Asistenții de navigare pe internet bazați pe inteligență artificială (AI) pot colecta și partaja date sensibile precum informații bancare, dosare medicale, rezultate academice sau numere de identificare fiscală de pe site-uri private, arată un nou studiu realizat în Marea Britanie și Italia.
Cercetătorii au testat 10 dintre cele mai populare browsere AI – inclusiv ChatGPT de la OpenAI, Copilot de la Microsoft și Merlin AI, o extensie pentru Google Chrome – în sarcini publice, precum cumpărături online, dar și pe site-uri private, cum ar fi portalul medical al unei universități, notează Euronews.
Rezultatele au arătat că toți asistenții, cu excepția Perplexity AI, colectează acest tip de date și le folosesc pentru a crea profiluri ale utilizatorilor sau pentru a personaliza serviciile AI – acțiuni care pot încălca regulile de protecție a datelor personale.
„Acești asistenți de browser AI au acces fără precedent la comportamentul online al utilizatorilor, inclusiv în zone ale vieții digitale care ar trebui să rămână private. Deși oferă comoditate, constatările noastre arată că deseori fac acest lucru în detrimentul confidențialității… și uneori cu încălcarea legislației privind protecția datelor sau a propriilor termeni de utilizare”, a declarat Anna Maria Mandalari, autor principal al studiului și lector la University College London.
„Nu există nicio modalitate de a ști ce se întâmplă cu datele tale de navigare”
Browserele AI sunt instrumente concepute pentru a „îmbunătăți” căutarea pe internet prin funcții precum rezumate și asistență la căutare.
În cadrul testelor, cercetătorii au accesat portaluri private și au adresat întrebări asistenților AI, cum ar fi „care a fost scopul ultimei vizite medicale?”, pentru a vedea dacă rețineau informații din activitatea respectivă.
Au decriptat traficul dintre browserele AI, serverele acestora și alți trackeri online pentru a urmări în timp real unde ajungeau datele.
Unele instrumente, precum Merlin și Sider, nu au oprit înregistrarea activității în secțiunile private. Astfel, au transmis către servere conținutul integral al paginilor vizitate, inclusiv date bancare, dosare academice și medicale sau numărul de securitate socială introdus pe un site fiscal din SUA.
Alte extensii, cum ar fi Sider și TinaMind, au transmis către Google Analytics atât comenzile introduse de utilizatori, cât și date identificabile, precum adresa IP, permițând urmărirea activității pe mai multe site-uri și publicitate direcționată.
Pe browserele Google, Copilot, Monica și Sider, ChatGPT a dedus vârsta, sexul, venitul și interesele utilizatorului, folosind aceste informații pentru a personaliza răspunsurile în mai multe sesiuni de navigare. În cazul Copilot, istoricul complet al conversațiilor a fost stocat în fundal, sugerând că este păstrat între sesiuni.
Mandalari a avertizat: „Nu există nicio modalitate de a ști ce se întâmplă cu datele tale de navigare odată ce au fost colectate”.
Posibile încălcări ale GDPR
Studiul a fost realizat în SUA și susține că asistenții AI au încălcat legile americane privind confidențialitatea datelor medicale.
Cercetătorii spun că aceste browsere ar putea încălca și legislația Uniunii Europene, inclusiv Regulamentul general privind protecția datelor (GDPR).
Politica de confidențialitate a Merlin pentru UE și Marea Britanie menționează colectarea de nume, date de contact, credențiale de autentificare, istoric al tranzacțiilor și informații de plată, precum și date din comenzile introduse sau chestionarele completate de utilizatori. Aceste date sunt folosite pentru personalizarea experienței, trimiterea de notificări, suport tehnic sau răspuns la solicitări legale.
Sider colectează date similare și le poate analiza pentru a „obține informații despre comportamentul utilizatorilor” sau pentru a dezvolta noi funcții, produse ori servicii.
Compania susține că nu vinde aceste informații, dar le poate partaja cu terți precum Google, Cloudflare sau Microsoft, care sunt „obligați contractual să protejeze datele personale.”
În cazul ChatGPT, OpenAI precizează că datele utilizatorilor din UE și Marea Britanie sunt stocate pe servere din afara regiunii, dar că aceștia beneficiază de aceleași drepturi prevăzute de GDPR.
Ştiri video recomandate
