Риск AI начинается с неконтролируемого использования#
В заметке Zapier есть практичная мысль: риски AI на работе часто куда менее экзотичны, чем кажется. Ближайшая проблема — не «разумная модель» и не один громкий сценарий взлома. Проблема в том, что сотрудники подключают AI к браузерам, почте, документам, рабочим процессам и сторонним инструментам быстрее, чем компания успевает увидеть и упорядочить это использование.
Источник приводит заметный разрыв в управлении: 70% сотрудников говорят, что работают без политик, инструкций или ясных правил по AI. Это важно, потому что люди обычно не ждут политики, если инструмент экономит время. Они вставляют текст в чат-бот. Подключают расширение для браузера. Загружают файл, чтобы получить краткое содержание. Пробуют агента, который может обращаться к рабочим приложениям.
Это проблема shadow AI. Модель знакома командам безопасности по shadow IT, но здесь выше скорость движения данных. Каждый неутвержденный AI-инструмент может стать точкой утечки, пробелом в compliance или неизвестным путем интеграции. Один сотрудник, который тестирует сервис, — управляемая ситуация. Сотни сотрудников с десятками инструментов — уже поверхность атаки, о которой команда безопасности может даже не знать.
Практичный ответ — не просто запрет. Zapier предлагает политики, которым люди реально смогут следовать: утвержденные инструменты, понятные причины выбора и быстрый путь для запроса новых сервисов. Последний пункт особенно важен. Если согласование занимает недели и требует слишком много подписей, пользователи обойдут процесс. Медленное управление не убирает риск, а прячет его.
Лучше работает управляемый путь, который остается удобным для обычных пользователей. Централизованный доступ, утвержденная AI-инфраструктура и понятные альтернативы снижают стимул пользоваться личными аккаунтами и случайными сервисами. Если сотрудники используют shadow AI, они пытаются решить реальную рабочую задачу. Убрать инструмент и не дать взамен рабочую возможность — часто значит загнать поведение еще глубже в тень.
Самая простая ошибка — отправить чувствительные данные#
Второй крупный риск — раскрытие данных через prompts и загрузки файлов. Хороший результат от AI часто требует контекста. В этом контексте могут быть продуктовые формулировки, заметки о клиентах, внутренние планы, код, финансовые данные, тикеты поддержки или документы, которые не должны были покидать контролируемые системы.
Для человека, который пользуется инструментом, граница не всегда очевидна. Prompt кажется временным. Загрузка файла выглядит как удобный шаг. Но как только конфиденциальная информация попадает на AI-платформу, компания может потерять прямой контроль над тем, где она хранится, кто имеет к ней доступ, как долго она сохраняется и может ли использоваться для будущего обучения модели. Точный ответ зависит от провайдера и тарифа, поэтому расплывчатые фразы поставщика нельзя считать полноценным контролем.
Zapier ссылается на анализ более чем одного миллиона prompts и 20 000 загрузок файлов в 300 генеративных AI-инструментах. По данным этого анализа, чувствительные корпоративные данные встречались более чем в 4% prompts и более чем в 20% загруженных файлов. Эти цифры не стоит автоматически переносить на любую компанию и любой инструмент, но направление ясно: без сильных ограничителей сотрудники действительно отправляют чувствительные материалы в AI-системы.
Слой контроля должен стоять до того, как данные попадут в AI-инструмент. Это может включать анонимизацию, удаление персональных данных и системы data loss prevention, которые сканируют и редактируют чувствительный контент в реальном времени. Цель простая: не полагаться только на то, что пользователь каждый раз заметит все чувствительные поля перед вставкой текста или загрузкой файла.
Выбор поставщика тоже важен. Компаниям стоит проверять сроки хранения, условия удаления данных, формулировки об обучении моделей и корпоративные настройки приватности. Фразы вроде «мы заботимся о приватности» недостаточно. Нужны конкретные вопросы: использует ли провайдер данные клиентов для обучения? Можно ли это отключить? Как долго хранятся prompts и файлы? Доступны ли журналы администраторам? Какие меры контроля есть для подключенных приложений?
