Компанії, які використовують штучний інтелект без належного нагляду, піддають себе непотрібному ризику, попереджають аналітики кібербезпеки. Нове дослідження виявило тривожну тенденцію: понад 40% користувачів діляться конфіденційною інформацією з AI-інструментами, не розуміючи потенційних наслідків.
За даними Cybernews, понад 40% респондентів опитування зізналися, що передають чутливу інформацію — дані клієнтів, фінансові звіти та внутрішні документи компаній — штучному інтелекту без відома роботодавця. Нещодавно команда PromptArmor, консалтингової фірми з кібербезпеки, перевірила 22 популярні AI-додатки, зокрема Claude, Perplexity та Vercel V0. Вони виявили у відкритому доступі надзвичайно чутливі корпоративні дані, завантажені до AI-чатботів: токени AWS, судові документи, звіт Oracle про зарплати з позначкою «конфіденційно» та внутрішню інвестиційну записку венчурної фірми.
У звіті, наданому PCMag, дослідники PromptArmor зазначили, що будь-хто може отримати доступ до таких даних, ввівши в пошукову систему: «site:claude.ai + internal use only». Я перевірив цей запит і побачив кілька результатів зі звіту, а також інші цікаві знахідки.
Проблема не лише в Claude
Витік даних не обмежується Claude. Ваші спільні розмови в Grok можуть з’явитися в результатах пошуку Google. Meta AI також робить публічними ваші розмови (хоча компанія нещодавно додала попереджувальне повідомлення перед тим, як користувачі діляться чатами). У серпні OpenAI прибрала розмови ChatGPT з результатів пошуку Google, заявивши, що індексування діалогів користувачів було «експериментом», який завершився.
Найцікавіший аспект опитування Cybernews — більшість людей (89%) визнали, що знають про значні ризики AI-інструментів. Витік даних називали найчастішою наслідком. Як зазначено у звіті: «Це означає, що співробітники використовують несанкціоновані AI-інструменти на роботі та діляться конфіденційною інформацією, хоча знають, що це може призвести до витоку даних».
Якщо ризик витоку даних недостатньо переконливий, щоб подумати двічі перед використанням неавторизованих AI-інструментів на роботі, є й інші питання — комплаєнс, правові та регуляторні. Давайте детальніше розглянемо ризики безпеки та конфіденційності, пов’язані з використанням AI на роботі, та що компанії можуть зробити, щоб навчити співробітників безпечному використанню штучного інтелекту.
Що не так із використанням AI на роботі?
Коли співробітники використовують AI-інструменти, які не пройшли належне тестування IT-відділом компанії, вони наражають компанію на цілий спектр ризиків. Несанкціоноване використання AI називають причиною збільшення фінансових втрат від витоків даних на $670 000, згідно зі звітом IBM за 2025 рік. Ми склали неповний перелік додаткових факторів, які роботодавці та команди корпоративної безпеки повинні враховувати під час розробки правил використання AI на роботі:
Великі мовні моделі вразливі — і хакери про це знають
Дослідники безпеки регулярно тестують популярні чатботи, тому не дивно, що вже виявили вразливості. У серпні OpenAI виправила вразливість, яка могла дозволити хакерам змусити ChatGPT розкривати електронні адреси користувачів. Того ж місяця на конференції Black Hat з кібербезпеки дослідники показали, як хакери можуть подавати шкідливі запити до Google Gemini через запрошення Google Calendar.
Google виправила цю вразливість ще до початку конференції, проте подібна проблема існує в інших чатботах, включно з Copilot та Einstein. Microsoft усунула цю проблему в серпні, а Salesforce — на початку вересня. Усі ці реакції надійшли через місяці після того, як дослідники повідомили про вразливість у червні. Варто також зазначити, що прогалини в безпеці виявили та повідомили про них дослідники, а не хакери. Останні напевно знайшли способи отримувати цінні дані з AI-чатботів, але не діляться цією інформацією публічно.
AI-галюцинації коштують компаніям реальних грошей
AI-галюцинації — це реальність, і вони коштують компаніям великих грошей та репутаційних втрат. В одному випадку адвоката оштрафували та зробили йому догану суддя за посилання на понад 20 вигаданих судових справ у юридичному документі. Юрист стверджував, що пропустив свій попередньо написаний документ через AI-інструмент, щоб «покращити його», а потім подав документ, не прочитавши.
