Szef cyberobrony USA wrzucał poufne dane do ChatGPT. Alarm w rządzie

Latem ubiegłego roku w amerykańskich strukturach odpowiedzialnych za cyberbezpieczeństwo doszło do poważnego incydentu. Jak ujawniło Politico, pełniący obowiązki dyrektora Agencji ds. Cyberbezpieczeństwa i Infrastruktury Bezpieczeństwa, Madhu Gottumukkala, miał przesłać poufne dokumenty do publicznej wersji ChatGPT. Sprawa wyszła na jaw dopiero po wewnętrznym dochodzeniu, wywołując falę ostrzeżeń w całym Departamencie Bezpieczeństwa Krajowego.

Według czterech urzędników DHS zaznajomionych ze sprawą, przesłane materiały dotyczyły kontraktów CISA i były oznaczone jako „wyłącznie do użytku służbowego”. Po wykryciu incydentu w agencji uruchomiono procedury mające zapobiec dalszemu ujawnianiu danych z federalnych sieci. Wydano szereg ostrzeżeń dotyczących korzystania z narzędzi opartych na sztucznej inteligencji, a temat szybko trafił na najwyższe szczeble administracji.

Choć dokumenty nie miały klauzuli tajności, w praktyce obejmowały informacje wrażliwe, których ujawnienie mogłoby naruszyć prywatność osób fizycznych lub zakłócić działanie kluczowych programów federalnych.

Dlaczego ChatGPT znalazł się w CISA

Dostęp do publicznego ChatGPT jest w DHS domyślnie blokowany. Pracownicy resortu korzystają z wewnętrznych narzędzi, takich jak DHSChat, zaprojektowanych w taki sposób, by dane wprowadzane do systemu nie opuszczały infrastruktury rządowej. Gottumukkala uzyskał jednak specjalne, tymczasowe pozwolenie na korzystanie z rozwiązania OpenAI krótko po objęciu stanowiska.

Do dziś nie wyjaśniono jednoznacznie, dlaczego zdecydował się na użycie publicznego chatbota. Jeden z urzędników cytowanych przez Politico twierdził, że w agencji panowało przekonanie, iż p.o. dyrektora sam zabiegał o dostęp do ChatGPT, a następnie wykorzystał go w sposób niezgodny z praktyką obowiązującą w DHS.

Ryzyko globalnego zasięgu danych

Największe obawy wzbudza fakt, że informacje wprowadzone do publicznego systemu mogły potencjalnie posłużyć do generowania odpowiedzi dla setek milionów użytkowników ChatGPT na całym świecie. Eksperci ds. cyberbezpieczeństwa podkreślają, że dane przesłane do otwartych narzędzi AI mogą być przechowywane, analizowane lub wykorzystane w procesach treningowych modeli.

OpenAI nie skomentowało sprawy, jednak branżowe serwisy cytują specjalistów ostrzegających przed realnym ryzykiem utraty kontroli nad danymi w przypadku używania publicznych chatbotów do pracy z materiałami rządowymi.

Dochodzenie i możliwe konsekwencje

Departament Bezpieczeństwa Krajowego przeanalizował incydent pod kątem zagrożeń dla bezpieczeństwa narodowego. Według źródeł Politico, skutkiem dochodzenia mogą być działania administracyjne, obowiązkowe szkolenia, a w skrajnym przypadku nawet zawieszenie lub cofnięcie poświadczeń bezpieczeństwa.

Rzeczniczka CISA Marci McCarthy nie potwierdziła, czy śledztwo zostało zakończone. Podkreślała natomiast, że dostęp Gottumukkali do ChatGPT był krótkotrwały i objęty nadzorem DHS. Zaznaczyła również, że korzystanie z narzędzi sztucznej inteligencji wpisuje się w szerszą strategię wdrażania AI w administracji federalnej, zgodną z wcześniejszymi wytycznymi Białego Domu.

Szef cyberobrony pod lupą

Incydent z ChatGPT to tylko jeden z problemów, z jakimi mierzy się Gottumukkala. Jego kadencja od początku budzi kontrowersje, zarówno wśród polityków, jak i pracowników agencji. Po objęciu stanowiska znalazł się w centrum sporów personalnych, masowych przeniesień pracowników oraz redukcji zatrudnienia, które zmniejszyły liczbę etatów w CISA o około tysiąc osób.

Krytycy z obu partii politycznych kwestionują jego kompetencje i sposób zarządzania agencją odpowiedzialną za ochronę infrastruktury krytycznej oraz bezpieczeństwo wyborów. Media branżowe donoszą o narastającym chaosie kadrowym i obawach, że doświadczeni specjaliści techniczni opuszczają CISA w kluczowym momencie. Pojawiają się również sugestie, że obecny szef agencji pozbywa się osób sobie nieprzychylnych.

Pracownicy powiedzieli Politico, że kadencja Gottumukkali była „koszmarem” – potencjalnie rujnując kariery wieloletnich pracowników CISA.

Kongres pyta o bezpieczeństwo wyborów

W styczniu Gottumukkala stanął przed Komisją Bezpieczeństwa Wewnętrznego Izby Reprezentantów. Ustawodawcy ostro krytykowali masowe zwolnienia i brak jasnych prognoz dotyczących zagrożeń cybernetycznych przed wyborami w 2026 roku. Szczególne poruszenie wywołały odpowiedzi p.o. dyrektora, który nie był w stanie wskazać skali spodziewanych ataków ze strony zagranicznych przeciwników.

W trakcie przesłuchania wrócił także temat testu wariograficznego, którego Gottumukkala nie zaliczył przy próbie uzyskania dostępu do wyjątkowo wrażliwych informacji wywiadowczych. Choć sam wynik testu nie przesądza o winie, jego reakcje i późniejsze działania wobec podwładnych tylko zaostrzyły napięcia wewnątrz agencji.