Kebocoran Data Chatbot AI: Apa Berlaku Bila Anda Tampal Maklumat Sensitif ke ChatGPT

Pada Februari 2026, penyelidik keselamatan mendapati Chat & Ask AI, aplikasi chatbot popular, telah mendedahkan 300 juta rekod perbualan. Data yang bocor termasuk sejarah sembang lengkap—sesetengahnya mengandungi kata laluan, kunci API, dan maklumat perubatan peribadi yang pengguna tampal ke dalam chatbot.

Ini bukan insiden terpencil. Kebocoran terdahulu mendedahkan 3.7 juta rekod chatbot perkhidmatan pelanggan. Kajian 2025 mendapati 77% pekerja mengaku berkongsi rahsia syarikat dengan ChatGPT. Microsoft Copilot didapati mendedahkan purata 3 juta rekod sensitif setiap organisasi.

Kebenaran yang tidak selesa: setiap prompt yang anda hantar ke chatbot AI perlu dianggap seolah-olah ia boleh menjadi awam.

Masalah Privasi dengan Chatbot AI

Perbualan Anda Disimpan

Apabila anda hantar mesej ke ChatGPT, Claude, Gemini, atau mana-mana chatbot AI lain:

1. Prompt anda dihantar ke pelayan syarikat
2. Disimpan dalam pangkalan data mereka (melainkan anda opt-out)
3. Mungkin digunakan untuk latihan model AI masa depan
4. Mungkin disemak oleh manusia untuk keselamatan dan kualiti

Malah perbualan "dipadamkan" mungkin kekal dalam sandaran, log, atau dataset latihan.

Masalah Data Latihan

Keenam-enam syarikat AI utama (OpenAI, Anthropic, Google, Meta, Microsoft, Mistral) menggunakan perbualan pengguna untuk melatih model mereka secara lalai. Ini bermakna:

• Prompt anda menjadi sebahagian daripada pengetahuan AI
• Maklumat yang anda kongsi secara teorinya boleh muncul semula dalam respons kepada pengguna lain
• Data sensitif dalam set latihan adalah vektor untuk serangan pengekstrakan data

OpenAI menyatakan mereka tidak melatih pada penggunaan API atau data ChatGPT Enterprise, tetapi peringkat percuma dan ChatGPT Plus standard digunakan melainkan anda secara eksplisit opt-out.

Pelanggaran dan Pendedahan Terkini

2026:

• Chat & Ask AI: 300 juta perbualan bocor (Malwarebytes, Februari 2026)
• Platform perkhidmatan pelanggan AI: 3.7 juta rekod terdedah (Cybernews)

2025:

• Pekerja Samsung bocorkan reka bentuk cip melalui ChatGPT (mencetuskan larangan seluruh syarikat)
• Microsoft Copilot dedahkan 3 juta rekod sensitif setiap organisasi (purata)
• Penyelidikan Stanford mendokumentasikan risiko privasi dalam perbualan pembantu AI

Berterusan:

• Serangan suntikan prompt boleh ekstrak sejarah perbualan
• Serangan penyongsangan model cuba membina semula data latihan
• Jailbreak boleh pintasi penapis kandungan dan dedahkan prompt sistem

Apa Yang Tidak Patut Anda Tampal ke Chatbot AI

Kata Laluan dan Kelayakan

"Bolehkah anda bantu saya reset kata laluan ini: MyP@ssw0rd123?"

Walaupun anda bertanya AI cara buat kata laluan lebih kuat, anda baru sahaja hantar kata laluan semasa anda ke pelayan pihak ketiga.

Kunci API dan Token

"Kenapa ini tidak berfungsi? OPENAI_API_KEY=sk-proj-abc123..."

Pembangun kerap tampal serpihan kod yang mengandungi kunci API. Kunci-kunci itu kini tersimpan dalam sistem penyedia chatbot dan berpotensi dalam data latihan.

