วิธีใช้เครื่องมือ AI อย่างปลอดภัย: คู่มือปฏิบัติสำหรับการปกป้องข้อมูลของคุณ

เครื่องมือ AI เช่น ChatGPT, Claude และ GitHub Copilot ได้กลายเป็นสิ่งจำเป็นสำหรับการทำงาน แต่ทุกครั้งที่คุณโต้ตอบกับเครื่องมือเหล่านี้ คุณอาจกำลังแชร์ข้อมูลไปยังเซิร์ฟเวอร์ของพวกเขา — ข้อมูลที่อาจถูกเก็บ ใช้สำหรับการฝึกสอน หรือแม้แต่ถูกเปิดเผยในการละเมิดความปลอดภัย

คู่มือนี้ให้ขั้นตอนปฏิบัติที่สามารถทำได้จริงสำหรับการใช้เครื่องมือ AI ในขณะที่ปกป้องข้อมูลสำคัญของคุณ

กฎทอง: สมมติว่าทุกอย่างเป็นสาธารณะ

ก่อนที่เราจะลงลึกในการตั้งค่าและเครื่องมือเฉพาะ ให้ซึมซับหลักการนี้:

ปฏิบัติต่อทุก prompt ที่คุณส่งไปยังเครื่องมือ AI ราวกับว่ามันอาจกลายเป็นสาธารณะได้

นี่หมายความว่า:

• มันอาจถูกอ่านโดยพนักงานของบริษัท AI
• มันอาจปรากฏในการรั่วไหลของข้อมูล
• มันอาจส่งผลต่อการตอบสนองต่อผู้ใช้คนอื่น
• มันอาจถูกเรียกตัวในการดำเนินคดีทางกฎหมาย

หากคุณจะไม่โพสต์มันเป็นสาธารณะ อย่าวางมันใน chatbot

ขั้นตอนที่ 1: กำหนดค่าการตั้งค่าความเป็นส่วนตัว

ChatGPT (OpenAI)

ปิดการใช้การฝึกสอนบนข้อมูลของคุณ:

1. ไปที่ Settings → Data Controls
2. ปิด "Improve the model for everyone"
3. การสนทนาของคุณจะไม่ถูกใช้เพื่อฝึกสอนโมเดลในอนาคตอีกต่อไป

ใช้ Temporary Chat:

• คลิกสลับสำหรับ "Temporary Chat" ก่อนการสนทนาที่สำคัญ
• แชทเหล่านี้ไม่ถูกบันทึกในประวัติของคุณและไม่ถูกใช้สำหรับการฝึกสอน

API vs. Consumer:

• OpenAI ไม่ฝึกสอนบนการใช้งาน API โดยค่าเริ่มต้น
• พิจารณาใช้ API โดยตรงสำหรับแอปพลิเคชันที่สำคัญ

Claude (Anthropic)

แผนชำระเงิน:

• การสนทนา Claude Pro/Team/Enterprise ไม่ถูกใช้สำหรับการฝึกสอนโดยค่าเริ่มต้น
• ตรวจสอบนโยบายการใช้ข้อมูลของ Anthropic สำหรับแผนเฉพาะของคุณ

Free tier:

• การสนทนาอาจถูกใช้สำหรับการฝึกสอน
• ใช้ฟีเจอร์ชั่วคราวของ Claude เมื่อมี

Google Gemini

ปิดการบันทึกกิจกรรม:

1. ไปที่ Gemini Apps Activity
2. ปิดการบันทึกกิจกรรม
3. ตั้งค่าการลบอัตโนมัติเป็นระยะเวลาที่สั้นที่สุด

Microsoft Copilot

ผู้ใช้ Enterprise:

• Copilot for Microsoft 365 มีการปกป้องข้อมูลที่แข็งแกร่งกว่า
• Consumer Copilot มีนโยบายข้อมูลที่เปิดกว้างกว่า
• ใช้อินสแตนซ์ Copilot ขององค์กรของคุณสำหรับข้อมูลการทำงาน

ขั้นตอนที่ 2: เข้าใจว่าอะไรที่ไม่ควรแชร์

อย่าวางใน AI chatbot เด็ดขาด:

