Một báo cáo mới từ PCMag và các nguồn tin công nghệ quốc tế vừa gióng lên hồi chuông cảnh báo về quyền riêng tư khi sử dụng các mô hình ngôn ngữ lớn (LLM). Cụ thể, hàng triệu đoạn chat (prOmpt) của người dùng với ChatGPT, Gemini hay Claude đang bị một công ty phân tích dữ liệu thu thập và bán lại cho bên thứ ba.

Lỗ hổng từ các extension trên trình duyệt

Theo báo cáo, công ty đứng sau hoạt động này là Profound, một hãng phân tích có trụ sở tại New York. Điều đáng lưu ý là Profound không lấy dữ liệu trực tiếp từ máy chủ của OpenAI hay Google (do chính sách bảo mật của các hãng này rất chặt chẽ).

Thay vào đó, dữ liệu bị rò rỉ thông qua các extension của bên thứ ba. Khi người dùng cài đặt các extension này để hỗ trợ công việc hoặc giải trí, họ vô tình cấp quyền cho phép extension "đọc" nội dung trên trình duyệt, bao gồm cả các đoạn hội thoại riêng tư với chatbot AI. Dịch vụ thu thập dữ liệu này được Profound gọi là "prOmpt Volumes".

Dữ liệu bị lộ là gì?

Dù Profound tuyên bố dữ liệu đã được “ẩn danh” trước khi bán cho các nhà tiếp thị (marketer), nhưng nội dung thực tế lại chứa đựng nhiều thông tin định danh và cực kỳ nhạy cảm. Các ví dụ về prOmpt bị thu thập bao gồm:

• Vấn đề pháp lý: "Làm thế nào để hack tài khoản người khác?", "Hậu quả của việc cư trú bất hợp pháp tại Mỹ...".
• Đời sống cá nhân & 18+: Các câu hỏi về ngoại tình, lục đục gia đình, tư vấn sức khỏe sinh sản, và các nội dung khiêu dâm.
• Thông tin công việc: Các đoạn code, email nội bộ hoặc dữ liệu kinh doanh được người dùng paste vào AI để nhờ xử lý.

Profound bán quyền truy cập vào kho dữ liệu này cho các công ty muốn nghiên cứu hành vi người dùng. Các nhà tiếp thị sử dụng nó để hiểu "người dùng thực sự đang hỏi AI điều gì" nhằm tạo ra các chiến dịch quảng cáo nhắm mục tiêu chính xác hơn.

Tuy nhiên, các chuyên gia bảo mật chỉ trích gay gắt hành động này. Việc thu thập dữ liệu ở mức độ chi tiết này mà không có sự đồng thuận rõ ràng từ người dùng là một vi phạm quyền riêng tư nghiêm trọng. Ngay cả khi đã xóa tên, ngữ cảnh trong đoạn chat vẫn có thể dễ dàng truy ra danh tính người dùng thực sự.

Anh em nên làm gì?

Để bảo vệ dữ liệu cá nhân khi sử dụng AI:

• Kiểm tra lại toàn bộ Extension: Gỡ bỏ các tiện ích không rõ nguồn gốc, đặc biệt là các extension yêu cầu quyền "Read and change all your data on the websites you visit" (Đọc và thay đổi dữ liệu trên các trang web bạn truy cập).
• Sử dụng chế độ ẩn danh hoặc các tính năng Temporary Chat (trên ChatGPT) để hạn chế lưu vết.
• Nguyên tắc "Không tin tưởng": Không bao giờ nhập thông tin định danh cá nhân (PII), mật khẩu, hoặc bí mật kinh doanh vào bất kỳ chatbot AI nào, dù là bản miễn phí hay trả phí.