犯罪は人間の問題であり、サイバー犯罪も例外ではありません。生成AIを含むテクノロジーは、攻撃者が使うツールのひとつに過ぎません。正当な企業は、インターネットから収集した膨大なデータに基づいてAIモデルをトレーニングしています。これらのモデルは、何百万人もの実際の人々の創造的な努力に基づいてトレーニングされている一方で、意図的か否かにかかわらず、公開された個人情報を吸い上げてしまう可能性もあります。その結果、現在、一部の大手AIモデル開発者が訴訟に直面している一方で、IT業界全体が規制当局からの関心の高まりに直面しています。

脅威アクターはAI倫理をあまり気にしていませんが、正当な企業が知らないうちに同じことをしてしまうことはよくあります。たとえば、Webスクレイピング・ツールは、フィッシング・コンテンツを検知するモデルを作成するためのトレーニング・データを収集するために使用される場合があります。ただし、これらのツールは、特に画像コンテンツの場合、個人情報と匿名化された情報を区別しない場合があります。画像用のLAIONやテキスト用のThe Pileなどのオープンソース・データ・セットにも、同様の問題があります。たとえば、2022年にカリフォルニアのアーティストは、医師が撮影した個人的な医療写真が、人気のソース オープン画像合成装置であるStable Diffusionのトレーニングに使用されるLAION-5Bデータセットに入っていることを発見しました。

サイバーセキュリティーに特化したAIモデルの不用意な開発が、AIを全く使用しない場合よりも大きなリスクにつながる可能性があることは否定できません。こうした事態を防ぐために、セキュリティー・ソリューションの開発者は、特に機密情報の匿名化や保護に関して、最高水準のデータ品質とプライバシーを維持する必要があります。欧州の一般データ保護規則（GDPR）やCalifornia Consumer Privacy Act（CCPA）などの法律は、生成AIの台頭以前に制定されたものですが、倫理的なAIストラテジーを策定するための貴重なガイドラインとしての役割を果たしています。