หมวดหมู่	ตัวอย่าง	ความเสี่ยง
ข้อมูลรับรอง	รหัสผ่าน, API key, token	การประนีประนอมบัญชีโดยตรง
ข้อมูลส่วนบุคคล	เลขบัตรประชาชน, บัตรเครดิต, ประวัติการรักษา	การขโมยตัวตน, การละเมิด PDPA
ความลับของบริษัท	Source code, ข้อมูลลูกค้า, การเงิน	การสูญเสียความลับทางการค้า, การละเมิดการปฏิบัติตาม
การสื่อสารส่วนตัว	อีเมล, ข้อความ LINE	การละเมิดความเป็นส่วนตัว

สัญญาณเตือนใน prompt ของคุณ:

• สตริงใดก็ตามที่เริ่มต้นด้วย sk-, AKIA, ghp_ เป็นต้น (น่าจะเป็น API key)
• อะไรก็ตามที่มีโดเมนอีเมล @company.com
• Database connection string
• ชื่อจริงพร้อมรายละเอียดส่วนตัว
• ภาพหน้าจอที่ไม่ได้ปิดบัง

ขั้นตอนที่ 3: ปิดบังก่อนแชร์

เมื่อคุณต้องการความช่วยเหลือจาก AI กับโค้ดหรือเอกสารที่มีข้อมูลสำคัญ:

แทนที่ค่าจริงด้วย placeholder:

# แทนที่จะเป็น:
api_key = "sk-proj-abc123xyz789"
db_password = "MyR3alP@ssword!"

# ใช้:
api_key = "YOUR_OPENAI_API_KEY"
db_password = "YOUR_DATABASE_PASSWORD"

ทำให้ข้อมูลส่วนบุคคลไม่ระบุตัวตน:

# แทนที่จะเป็น:
"สมชาย ใจดีจาก Acme Corp ([email protected]) ขอ..."

# ใช้:
"User A จาก Company X ([email protected]) ขอ..."

ทำให้เป็นทั่วไปก่อนถาม:

แทนที่จะเป็น: "ทำไม AWS key AKIAIOSFODNN7EXAMPLE ของฉันไม่ทำงาน?"

ถามว่า: "สาเหตุทั่วไปที่ AWS access key อาจหยุดทำงานคืออะไร?"

ขั้นตอนที่ 4: เลือกเครื่องมือที่เหมาะสมสำหรับระดับความสำคัญ

ความสำคัญต่ำ (ข้อมูลสาธารณะ, คำถามทั่วไป):

• เครื่องมือ AI ผู้บริโภคไม่เป็นไร
• ChatGPT, Claude, Gemini free tier
• ไม่จำเป็นต้องมีการระมัดระวังพิเศษ

ความสำคัญปานกลาง (กระบวนการภายใน, โค้ดที่ไม่ใช่ความลับ):

• เปิดใช้งานการตั้งค่าความเป็นส่วนตัว
• ใช้โหมดชั่วคราว/ไม่ระบุตัวตน
• ปิดบังรายละเอียดเฉพาะ

ความสำคัญสูง (ข้อมูลรับรอง, PII, ความลับทางการค้า):

• ใช้ tier Enterprise พร้อม DPA
• พิจารณาโมเดลในเครื่อง/self-hosted
• หรืออย่าใช้ AI เลยสำหรับข้อมูลนี้

ตัวเลือก Enterprise AI:

บริการ	การปกป้องหลัก	การปฏิบัติตาม
ChatGPT Enterprise	ไม่มีการฝึกสอนบนข้อมูล, SOC 2	GDPR, HIPAA-ready
Claude Enterprise	DPA ใช้ได้, ไม่มีการฝึกสอน	SOC 2, GDPR
Azure OpenAI	ข้อมูลอยู่ใน Azure ของคุณ	การปฏิบัติตาม enterprise เต็มรูปแบบ
AWS Bedrock	VPC ของคุณ, ข้อมูลของคุณ	การปฏิบัติตาม enterprise เต็มรูปแบบ

