ハクソク

世界を動かす技術を、日本語で。

米国サイバーセキュリティ責任者が「ChatGPT」に機密政府ファイルを漏洩したと報道

116日前原文(dexerto.com)

概要

  • CISA暫定長官ChatGPT に政府機密文書をアップロード
  • 内部セキュリティ警告連邦調査 の発動
  • OpenAIへの情報流出懸念 の高まり
  • 短期間・限定的な利用許可 とCISAの説明
  • AI導入推進 と政府の規制動向

CISA暫定長官によるChatGPTへの機密文書アップロード問題

  • Cybersecurity and Infrastructure Security Agency(CISA)暫定長官 Madhu Gottumukkalaによる ChatGPT への機密文書アップロード
  • 「For Official Use Only」 と記された契約関連文書のアップロード
  • ChatGPT利用の特別許可 を申請・取得、他のDepartment of Homeland Security職員には利用制限
  • 2023年8月初旬、サイバーセキュリティ監視システムがアップロードを検知
  • DHS主導の被害評価 が実施、情報流出リスクの精査

OpenAI ChatGPT利用時の懸念と政府の反応

  • ChatGPTのパブリックバージョン はユーザー入力情報を OpenAI と共有
  • 連邦政府内部での機密情報流出リスク が懸念
  • CISA広報担当者 Marci McCarthyによる説明
    • Gottumukkala氏はDHSの管理下で短期間・限定的に利用許可
    • Sean Plankey の正式長官就任未決定のため、Gottumukkala氏が暫定長官を継続

Gottumukkala氏の過去の問題と議会対応

  • Gottumukkala氏 は以前に カウンターインテリジェンスポリグラフ(嘘発見器) に不合格
  • 高度機密情報アクセスのための条件未達
  • 議会証言 で本人が報道内容を否定

米国政府のAI政策動向

  • Donald Trump政権 によるAI導入推進
    • 2023年12月、AI規制を州レベルで制限する 大統領令 に署名
    • Pentagon による「AI-first」戦略発表、軍事分野でのAI活用拡大方針

ChatGPT利用における今後の課題

  • 公的機関におけるAI利用ガイドラインの必要性
  • 情報流出リスク管理体制の強化
  • AI技術とセキュリティのバランス

Hackerたちの意見

この政権のオペレーションセキュリティは、ずっと「バーニー・ファイフ」レベルの無能さだね。

この政権は何に関しても、まるで子供がのりを食べてるみたいな無能さだね。

それはバグじゃなくて、機能だと思うよ。

無能さを逆手に取る方法がカギだね。

ファイフを巻き込まないで。少なくとも彼の心は正しかったから。あと、彼の上司が彼を武装解除させたみたいだし。

残念ながら、どの政権でも同じことが起きてるよね。これは、必要以上に大きな政府の副作用だと思う。

そして、CCPがアメリカの全ISPの法執行ポータルを侵害して、カマラやトランプのキャンペーンを含む80%のアメリカ人の情報を盗んだとき、前の政権下ではそれが完全にオペレーションセキュリティだったんだろうね。あるいは、前の政権がペンタゴンからイラン攻撃計画の機密情報を漏らしたとき、ハッキングされたかどうかすら分からないくらいひどかった。少なくとも政治的な議論よりは技術的な議論を装うことができるよね。

人々はすでにオープンなSNSで無頓着だったから、一般の人にはこのLLM(大規模言語モデル)でさらにひどくなると思うよ。

このケースのためだけにGovCloud専用のLLMがあるはず。まじでこの政府は、任命された甥の任命された甥が率いてるみたい。チェルノブイリのミニシリーズを思い出すよ。科学部門のトップは靴工場を経営してたんだ。もう誰も自分の仕事に有能である必要がないんだね。

記事にはこう書いてあるよ。>「ChatGPTは他の国土安全保障省のスタッフにはブロックされている。ゴットゥムカラは「DHSの制御がある状態でChatGPTを使用する許可を得た」と述べていて、その使用は「短期的で制限されたものだった」と付け加えている。サイバー部門のトップとして特別な免除を受けていたのに、サイバーセキュリティチェックでフラグが立てられたんだ。だから、広く使うのは安全だとは思ってないんだろうね。すでに政府向けのものを作るためにOpenAIと契約してるみたいだよ。 https://openai.com/global-affairs/introducing-chatgpt-gov/

このケースのためだけにGovCloud専用のLLMが必要だよね。ロスアラモス研究所には、ChatGPTをおもちゃのように見せるLLMがあるって聞いたことがある。それから、セントネルっていうのもあって、これが同じものかはよくわからないけど。

これがDHSに当てはまるかはわからないけど、米国政府の国家安全保障専用のLLMは存在するよ。> 「私たちは、米国の国家安全保障顧客専用に構築されたカスタムのClaude Govモデルを導入しています。このモデルは、米国の国家安全保障の最高レベルの機関によってすでに展開されていて、これらのモデルへのアクセスは、そのような機密環境で働く人々に限られています。」 https://www.anthropic.com/news/claude-gov-models-for-u-s-nat...

