Проблемът с поведението при копиране и поставяне
77% от корпоративните потребители на AI копират и поставят данни в заявки за chatbot. Този модел на поведение не се ограничава до малцинство, което не отговаря на изискванията — това е доминиращият режим на взаимодействие за използване на корпоративни AI инструменти. Когато служителите се сблъскат със сложен документ, клиентски проблем или аналитична задача, естественият работен процес е: копирайте съответното съдържание, поставете го в AI инструмента, получете отговор.
Този работен процес не прави разлика между съдържание, което съдържа лични данни, и съдържание, което не ги съдържа. Действието копиране-поставяне предхожда решението за класифициране. Докато служителят е поставил съдържанието и чете отговора на AI, предаването вече е извършено. Обучението по правилата се прилага в момента на класифициране — „трябва ли да поставя това?“ — но естеството на решението за части от секундата означава, че припомнянето на политиката се влошава при когнитивно натоварване, времеви натиск и обичайно поведение.
Проучване на Cyberhaven установи, че почти 40% от качените файлове в инструменти за изкуствен интелект съдържат PII или PCI данни. Фигурата включва служители, които са напълно запознати с правилата за използване на AI: те качват файла, върху който трябва да работят, който случайно съдържа данни за клиенти. Нарушението на правилата е случайно по отношение на законна задача.
Защо обучението се проваля в мащаб
Програмите за обучение по политики са изправени пред едно и също структурно ограничение във всички контексти на защита на данните: те се опитват да променят дълбоко вкоренени поведенчески модели чрез периодични образователни интервенции. Интервалите между тренировъчните сесии (обикновено годишни) надвишават времевата константа на разпадане на поведението. Служителите, които са получили задълбочено обучение за обработка на данни с изкуствен интелект през първото тримесечие, работят основно по навик през четвъртото тримесечие.
Актуализацията на правилата за сигурност HIPAA, предложена през март 2025 г. — изискваща годишни одити на криптиране — отразява регулаторното признаване, че спазването на политиката изисква периодична проверка на техническите контроли, а не само програмите за обучение. Изискването за одит предполага, че регулаторите очакват техническият контрол да бъде основният механизъм, а обучението да бъде допълнителен механизъм.
Конкретно за изтичането на данни от AI поведението е по-трудно да се предотврати чрез обучение, отколкото стандартното поведение при работа с данни, тъй като се случва в нов контекст (инструментите за AI не са съществували, когато са се формирали повечето корпоративни навици за работа с данни) и тъй като изтичането не води до незабавни отрицателни последици, видими за служителя.
Архитектурата за прихващане на разширение на Chrome
Разширението за Chrome работи в слоя на клипборда — преди поставеното съдържание да достигне полето за въвеждане на инструмента за изкуствен интелект. Прихващането е архитектурно преди решението на потребителя да изпрати: служителят копира съдържание от своето работно приложение, превключва към раздела ChatGPT и поставя. Разширението открива PII в съдържанието на клипборда в момента на поставяне, преди съдържанието да се появи в полето за въвеждане.
Модал за предварителен преглед показва на служителя какво точно ще бъде анонимизирано: „Име на клиент „Мария Шмид“ → „[PERSON_1]“; Имейл „maria.schmidt@company.de“ → „[EMAIL_1]“. Служителят може да продължи с анонимизираната версия или да отмени поставянето, ако конкретната замяна е неприемлива.
Модалът за предварителен преглед служи за две цели. Първо, той осигурява прозрачност – служителите разбират какво прави инструментът, което изгражда подходящо доверие и намалява усещането, че контролите за поверителност са наблюдение. Второ, прави решението за анонимизиране изрично, а не мълчаливо: служителят потвърждава всяка операция за анонимизиране, създавайки психологически момент, в който решението за класифициране (това PII ли е?) се взема от човек, а не автоматизирано.
За екипа за поддръжка на клиенти на европейска компания за електронна търговия: агенти изготвят отговори с помощта на ChatGPT, поставяйки кореспонденция на клиенти, съдържаща имена, номера на поръчки и адреси. Разширението за Chrome прихваща всяко поставяне, анонимизира личните данни и агентът изпраща анонимизираната подкана. Отговорите на ChatGPT се позовават на анонимизираните токени; агентът може да прочете предложенията на AI и да ги включи в действителния отговор на клиента. GDPR Минимизирането на данните по член 5 е изпълнено; подобряването на качеството на поддръжката от помощта на AI се поддържа.
Източници:
- [Cyberhaven Research: Корпоративен AI анализ на експозицията на данни 2025] (https://www.cyberhaven.com/blog/4-2-of-workers-have-pasted-company-data-into-chatgpt)
- [eSecurity Planet 2025: Shadow AI и ChatGPT DLP анализ] (https://www.esecurityplanet.com/news/shadow-ai-chatgpt-dlp/)
- [HHS: HIPAA Актуализация на правилата за сигурност от март 2025 г. предложени изисквания] (https://www.hhs.gov/hipaa/for-professionals/security/index.html)