Madhu Gottumukkala, pełniący obowiązki dyrektora amerykańskiej Agencji ds. Cyberbezpieczeństwa i Infrastruktury (CISA), doprowadził do naruszenia bezpieczeństwa danych, wgrywając wrażliwe pliki rządowe do publicznej wersji ChataGPT. Incydent, ujawniony 27 stycznia 2026 roku przez portal Politico, stawia pod znakiem zapytania kompetencje szefa instytucji odpowiedzialnej za ochronę amerykańskich sieci przed atakami wrogich mocarstw.
Według informacji potwierdzonych przez czterech urzędników Departamentu Bezpieczeństwa Wewnętrznego (DHS), wewnętrzne sensory cyberbezpieczeństwa CISA wielokrotnie w pierwszym tygodniu sierpnia 2025 roku oflagowały nieautoryzowane przesyłanie materiałów przez Gottumukkalę. Dyrektor, który jest w tej chwili najwyższym rangą urzędnikiem politycznym w agencji, miał „wymusić” na dziale IT specjalne zezwolenie na korzystanie z komercyjnego narzędzia OpenAI, mimo iż pracownicy CISA dysponują bezpiecznym, wewnętrznym systemem DHSChat. Materiały przesłane do publicznej wersji chatbota trafiają na serwery OpenAI i mogą potencjalnie zostać wykorzystane do generowania odpowiedzi dla innych użytkowników, co stanowi poważne naruszenie procedur ochrony informacji niejawnych (FOUO).
Rzeczniczka CISA, Marci McCarthy, w oficjalnym oświadczeniu broni Gottumukkali, twierdząc, iż jego dostęp do ChataGPT był „krótkoterminowy, ograniczony i objęty kontrolami DHS”, a ostatnie użycie miało miejsce w połowie lipca 2025 roku. Kłóci się to jednak z doniesieniami sygnalistów, którzy wskazują na alarmy bezpieczeństwa zarejestrowane w sierpniu. Sprawa uruchomiła wewnętrzne dochodzenie w DHS, mające na celu ocenę potencjalnych szkód dla bezpieczeństwa narodowego. Eksperci zwracają uwagę na hipokryzję sytuacji, w której szef agencji pouczającej inne instytucje o cyberhigienie, sam łamie podstawowe zasady izolacji danych w erze AI.
Skandal ten wpisuje się w szerszy kontekst problemów z zarządzaniem w CISA pod nową administracją. Gottumukkala, mianowany przez prezydenta Trumpa, był już wcześniej krytykowany za próby usunięcia niewygodnych współpracowników oraz niejasne wyniki testów wariograficznych. Ujawnienie incydentu z ChatemGPT może mieć dla niego poważne konsekwencje dyscyplinarne, od obowiązkowych szkoleń po cofnięcie poświadczenia bezpieczeństwa, co w praktyce uniemożliwiłoby mu dalsze kierowanie agencją. Przypadek ten służy również jako głośne ostrzeżenie dla sektora B2B i administracji publicznej przed ryzykiem “Shadow AI” – niekontrolowanego użycia narzędzi generatywnych przez kadrę zarządzającą.
