Un estudi de l'IMDEA Networks Institute revela que ChatGPT, Claude, Grok i Perplexity incorporen rastrejadors de tercers que comprometen la privadesa dels usuaris. La investigació assenyala que aquestes eines d'intel·ligència artificial permeten a empreses com Google o Meta accedir a dades sensibles de les converses.
Els rastrejadors extreuen metadades de les consultes
L'anàlisi tècnica va detectar la presència sistemàtica de píxels de seguiment en les versions gratuïtes d'aquests serveis. Google Analytics recopila el títol de la conversa i la URL quan els usuaris interactuen amb ChatGPT sense protecció addicional. Aquesta pràctica trasllada informació contextual a servidors externs aliens al proveïdor principal.
La situació es repeteix en altres plataformes líders del sector. Els píxels de Meta i TikTok operen en Grok per recaptar adreces web i títols de xat. En el cas de Perplexity i Claude, aquests mecanismes comparteixen cookies acceptades, adreces de converses i metadats tècnics amb les companyies propietàries de les xarxes socials.
Perplexity presenta una vulnerabilitat afegida per a aquells que no s'identifiquen a la plataforma. Les converses mantingudes per usuaris que no han iniciat sessió romanen accessibles públicament. Aquesta configuració exposa el contingut de les consultes a qualsevol persona que accedeixi a l'enllaç o cerqui fragments del text indexat.
Els investigadors alerten sobre la inferència de dades sensibles
Narseo Vallina i Jorge García Herrero, investigadors adscrits a l'IMDEA Networks o a la Universitat Carlos III de Madrid, subratllen la gravetat d'aquesta exposició. Els xats amb assistents virtuals solen contenir informació íntima perquè els usuaris perceben aquestes eines com a espais de confiança absoluta.
"Consells depressió, deduccions fiscals agressives, m'han posat les banyes, aprimar-me encara més, tos rara... No cal ser Sherlock Holmes per inferir el contingut de la conversa" - Jorge García Herrero, investigador de l'IMDEA Networks Institute
El lletrat precisa que l'estudi acredita l'accés potencial de tercers com Google o Meta, però no demostra el seu ús efectiu per a perfilament comercial. No obstant això, considera que permetre l'entrada d'agents aliens al tractament de dades vigent constitueix una infracció greu per als proveïdors d'intel·ligència artificial.