Zapier также рассматривает автоматизацию как способ уменьшить рискованное копирование и вставку. Если рабочий процесс может передавать данные между утвержденными системами через управляемые соединения, у пользователей меньше причин вручную вставлять чувствительную информацию в чат-бот. Это не устраняет риски AI полностью, но сокращает число неформальных передач данных вне наблюдаемых каналов.
Аккаунты AI стали ценными учетными данными#
Источник также выделяет кражу учетных данных. Аккаунты AI могут содержать историю переписок, загруженные файлы, внутренний контекст, а иногда и доступ к подключенным приложениям. Поэтому они интересны атакующим.
Zapier отмечает, что за прошлый год в dark web рекламировались более 300 000 наборов учетных данных ChatGPT. Источник не показывает, что именно было в каждом наборе и как они были получены, поэтому вывод должен быть узким: атакующие считают аккаунты AI полезной целью, и компаниям нужно относиться к ним соответственно.
Риск шире, чем вход в чат-бот. API-ключи могут привести к расходам, утечкам данных и злоупотреблению сервисами. Утекший ключ может позволить атакующему запускать дорогие задачи, обращаться к внутренним AI-процессам или взаимодействовать с подключенными системами — в зависимости от того, какие права выданы ключу. Слабая гигиена аккаунтов вокруг AI-инструментов становится не только проблемой безопасности, но и проблемой счетов.
Базовые меры знакомы. Используйте надежные пароли. Включайте многофакторную аутентификацию. Где возможно, выбирайте централизованную идентификацию. Следите, какие AI-приложения подключаются к сети. Обновляйте операционные системы и браузеры, потому что скомпрометированные устройства — один из путей к украденным сессиям и учетным данным.
Консолидация тоже помогает. Чем больше AI-платформ используют сотрудники, тем больше аккаунтов, токенов, расширений браузера и интеграций нужно отслеживать компании. Меньшее число утвержденных платформ проще мониторить и контролировать. Это не аргумент за одного поставщика по умолчанию. Это аргумент против неконтролируемого разрастания.
Чего не стоит преувеличивать#
Этот источник — широкая статья об управлении рисками, а не отчет об инциденте. Он не доказывает, что каждый AI-инструмент небезопасен. Он не показывает, что какой-то конкретный поставщик допускает утечки данных. Также в приведенном фрагменте недостаточно деталей, чтобы полноценно оценить все семь рисков, названных в оригинальном заголовке Zapier.
Полезное прочтение здесь операционное. Работу по безопасности AI стоит начинать с мест, где обычное деловое поведение создает экспозицию: неутвержденные инструменты, чувствительные prompts, загруженные файлы, подключенные приложения, украденные учетные данные и API-ключи. Это решаемые задачи. Их можно инвентаризировать, упорядочить и снизить.
Плохой ответ — паника или показной тотальный запрет. Полный запрет легко объявить и трудно обеспечить. Лучше определить разрешенное использование, дать сотрудникам инструменты, которые решают реальные задачи, и поставить контроль вокруг данных и идентификации.
Что проверить командам дальше#
Начните с видимости. Составьте список AI-инструментов, которые сотрудники уже используют. Включите расширения браузера, помощников для встреч, инструменты для письма, чат-боты, ассистентов для кода, агентов автоматизации и сервисы на базе API. Не считайте, что записи закупок полны.
Затем классифицируйте данные. Решите, что нельзя вставлять, загружать, кратко пересказывать или обрабатывать во внешних AI-инструментах. Правило должно быть читаемым. Если сотруднику нужен юрист, чтобы понять политику, на практике она провалится.
После этого проверьте условия поставщиков. Ищите сроки хранения, использование для обучения, административные настройки, журналы аудита, интеграцию с идентификацией и удаление данных. Предпочитайте явные обязательства общим заявлениям о приватности.
Наконец, закройте доступ. Включите MFA, удалите неиспользуемые аккаунты, ротируйте засвеченные API-ключи и отслеживайте аномальное использование. AI-системы должны находиться под той же дисциплиной идентификации и безопасности, что и другие критичные бизнес-инструменты.
Главный вывод простой: безопасность AI — не отдельная вселенная. Это управление данными, защита идентичности, риск поставщиков и проектирование рабочих процессов под новым давлением. Если относиться к ней так, риск становится управляемым.