大抵のファシスト政府が崩壊するのは、能力を嫌うからだって言われてる。国を運営しようと思ったら、能力が必要なのにね。

この政府は任命された甥っ子たちが率いてるって、マジで思うわ。大人の息子たちも忘れないで! https://www.newyorker.com/culture/cultural-comment/the-land-... https://knowyourmeme.com/memes/large-adult-sons

失敗息子たちの王の失敗息子たち

それは、彼がそれを使うのが面倒だっただけだよ。

Azure OpenAIを使うだけじゃ足りないの?彼らのドキュメントを読んだけど、企業データのコンプライアンスのために自己ホスト型のインスタンスもあるみたいだよ。

Politicoの元記事を読む方がいいよ。 https://www.politico.com/news/2026/01/27/cisa-madhu-gottumuk...

何の議論もなかったね。 https://news.ycombinator.com/item?id=46786672

ITAR/EARに規制されている組織、例えば航空宇宙や防衛関連では、ChatGPT.comをブロックするのが絶対必要だと思う。これがすでに実施されていなかったのは本当に驚きだよ。

「報告書によると、ゴッタムカラは他の国土安全保障省の職員がブロックされているChatGPTにアクセスするための特別免除を求めたとのこと。」

そうだね…でもITARやEARは特に高等教育ではすごく曖昧なことが多いよね。

公共の4oボットを使うなんて、正直奇妙だよね。すでに適切に分離されてコンプライアンスが取れたAzureホストのChatGPT Proがあるのに。それに、政府は特に政府用に設置された安全なシステムを使えるはずだし、機密文書も扱えるのに。彼は「非公式使用のみ」の文書でChatGPT 4oを使う許可を求めて、実際に得たみたいだね。官僚主義がそれを許可したけど、誰も介入しなかった。無能さと無知さが本当に馬鹿げてる。幸いなことに、重要なことは関わってなかったけど、「すべてが機密扱いになる」っていう官僚的な分類だった。でも、CISAのリーダーなら、しっかりしておかないといけないよ。こんな初心者みたいなことはできない。

公共の4oボットを使うなんて、チャットGPTプロレベルのボットがあるのに、なんでそんな選択をするのか不思議だよね。植え付けられた手下がこれらのツールについて何か知ってると思ってるの?

あのクッキーの設定を全部外すの、めっちゃ楽しかった!1668社のパートナー企業が私に興味津々なんだけど、そのうちの3分の1が「正当な利益」を主張してる。みんながいくつもクッキーを落とそうとしてるのに、プライバシーバジャーがブロックすべきクッキーはたった19個だなんておかしいよね。中には偽物が混じってて、ゾーンを埋め尽くしてるのかな?ああ、記事を読むのを忘れてた。

現在のアメリカ政府は、真剣でない人たちか、人道に対する犯罪を真剣にやろうとしている人たちで構成されてる。中間はほとんどないね。

大多数の政府職員は、やるべきことを知ってるキャリアプロフェッショナルであって、昨年に任命された政治家じゃないよ。

コメントの意見にちょっと驚いてる。明らかに、部門や機関のトップ、CEOとかは、普通の社員とはコンプライアンスのレベルが全然違うよね。彼らの仕事には生産性と効率が重要なんだ。ここには、マネージャーのためにセキュリティコントロールを無効にしたり、セキュリティが機能しないように何かを設定しなきゃならなかったシスアドがたくさんいると思う。ITの同僚に「こんなことしても大丈夫?」って聞かれたこともあるし、だってエグゼクティブが今すぐパワーポイントのファイルを読まなきゃいけないから。

そういう話はよくあるけど、真剣にそれが良いことだとか受け入れられることだって言ってるわけじゃないよね?エグゼクティブも普通の人と同じくらいバカだし、彼らのためにセキュリティコントロールをバイパスするのは、組織にとってさらに大きなリスクをもたらす。だって、彼らがアクセスできる情報の種類が違うから。彼らはただ責任者だから逃げられるだけ。

トランプ政権の中には、誰も自分の仕事をする資格がないから、神経に触れたんだ。腐敗が多くて、関係や忠誠心でアクセスを得てる人がたくさんいる。実力じゃなくてね。シスアドがスーパーユーザーアクセスを持ってるのと、政治的にコネのあるランダムなハッカーが特権を乱用するのとは大きな違いがあるよ。DOGE/Musk、ノエム、カシュ、ヘグセス、などなど。

シスアドは、その能力を示しているから特別な寛容を受けているんだ。彼らの余裕は自分で勝ち取ったもの。この場合、「サイバーセキュリティの責任者」は、上司への絶対的な忠誠心以外に証明されたスキルがないから、通常の審査手続きをスキップしたことが正当化されちゃったんだ。

敏感な文書のアップロードと非敏感な文書をどうやって見分けるんだろう?