Maklumat Pengenalan Peribadi (PII)

• Nombor kad pengenalan
• Nombor kad kredit
• Butiran akaun bank
• Rekod perubatan
• Dokumen undang-undang
• ID kerajaan

Data Sulit Syarikat

• Kod sumber
• Pangkalan data pelanggan
• Laporan kewangan
• Rancangan strategik
• Maklumat pekerja
• Rahsia perdagangan

Komunikasi Peribadi

• Mesej peribadi WhatsApp atau Telegram yang anda minta bantuan AI untuk balas
• Thread e-mel mengandungi maklumat sensitif
• Tangkapan skrin perbualan

Cara Guna Chatbot AI Lebih Selamat

1. Laraskan Tetapan Privasi Anda

ChatGPT:

• Pergi ke Settings → Data Controls
• Matikan "Improve the model for everyone"
• Guna Temporary Chats (tidak digunakan untuk latihan)

Claude:

• Perbualan tidak digunakan untuk latihan secara lalai pada pelan berbayar
• Semak dasar penggunaan data Anthropic

Gemini:

• Pergi ke Gemini Apps Activity
• Matikan penyimpanan aktiviti

2. Gunakan Peringkat Enterprise/Business

Jika syarikat anda mengendalikan data sensitif, pertimbangkan:

• ChatGPT Enterprise: Data tidak digunakan untuk latihan, SOC 2 compliant
• Claude for Enterprise: Perjanjian perlindungan data lebih kuat
• Azure OpenAI Service: Data kekal dalam persekitaran Azure anda

Pelan ini biasanya termasuk Data Processing Addendums (DPA) yang diperlukan untuk pematuhan GDPR dan HIPAA.

3. Sunting Sebelum Tampal

Sebelum kongsi kod atau dokumen dengan AI:

• Ganti kunci API sebenar dengan placeholder: YOUR_API_KEY_HERE
• Ganti nama dengan pengecam generik: "Pengguna A", "Syarikat X"
• Buang atau tutup nombor akaun, kad pengenalan, dsb.

4. Anggap Awam Secara Lalai

Terima model mental ini: setiap prompt yang anda hantar ke chatbot AI secara teorinya boleh:

• Dibaca oleh pekerja syarikat
• Muncul dalam pelanggaran data
• Mempengaruhi respons kepada pengguna lain
• Disaman dalam prosiding undang-undang

Jika anda tidak akan menyiarkannya secara awam, jangan tampal ke chatbot.

Alternatif Selamat untuk Data Sensitif

Apabila anda perlu kongsi maklumat sensitif—kata laluan, kunci API, dokumen sulit—jangan bergantung pada chatbot AI atau aplikasi pesanan biasa.

Gunakan kaedah perkongsian selamat khusus:

1. Simpan data sensitif berasingan: Guna pengurus kata laluan untuk kelayakan, bukan sejarah sembang anda
2. Kongsi melalui pautan disulitkan yang luput: Perkhidmatan seperti LOCK.PUB membolehkan anda buat memo dilindungi kata laluan yang auto-padam selepas dilihat
3. Jaga prompt AI tetap generik: Tanya "bagaimana cara putar kunci API?" bukan "kenapa kunci ini tidak berfungsi: sk-..."

Contoh aliran kerja:

• Anda perlu kongsi kata laluan pangkalan data dengan rakan sekerja
• Daripada tampal di Slack (yang simpan mesej) atau ChatGPT (yang mungkin latih padanya), buat memo selamat di LOCK.PUB
• Memo memerlukan kata laluan, luput selepas 24 jam, dan musnah sendiri selepas dibaca
• Kongsi pautan melalui satu saluran dan kata laluan melalui saluran lain

Kesimpulan

Chatbot AI adalah alat yang sangat berguna, tetapi bukan peti besi selamat. Layani mereka seperti anda layani orang asing yang membantu: bagus untuk nasihat umum, tetapi bukan seseorang yang anda akan berikan kunci rumah.

Peraturan untuk diikuti:

1. Jangan sekali-kali tampal kata laluan, kunci API, atau kelayakan
2. Jangan sekali-kali kongsi PII (kad pengenalan, kad kredit, maklumat perubatan)
3. Sunting butiran sensitif sebelum minta bantuan dengan kod
4. Guna peringkat enterprise jika kerja anda memerlukan bantuan AI dengan data sulit
5. Aktifkan tetapan privasi yang melumpuhkan latihan pada data anda
6. Untuk perkongsian yang benar-benar sensitif, guna alat disulitkan yang dibina khas

Kemudahan AI tidak berbaloi dengan risiko pelanggaran data. Ambil langkah tambahan untuk lindungi maklumat sensitif anda.

Buat Memo Selamat yang Luput →