У вересневому звіті NBC зазначено, що хоча аутсорсингових працівників у багатьох компаніях замінили на AI, люди-фрілансери знаходять роботу з виправлення помилок, згенерованих штучним інтелектом. В іншому недавньому прикладі глобальна фінансова консалтингова фірма Deloitte повернула австралійському уряду шестизначну суму після подання згенерованого AI звіту, який містив кілька фальшивих академічних статей та цитат, а також інші фактичні помилки.
«Робоча халтура»: коли AI-контент виглядає бездоганно, але марнує час
Команда Стенфордської лабораторії соціальних медіа виявила, що 40% американських офісних працівників на повну ставку отримували «робочу халтуру» (workslop). Цей термін означає AI-згенерований контент, який «маскується під якісну роботу, але не має змісту для реального просування завдання». Коротко кажучи, «робоча халтура» — проблема, бо вона марна. Коли співробітники витрачають оплачувані години на виправлення коду, переписування або перевірку фактів в AI-згенерованих документах, нотатках та показниках продажів, це нівелює початковий приріст продуктивності від AI. Втрата продуктивності часто означає втрату прибутку.
Іноді «робоча халтура» — це відносно безневинний лист із характерним тире; інколи це використання AI у ситуаціях, де його не варто застосовувати, що відкриває компанії для проблем із комплаєнсом та регулюванням, а також фінансових та юридичних наслідків.
Браузерне розширення Claude робить скріншоти під час роботи
Якщо ви використовуєте браузерні розширення з AI або AI-браузери, ви також відкриваєте двері для інших проблем безпеки, як-от атаки через промпт-інʼєкції або таємний збір даних з допомогою AI. Приклад — браузерне розширення Claude AI для Chrome, яке робить скріншоти активної вкладки браузера під час використання, автоматично руйнуючи будь-які уявлення про конфіденційність на робочому місці. Інструмент не отримує доступ до сайтів ризикованих категорій, включно з фінансовими, що добре. Це ускладнює випадкову передачу банківських даних до чатбота, але це надзвичайно погано для збереження приватних даних компанії та клієнтів.
Варто зазначити, що браузерне розширення Claude — експериментальна функція, наразі доступна лише обраним передплатникам тарифу Max.
Деякі AI-інструменти збирають приголомшливо детальні дані користувачів
Дослідження AI-чатботів, проведене на початку року, показало, який з них збирає найбільше даних із ваших пристроїв, і, несподівано, це виявився не Deepseek, а помічник від компанії Google — Gemini. Втім, Google ніколи не мала репутацію компанії, яка дбає про конфіденційність користувачів.
Рекомендації для захисту корпоративних даних
Експерти радять компаніям негайно вжити заходів для мінімізації ризиків, пов’язаних з використанням AI-технологій:
Розробка корпоративної політики – створіть чіткі правила використання AI-інструментів співробітниками. Визначте, які типи інформації можна передавати AI-системам, а які – категорично заборонено.
Навчання персоналу – проведіть освітні програми для співробітників про ризики неконтрольованого використання штучного інтелекту. Багато витоків відбувається через незнання, а не злий умисел.
Технічні заходи захисту – впровадьте системи моніторингу та контролю, які відстежуватимуть передачу конфіденційних даних зовнішнім сервісам. Використовуйте DLP-рішення (Data Loss Prevention) для автоматичного виявлення спроб передачі чутливої інформації.
Альтернативні рішення для безпечного використання AI
Замість повної відмови від AI-технологій, компанії можуть обрати більш безпечні альтернативи:
- Використання приватних AI-рішень з гарантіями конфіденційності
- Впровадження локальних AI-систем без передачі даних третім особам
- Анонімізація даних перед передачею AI-сервісам
- Регулярний аудит використання AI-інструментів у компанії
Важливо пам’ятати, що штучний інтелект може значно підвищити продуктивність та ефективність бізнес-процесів, але тільки за умови правильного та безпечного використання. Компанії, які зможуть знайти баланс між інноваціями та безпекою, матимуть конкурентну перевагу на ринку.
Ситуація з витоком корпоративних документів через AI-платформи підкреслює необхідність комплексного підходу до кібербезпеки в епоху штучного інтелекту. Організації повинні адаптувати свої політики безпеки до нових реалій та забезпечити належний контроль над використанням AI-технологій.
