮包，沒有人希望自己的皮包被偷。所以，面對AI科技，我們必須敬而遠之，不可不慎。這個世界上沒有絕對的安全，但是我們可以做的，就是將風險降到最低。

就像老話說的，寧可信其有，不可信其無。在享受科技帶來便利的同時，也別忘了防範未然。我們不能預測未來，但是我們可以做的，就是在未來來臨之前，做好準備。也希望，每一個人都能夠在科技的海洋中，找到自己的平衡點，並且安然無恙。

到此，我們後會有期，下次再聊囉！