ขั้นตอนที่ 5: จัดการข้อมูลรับรองอย่างเหมาะสม

อย่าแชร์ข้อมูลรับรองผ่านเครื่องมือ AI หรือแอปส่งข้อความทั่วไปเด็ดขาด

เมื่อคุณต้องการแชร์ข้อมูลรับรองที่สำคัญกับเพื่อนร่วมงาน:

แนวปฏิบัติที่ไม่ดี:

• วางใน LINE/WhatsApp (ข้อความถูกเก็บ)
• ใส่ในเอกสารที่แชร์ (การเข้าถึงถาวร)
• ส่งอีเมล (มักไม่เข้ารหัส, ค้นหาได้)
• วางใน AI chatbot (อาจถูกใช้สำหรับการฝึกสอน)

แนวปฏิบัติที่ดีกว่า:

• ใช้ฟีเจอร์การแชร์ของ password manager
• ใช้เครื่องมือจัดการความลับขององค์กรของคุณ
• แชร์ผ่านช่องทางที่เข้ารหัส, ทำลายตัวเอง

การใช้ลิงก์ที่ปลอดภัยและมีอายุ

บริการเช่น LOCK.PUB ช่วยให้คุณ:

1. สร้างบันทึกที่ป้องกันด้วยรหัสผ่าน
2. ตั้งเวลาหมดอายุ (1 ชั่วโมง, 24 ชั่วโมง ฯลฯ)
3. ทำให้ทำลายตัวเองหลังจากดูครั้งเดียว
4. แชร์ลิงก์ผ่านช่องทางหนึ่งและรหัสผ่านผ่านอีกช่องทางหนึ่ง

ตัวอย่างขั้นตอนการทำงาน:

• คุณต้องการแชร์รหัสผ่านฐานข้อมูลกับสมาชิกทีมใหม่
• สร้างบันทึกที่ปลอดภัยด้วยรหัสผ่าน
• ตั้งให้หมดอายุใน 1 ชั่วโมงและลบหลังจากดู
• ส่งลิงก์ผ่านอีเมล รหัสผ่านผ่านช่องทางอื่น
• ข้อมูลรับรองไม่สามารถดึงกลับมาได้อีกหลังจากที่พวกเขาดูแล้ว

นี่ปลอดภัยกว่าการใส่ข้อมูลรับรองในอีเมล ข้อความแชท หรือ AI prompt อย่างมาก

ขั้นตอนที่ 6: พิจารณาโมเดล AI ในเครื่อง

สำหรับงานที่สำคัญจริงๆ พิจารณาการรันโมเดล AI ในเครื่อง:

ตัวเลือกสำหรับ AI ในเครื่อง:

Ollama + โมเดล Open Source:

• รัน Llama, Mistral หรือโมเดลอื่นในเครื่อง
• ข้อมูลศูนย์ออกจากเครื่องของคุณ
• ดีสำหรับการตรวจสอบโค้ด, ความช่วยเหลือในการเขียน

GPT4All:

• แอปเดสก์ท็อปสำหรับการรันโมเดลในเครื่อง
• ไม่ต้องการอินเทอร์เน็ต
• เหมาะสำหรับสภาพแวดล้อมออฟไลน์

LocalAI:

• เซิร์ฟเวอร์ในเครื่องที่เข้ากันได้กับ OpenAI API
• สามารถใส่ใน workflow ที่มีอยู่

ข้อแลกเปลี่ยนของโมเดลในเครื่อง:

• มีความสามารถน้อยกว่า GPT-4 หรือ Claude
• ต้องการฮาร์ดแวร์ที่ดี (แนะนำ GPU)
• ไม่มีการเข้าถึงอินเทอร์เน็ต = ไม่มีความรู้ภายนอก
• แต่: ความเป็นส่วนตัวสมบูรณ์

ขั้นตอนที่ 7: ใช้นโยบายทีม

หากคุณจัดการทีม สร้างแนวทางที่ชัดเจน:

เครื่องมือและ tier ที่ได้รับอนุมัติ:

• บริการ AI ใดที่สามารถใช้ได้
• tier ใด (ฟรี vs. enterprise) สำหรับข้อมูลใด
• วิธีรับการอนุมัติข้อยกเว้น

