CISA代理主管將敏感文件上傳至公開版ChatGPT
據報導,美國網路安全和基礎設施安全局(CISA)的代理主管將敏感文件上傳至公開版的ChatGPT,引發了對資料安全和機密資訊處理的擔憂。
背景
美國網路安全暨基礎設施安全局(CISA)代理局長 Madhu Gottumukkala 近期被爆出將敏感文件上傳至 ChatGPT 的公開版本,引發嚴重的資安疑慮。這起事件發生在美國政府內部正積極推動人工智慧轉型,同時又面臨嚴格資安審查的敏感時刻,尤其是身為國家網路安全最高主管機關的首長,其行為引發了公眾對政府高層適任性與操作安全的廣泛討論。
社群觀點
Hacker News 的討論主要圍繞在「專業適任性」與「體制崩壞」兩大核心。許多留言者指出,國土安全部(DHS)早在現任政府上台前就已擁有內部的生成式 AI 聊天機器人,身為 CISA 代理局長的 Gottumukkala 卻捨棄內部安全管道,轉而將非公開文件上傳至公眾版 ChatGPT,這種行為被視為極其低階的資安錯誤。部分網友認為,這反映出當前政府在選才時過度重視個人忠誠度而非專業能力,甚至有評論辛辣地將此類行為比喻為「小孩吃膠水」般的失智表現,認為這種「實習生等級」的錯誤出現在資安首長身上,簡直是國家級的諷刺。
討論中也揭露了更多關於 Gottumukkala 背景的爭議。他是由國土安全部長 Kristi Noem 親手提拔,此前在南達科他州擔任資訊長。有網友質疑,管理一個人口不到百萬、業務複雜度極低的州政府資訊部門,其經驗是否足以支撐管理國家級資安機構的重任。更令人不安的是,報導提到 Gottumukkala 在申請接觸受控訪問計劃(CAP)時未能通過測謊,隨後國土安全部卻調查並停職了六名堅持要求進行測謊的資深職涯官員。這引發了社群對於「測謊儀」科學性的爭論,雖然許多人認為測謊是過時的偽科學,但更多人關注的是政府如何透過行政手段排除那些試圖執行安全規範的專業人員,進而形成一種「唯命是從」的組織文化。
此外,社群也對高層官員普遍存在的「安全豁免權」感到擔憂。有留言者分享了在企業界的類似經驗,指出執行長或高階主管往往是資安鏈條中最脆弱的一環,因為他們常以不便為由要求免除雙重驗證或安全更新。在 CISA 的案例中,Gottumukkala 獲得了使用 ChatGPT 的短期特殊權限,卻依然觸發了資安警示,這顯示即便有制度約束,掌握權力者仍可能因缺乏基本常識而造成破口。部分網友則從更宏觀的角度看待此事,認為這種混亂與無能可能源於專業人才不願進入當前的政治環境,導致留下的多是投機者或缺乏實務經驗的官僚,最終讓國家的防禦體系在面對外部威脅(如中國或俄羅斯的滲透)時顯得脆弱不堪。
延伸閱讀
相關文章