نشت اطلاعات چت‌بات‌های هوش مصنوعی: وقتی اطلاعات حساس را در ChatGPT قرار می‌دهید چه اتفاقی می‌افتد

در فوریه 2026، محققان امنیتی کشف کردند که Chat & Ask AI، یک اپلیکیشن چت‌بات محبوب، 300 میلیون رکورد مکالمه را فاش کرده است. داده‌های نشت شده شامل تاریخچه کامل چت بود—برخی حاوی رمزهای عبور، کلیدهای API و اطلاعات پزشکی خصوصی که کاربران در چت‌بات جای‌گذاری کرده بودند.

این یک رویداد منفرد نبود. نشت‌های قبلی 3.7 میلیون رکورد چت‌بات خدمات مشتری را فاش کرد. یک مطالعه در سال 2025 نشان داد که 77 درصد از کارمندان اعتراف می‌کنند که اسرار شرکت را با ChatGPT به اشتراک گذاشته‌اند. Microsoft Copilot به طور متوسط 3 میلیون رکورد حساس در هر سازمان را فاش کرد.

حقیقت ناراحت‌کننده: هر درخواستی که به چت‌بات هوش مصنوعی می‌فرستید باید طوری در نظر گرفته شود که انگار می‌تواند عمومی شود.

مشکل حریم خصوصی با چت‌بات‌های هوش مصنوعی

مکالمات شما ذخیره می‌شوند

وقتی پیامی به ChatGPT، Claude، Gemini یا هر چت‌بات هوش مصنوعی دیگری می‌فرستید:

1. درخواست شما منتقل می‌شود به سرورهای شرکت
2. ذخیره می‌شود در پایگاه داده آن‌ها (مگر اینکه انصراف داده باشید)
3. ممکن است برای آموزش استفاده شود مدل‌های هوش مصنوعی آینده
4. ممکن است توسط انسان‌ها بررسی شود برای ایمنی و کیفیت

حتی مکالمات "حذف شده" ممکن است در پشتیبان‌ها، لاگ‌ها یا مجموعه داده‌های آموزشی باقی بمانند.

مشکل داده‌های آموزشی

هر شش شرکت اصلی هوش مصنوعی (OpenAI، Anthropic، Google، Meta، Microsoft، Mistral) به طور پیش‌فرض از مکالمات کاربران برای آموزش مدل‌های خود استفاده می‌کنند. این به این معنی است:

• درخواست‌های شما بخشی از دانش هوش مصنوعی می‌شوند
• اطلاعاتی که به اشتراک می‌گذارید ممکن است نظریاً در پاسخ‌های به سایر کاربران ظاهر شوند
• داده‌های حساس در مجموعه آموزشی یک بردار برای حملات استخراج داده است

OpenAI اعلام کرده است که روی استفاده از API یا داده‌های ChatGPT Enterprise آموزش نمی‌دهد، اما سطح رایگان و ChatGPT Plus استاندارد قابل استفاده است مگر اینکه صراحتاً انصراف دهید.

نقض‌ها و افشاگری‌های اخیر

2026:

• Chat & Ask AI: 300 میلیون مکالمه نشت کرد (Malwarebytes، فوریه 2026)
• پلتفرم خدمات مشتری هوش مصنوعی: 3.7 میلیون رکورد فاش شد (Cybernews)

2025:

• کارمندان سامسونگ طراحی‌های تراشه را از طریق ChatGPT نشت دادند (منجر به ممنوعیت در کل شرکت شد)
• Microsoft Copilot به طور متوسط 3 میلیون رکورد حساس در هر سازمان را فاش کرد
• تحقیقات استنفورد خطرات حریم خصوصی در مکالمات دستیار هوش مصنوعی را مستند کرد

در حال انجام:

• حملات تزریق درخواست می‌توانند تاریخچه مکالمه را استخراج کنند
• حملات وارونگی مدل تلاش می‌کنند داده‌های آموزشی را بازسازی کنند
• جیلبریک‌ها می‌توانند فیلترهای محتوا را دور بزنند و درخواست‌های سیستم را فاش کنند

چیزهایی که هرگز نباید در چت‌بات هوش مصنوعی قرار دهید

رمزهای عبور و اعتبارنامه‌ها

"می‌توانید به من کمک کنید این رمز عبور را بازنشانی کنم: MyP@ssw0rd123؟"

حتی اگر از هوش مصنوعی می‌پرسید چگونه رمز عبور قوی‌تری ایجاد کنید، شما تازه رمز عبور فعلی خود را به سرور شخص ثالث فرستاده‌اید.

کلیدهای API و توکن‌ها

"چرا این کار نمی‌کند؟ OPENAI_API_KEY=sk-proj-abc123..."

توسعه‌دهندگان مکرراً قطعه کدهای حاوی کلیدهای API را جای‌گذاری می‌کنند. آن کلیدها اکنون در سیستم‌های ارائه‌دهنده چت‌بات و احتمالاً در داده‌های آموزشی ذخیره شده‌اند.

