Istraživanje: AI preglednici krše privatnost i prikupljaju osjetljive podatke

Umjetno inteligentni asistenti integrirani u internetske preglednike prate i dijele osjetljive korisničke podatke, uključujući medicinske nalaze, brojeve socijalnog osiguranja i financijske informacije, pokazalo je novo istraživanje koje su proveli znanstvenici iz Velike Britanije i Italije, koje prenosi Euronews.

Znanstvenici su testirali deset najpopularnijih AI preglednika i dodataka, među kojima su OpenAI-jev ChatGPT, Microsoftov Copilot i Merlin AI za Google Chrome, u scenarijima koji su uključivali javne zadatke (poput online kupnje) i pristup privatnim web stranicama, primjerice sveučilišnom zdravstvenom portalu.

Rezultati su pokazali da su svi asistenti, osim Perplexity AI-ja, prikupljali podatke i koristili ih za profiliranje korisnika ili personalizaciju svojih usluga, čime potencijalno krše propise o zaštiti privatnosti.

- Ovi AI asistenti imaju dosad neviđen pristup privatnim dijelovima korisničke online aktivnosti. Iako nude pogodnosti, često to čine na račun privatnosti -  izjavila je Anna Maria Mandalari, izvanredna profesorica na University College Londonu i glavna autorica studije.

Bilježenje podataka i u 'privatnom' načinu rada

AI preglednici nude napredne funkcije pretraživanja, poput automatskih sažetaka i inteligentnih preporuka. U testiranju, istraživači su ulazili u privatne portale te asistentima postavljali pitanja tipa: 'Koja je bila svrha zadnjeg liječničkog pregleda?', kako bi provjerili zadržavaju li pristup tim informacijama.

Praćenjem i dešifriranjem mrežnog prometa između AI preglednika, njihovih servera i drugih mrežnih praćenja, utvrđeno je da su neki alati, poput Merlina i Sidera, nastavili prikupljati podatke čak i u privatnim okruženjima.

To je značilo da su asistenti 'slali puni sadržaj web stranica' na svoje servere uključujući sve što se vidi na ekranu. U slučaju Merlina, prikupljeni su i bankovni podaci, akademski zapisi, medicinska dokumentacija te broj socijalnog osiguranja unesen na američkom poreznom portalu.

Drugi dodaci, poput Sidera i TinaMinda, dijelili su korisničke upite i identifikacijske podatke, uključujući IP adresu računala, s Google Analyticsom, što omogućuje praćenje aktivnosti između različitih web stranica i ciljano oglašavanje.

Na Google, Copilot, Monica i Sider preglednicima, ChatGPT je na temelju interakcije procjenjivao dob, spol, prihod i interese korisnika te koristio te podatke za personalizaciju odgovora kroz više sesija. Copilot je, primjerice, trajno pohranjivao kompletnu povijest razgovora u pozadini preglednika, što pokazuje da 'ti zapisi ostaju dostupni između sesija'.

Moguće kršenje GDPR-a

Iako je istraživanje provedeno u SAD-u, znanstvenici tvrde da su AI asistenti pritom prekršili američke zakone o zaštiti zdravstvenih informacija. Zaključuju i da je vrlo vjerojatno došlo do kršenja europskog Općeg propisa o zaštiti podataka (GDPR).

Mnogi korisnici vjerojatno nisu svjesni razmjera prikupljanja podataka, čak i ako su čitali uvjete korištenja. Primjerice, Merlinova politika privatnosti za EU i UK izričito navodi da prikuplja imena, kontaktne podatke, pristupne vjerodajnice, povijest transakcija, podatke o plaćanju, kao i sadržaj upita unesenih u sustav. Ti se podaci koriste za personalizaciju iskustva, slanje obavijesti, korisničku podršku te odgovaranje na pravne zahtjeve.

Siderova politika privatnosti predviđa sličan opseg prikupljanja podataka, uz dodatnu mogućnost analize radi 'stjecanja uvida u ponašanje korisnika' i istraživanja novih funkcija. Tvrtka tvrdi da podatke dijeli s partnerima poput Googlea, Cloudflarea ili Microsofta, koji su 'ugovorno obvezani štititi osobne podatke'.

Prema OpenAI-jevom pravilniku, podaci korisnika iz EU i UK pohranjuju se izvan regije, ali se jamče jednaka prava zaštite.Navodno.