การจัดหมวดหมู่ข้อมูล:

• ข้อมูลประเภทใดที่สามารถหารือกับ AI ได้
• อะไรต้องการการปิดบัง
• อะไรที่ถูกห้ามโดยสมบูรณ์

ความต้องการการฝึกอบรม:

• การฝึกอบรมการรับรู้ความปลอดภัย AI ประจำปี
• การอัปเดตเมื่อความเสี่ยงใหม่เกิดขึ้น
• ขั้นตอนการตอบสนองต่อเหตุการณ์

การตรวจสอบและการติดตาม:

• บันทึกการใช้งานเครื่องมือ AI เมื่อเป็นไปได้
• ตรวจสอบการปฏิบัติตามนโยบาย
• เรียนรู้จากเหตุการณ์

อ้างอิงด่วน: รายการตรวจสอบความปลอดภัย AI

ก่อนส่ง prompt ใดๆ ไปยังเครื่องมือ AI ถามตัวเอง:

• ฉันจะสบายใจหรือไม่ถ้า prompt นี้กลายเป็นสาธารณะ?
• ฉันได้ลบรหัสผ่าน API key และ token ทั้งหมดหรือยัง?
• ฉันได้ทำให้ข้อมูลส่วนบุคคล (ชื่อ, อีเมล, ID) ไม่ระบุตัวตนหรือยัง?
• ฉันได้ปิดบังรายละเอียดเฉพาะของบริษัทที่ไม่จำเป็นหรือยัง?
• ฉันกำลังใช้ tier ที่เหมาะสมสำหรับความสำคัญของข้อมูลนี้หรือไม่?
• ฉันได้เปิดใช้งานการตั้งค่าความเป็นส่วนตัว (opt-out การฝึกสอน, แชทชั่วคราว) หรือยัง?

หากคุณไม่สามารถเช็คช่องทั้งหมดได้ หยุดและปิดบังก่อนดำเนินการต่อ

เรียนรู้เพิ่มเติมเกี่ยวกับความเสี่ยงเฉพาะ

คู่มือนี้ครอบคลุมแนวปฏิบัติที่ดีที่สุดทั่วไป สำหรับการเจาะลึกภัยคุกคามเฉพาะ ดูโพสต์ที่เกี่ยวข้องของเรา:

• การรั่วไหลข้อมูล AI Chatbot: เกิดอะไรขึ้นเมื่อคุณวางข้อมูลสำคัญ
• ความเสี่ยงด้านความปลอดภัยของ AI Agent: ทำไมการให้สิทธิ์มากเกินไปกับ AI จึงอันตราย
• ผู้ช่วยเขียนโค้ด AI กำลังเขียนโค้ดที่ไม่ปลอดภัย

สรุป

เครื่องมือ AI มีพลังอย่างเหลือเชื่อ แต่ต้องการการใช้งานอย่างรอบคอบ ความสะดวกในการรับความช่วยเหลือทันทีจาก ChatGPT ไม่คุ้มค่ากับการละเมิดข้อมูล การละเมิดการปฏิบัติตาม หรือข้อมูลรับรองที่รั่วไหล

รายการปฏิบัติการของคุณ:

1. กำหนดค่าการตั้งค่าความเป็นส่วนตัวบนเครื่องมือ AI ทั้งหมดที่คุณใช้วันนี้
2. สร้างกฎส่วนตัว: ไม่มีข้อมูลรับรอง ไม่มี PII ไม่มีความลับใน AI prompt
3. ใช้ช่องทางที่เข้ารหัส มีอายุสำหรับการแชร์ข้อมูลสำคัญ
4. ฝึกอบรมทีมของคุณในแนวปฏิบัติที่ดีที่สุดด้านความปลอดภัย AI
5. พิจารณาโมเดลในเครื่องสำหรับงานที่สำคัญที่สุด

30 วินาทีพิเศษของการปิดบังสามารถช่วยคุณจากการตอบสนองต่อเหตุการณ์หลายเดือน

สร้างบันทึกที่ปลอดภัยและมีอายุ →