اطلاعات قابل شناسایی شخصی (PII)

• شماره ملی
• شماره کارت اعتباری
• جزئیات حساب بانکی
• سوابق پزشکی
• اسناد حقوقی
• شناسه‌های دولتی

داده‌های محرمانه شرکت

• کد منبع
• پایگاه داده مشتریان
• گزارش‌های مالی
• برنامه‌های استراتژیک
• اطلاعات کارکنان
• اسرار تجاری

ارتباطات خصوصی

• پیام‌های خصوصی Telegram یا WhatsApp که می‌خواهید هوش مصنوعی به شما در پاسخ کمک کند
• رشته ایمیل‌های حاوی اطلاعات حساس
• اسکرین‌شات‌های مکالمات

چگونه چت‌بات‌های هوش مصنوعی را ایمن‌تر استفاده کنیم

1. تنظیمات حریم خصوصی خود را تنظیم کنید

ChatGPT:

• به تنظیمات → Data Controls بروید
• "Improve the model for everyone" را خاموش کنید
• از Temporary Chats استفاده کنید (برای آموزش استفاده نمی‌شود)

Claude:

• مکالمات به طور پیش‌فرض در طرح‌های پولی برای آموزش استفاده نمی‌شوند
• سیاست استفاده از داده‌های Anthropic را بررسی کنید

Gemini:

• به Gemini Apps Activity بروید
• ذخیره فعالیت را خاموش کنید

2. از سطوح Enterprise/Business استفاده کنید

اگر شرکت شما داده‌های حساس را مدیریت می‌کند، در نظر بگیرید:

• ChatGPT Enterprise: داده‌ها برای آموزش استفاده نمی‌شوند، مطابق SOC 2
• Claude for Enterprise: توافق‌نامه‌های قوی‌تر حفاظت از داده
• Azure OpenAI Service: داده‌ها در محیط Azure شما باقی می‌مانند

این طرح‌ها معمولاً شامل Data Processing Addendums (DPA) مورد نیاز برای GDPR و HIPAA هستند.

3. قبل از جای‌گذاری ویرایش کنید

قبل از به اشتراک‌گذاری کد یا اسناد با هوش مصنوعی:

• کلیدهای API واقعی را با جای‌گزین‌ها جایگزین کنید: YOUR_API_KEY_HERE
• نام‌ها را با شناسه‌های عمومی جایگزین کنید: "کاربر الف"، "شرکت ایکس"
• شماره حساب‌ها، شماره ملی و غیره را حذف یا پوشانده کنید

4. به طور پیش‌فرض عمومی فرض کنید

این مدل ذهنی را بپذیرید: هر درخواستی که به چت‌بات هوش مصنوعی می‌فرستید نظریاً می‌تواند:

• توسط کارمندان شرکت خوانده شود
• در نقض داده ظاهر شود
• پاسخ‌ها به سایر کاربران را تحت تأثیر قرار دهد
• در روند قانونی احضار شود

اگر آن را عمومی منتشر نمی‌کنید، در چت‌بات قرار ندهید.

جایگزین امن برای داده‌های حساس

وقتی نیاز به اشتراک‌گذاری اطلاعات حساس دارید—رمزهای عبور، کلیدهای API، اسناد محرمانه—به چت‌بات‌های هوش مصنوعی یا حتی اپلیکیشن‌های پیام‌رسانی معمولی تکیه نکنید.

از یک روش اشتراک‌گذاری امن اختصاصی استفاده کنید:

1. داده‌های حساس را جداگانه ذخیره کنید: از یک مدیر رمز عبور برای اعتبارنامه‌ها استفاده کنید، نه تاریخچه چت خود
2. از طریق لینک‌های رمزگذاری شده منقضی شونده اشتراک‌گذاری کنید: سرویس‌هایی مانند LOCK.PUB به شما اجازه می‌دهند یادداشت‌های محافظت شده با رمز عبور ایجاد کنید که پس از مشاهده خودکار حذف می‌شوند
3. درخواست‌های هوش مصنوعی را عمومی نگه دارید: بپرسید "چگونه کلیدهای API را چرخش دهم؟" نه "چرا این کلید کار نمی‌کند: sk-..."

مثال گردش کار:

• شما باید یک رمز عبور پایگاه داده را با یک همکار به اشتراک بگذارید
• به جای جای‌گذاری در Slack (که پیام‌ها را ذخیره می‌کند) یا ChatGPT (که ممکن است روی آن آموزش ببیند)، یک یادداشت امن در LOCK.PUB ایجاد کنید
• یادداشت نیاز به رمز عبور دارد، پس از 24 ساعت منقضی می‌شود و پس از خواندن خودتخریب می‌شود
• لینک را از طریق یک کانال و رمز عبور را از طریق کانال دیگری به اشتراک بگذارید

نتیجه نهایی

چت‌بات‌های هوش مصنوعی ابزارهای فوق‌العاده مفیدی هستند، اما خزانه‌های امن نیستند. با آن‌ها رفتار کنید مانند یک غریبه مفید: عالی برای مشاوره عمومی، اما نه کسی که کلیدهای خانه خود را به او بدهید.

قوانینی که باید رعایت شوند:

1. هرگز رمزهای عبور، کلیدهای API یا اعتبارنامه‌ها را جای‌گذاری نکنید
2. هرگز PII (شماره ملی، کارت‌های اعتباری، اطلاعات پزشکی) را به اشتراک نگذارید
3. قبل از درخواست کمک با کد، جزئیات حساس را ویرایش کنید
4. اگر کار شما نیاز به کمک هوش مصنوعی با داده‌های محرمانه دارد، از سطوح enterprise استفاده کنید
5. تنظیمات حریم خصوصی را فعال کنید که آموزش روی داده‌های شما را غیرفعال می‌کند
6. برای اشتراک‌گذاری واقعاً حساس، از ابزارهای رمزگذاری شده ساخته شده برای هدف استفاده کنید

راحتی هوش مصنوعی به اندازه خطر نقض داده ارزش ندارد. قدم اضافی برای محافظت از اطلاعات حساس خود بردارید.

یک یادداشت امن و منقضی شونده ایجاد کنید →