本篇文章更新時間:2026/01/30
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知。
一介資男的 LINE 社群開站囉!歡迎入群聊聊~
如果本站內容對你有幫助,歡迎使用 BFX Pay 加密貨幣 或 新台幣 贊助支持。
美國網安主管竟把敏感文件上傳 ChatGPT?一場反映 AI 時代治理缺口的風暴
編輯前言:這篇來自 US cybersecurity chief leaked sensitive government files to ChatGPT: Report 的報導,揭露了美國最高網安機構內部的一場 AI 安全風暴。作為研究科技治理的人,我認為這不只是一起烏龍事件,而是所有組織在導入 AI 前都必須正視的根本問題。
核心觀點 (Key Takeaways)
- 美國 CISA 的代理主任 Madhu Gottumukkala 被指控曾將標示「僅供官方使用」的敏感合約文件上傳至公開版 ChatGPT。
- 事件之所以被發現,是因為網安監控系統在 8 月初偵測到異常上傳行為,促使 DHS 啟動損害評估。
- 官方聲稱 Gottumukkala 已獲「短期、受控」的特別許可,但此事仍引發對其資格與判斷力的質疑,尤其在他此前也被報導「未通過反間諜測謊」的背景下更添爭議。
深入解析
報導指出,這起事件最早由 Politico 揭露,內容提到 CISA 的代理主任 Gottumukkala 曾在去年夏天把政府內部的合約文件上傳至公開版 ChatGPT。這些文件雖然不是最高機密,但屬於「For Official Use Only」,原則上仍不得流出政府封閉網路。
報導引用內部人士表示:「Public versions of ChatGPT share user inputs with OpenAI」,因此對敏感資料的上傳自然引發高度擔憂。
值得注意的是,Gottumukkala 向部門申請特別豁免權,理由是一般 DHS 職員無法使用 ChatGPT。雖然發言人表示他是「在受控條件下被允許使用」,但監控系統仍在 8 月偵測到異常上傳,足以顯示內部控管可能存在缺口。
此外,報導也提到他的任期先前已有爭議,包括被傳「未通過反間諜測謊」,雖然他在國會上否認相關說法,但整體形象已受到影響。
更大的背景是整個美國政府正在推動 AI 應用,例如川普政府強調「AI-first」軍事策略,也限制州政府對 AI 的監管。AI 正在加速滲透到政府運作,而這起事件突顯了制度的落後與風險。
- AI 導入速度快於治理:主管被迫自行尋求工具,但流程與權限並未準備好。
- 公開 AI 工具與敏感資料的界線混淆:許多人仍以一般消費者心態操作,但政府資料需要完全不同的安全級別。
- 高層行為極具象徵性風險:當最高層都未能示範正確做法,底下組織文化也難以建立標準。
筆者心得與啟發
這件事讓我再次意識到:AI 不是危險,本質上危險的是「沒有規範的使用方式」。許多政府或企業都陷入兩難,一方面迫切想使用 AI 提升效率,另一方面又擔心資料外洩、合規風險,因此不得不採取禁止政策。然而當連高層主管都必須私下申請豁免、甚至超出規範使用,就代表組織其實已經需要 AI,而治理框架卻還沒準備好。
我認為這件事件帶來三個啟示:
- 第一,任何組織在導入 AI 前,必須優先建立明確的資料分類與使用界線。什麼能上傳?什麼不能?不能只靠個人判斷。
- 第二,高風險組織(如政府、醫療、金融)應該建立「受控版、內部署」的 AI 工具,不能單靠公開版工具維持效率。
- 第三,高層主管的 AI 使用行為就是文化風向標。當領導者缺乏 AI 素養或安全意識,整個組織都會面臨更大風險。
AI 時代的治理已經不是可選項,而是當務之急。這起事件不只是美國政府的警鐘,也是所有使用 AI 的組織應該正視的共同課題。