तीन इंजीनियरिंग टीमें, तीन घटनाएं, एक महीना
अप्रैल 2023 में, सैमसंग सेमीकंडक्टर ने तीन अलग-अलग घटनाओं का खुलासा किया जिसमें कर्मचारियों ने एक ही महीने के भीतर चैटजीपीटी को स्वामित्व डेटा भेजा।
ये घटनाएं एक-दूसरे से संबंधित नहीं थीं। इनमें विभिन्न भूमिकाओं में विभिन्न कर्मचारी शामिल थे, जो विभिन्न कार्यों का पीछा कर रहे थे, विभिन्न दिनों में। उनके पास केवल दो विशेषताएं थीं: प्रत्येक कर्मचारी ने एक वैध कार्य लक्ष्य को पूरा करने के लिए चैटजीपीटी का उपयोग किया, और प्रत्येक ने अनजाने में डेटा भेजा जो सैमसंग ने ओपनएआई के बुनियादी ढांचे के साथ साझा करने का इरादा नहीं किया था।
घटना 1: एक सॉफ़्टवेयर इंजीनियर सेमीकंडक्टर उपकरण से संबंधित कोड को डिबग कर रहा था। जटिल सिस्टम को डिबग करना एक सामान्य एआई टूल उपयोग मामला है - एक एआई मॉडल को कोड प्रदान करना और उससे अप्रत्याशित व्यवहार के स्रोत की पहचान करने के लिए कहना। इंजीनियर ने सैमसंग के स्वामित्व सेमीकंडक्टर उपकरण प्रणालियों से स्रोत कोड चैटजीपीटी में चिपकाया। कोड में सैमसंग की निर्माण प्रक्रियाओं से संबंधित बौद्धिक संपदा थी।
घटना 2: एक कर्मचारी एक बैठक का सारांश तैयार कर रहा था। एआई-सहायता प्राप्त नोट-लेखन और बैठक सारांशकरण उद्योगों में मानक कार्यप्रवाह उपकरण बन गए हैं। कर्मचारी ने सारांश के लिए चैटजीपीटी को बैठक के नोट्स प्रस्तुत किए। उन बैठक के नोट्स में गोपनीय आंतरिक चर्चाएं शामिल थीं - व्यापार रणनीति, तकनीकी रोडमैप, और अन्य जानकारी जो सैमसंग ने गैर-जनता समझी।
घटना 3: एक तीसरे कर्मचारी ने डेटाबेस क्वेरी के लिए अनुकूलन सुझाव मांगे। डेटाबेस अनुकूलन एक तकनीकी रूप से मांगलिक कार्य है जहां एआई सहायता वास्तविक मूल्य प्रदान करती है। कर्मचारी ने चैटजीपीटी को डेटाबेस संरचना और क्वेरी लॉजिक प्रदान किया। क्वेरी लॉजिक में स्वामित्व डेटा संरचनाओं और व्यापार लॉजिक के संदर्भ शामिल थे।
कर्मचारियों ने ऐसा क्यों किया
सैमसंग के तीनों कर्मचारियों ने अपने पेशेवर मानकों के अनुसार गैर-जिम्मेदाराना तरीके से कार्य नहीं किया। वे एआई टूल का उपयोग उन कार्यों के लिए कर रहे थे जिनके लिए एआई टूल को सहायता प्रदान करने के लिए डिज़ाइन किया गया है: कोड डिबगिंग, पाठ सारांशण, तकनीकी अनुकूलन।
हर मामले में गायब तत्व तकनीकी घर्षण था। कोई प्रणाली सबमिशन को ओपनएआई के सर्वरों तक पहुंचने से पहले रोक नहीं पाई। कोई नियंत्रण स्वामित्व कोड पहचानकर्ताओं को कॉर्पोरेट नेटवर्क छोड़ने से पहले चिह्नित नहीं किया। कोई आर्किटेक्चरल परत कर्मचारी की वैध कार्य आवश्यकता और एआई प्रदाता के बुनियादी ढांचे के बीच नहीं थी।
कर्मचारी तर्कसंगत थे। एआई टूल ने वैध कार्य कार्यों में वास्तविक सहायता प्रदान की। नीति चेतावनी मौजूद थी लेकिन कोई तकनीकी बाधा नहीं डाली। अनुपालन की अनुपस्थिति का परिणाम - एक आकस्मिक कार्य के लिए संभावित अनुशासनात्मक कार्रवाई - उपकरण के तात्कालिक उत्पादकता लाभ की तुलना में अमूर्त और दूर था।
परिणाम: एक महीने में तीन घटनाएं, स्वामित्व जानकारी का तीन खुलासे, और एक कॉर्पोरेट संकट जिसने वैश्विक स्तर पर एंटरप्राइज एआई प्रतिबंधों की लहर को प्रेरित किया।
उद्योग की प्रतिक्रिया
सैमसंग की आंतरिक प्रतिक्रिया त्वरित थी: कॉर्पोरेट उपकरणों के लिए चैटजीपीटी तक पहुंच प्रतिबंधित कर दी गई। खुलासे ने एक व्यापक उद्योग प्रतिक्रिया को प्रेरित किया जिसने यह दिखाया कि अंतर्निहित स्थिति कितनी व्यापक थी।
संगठनों ने जो सैमसंग के खुलासे के बाद एआई टूल प्रतिबंध या सीमाएं घोषित कीं उनमें बैंक ऑफ अमेरिका, सिटीग्रुप, गोल्डमैन सैक्स, जेपी मॉर्गन चेस, एप्पल, और वेरिज़न शामिल थे। वित्तीय क्षेत्र की प्रतिक्रिया विशेष रूप से व्यापक थी - कई प्रमुख संस्थानों ने एक साथ निष्कर्ष निकाला कि तकनीकी नियंत्रणों के बिना एआई टूल का जोखिम प्रोफ़ाइल उनके अनुपालन दायित्वों के साथ असंगत था।
प्रत्येक संगठन ने एक ही निष्कर्ष पर पहुंचा: कर्मचारी समस्या नहीं हैं, और नीति चेतावनियां पर्याप्त नियंत्रण नहीं हैं। डेटा उनके नेटवर्क से बाहर जा रहा था क्योंकि कोई तकनीकी बाधा इसे रोक नहीं रही थी, और केवल नीति तकनीकी बाधा नहीं बना सकती।
71.6% बाईपास दर
प्रतिबंध दृष्टिकोण की एक प्रलेखित विफलता दर है। 2025 के लेयरएक्स शोध ने पाया कि 71.6% कर्मचारी जो एंटरप्राइज एआई प्रतिबंधों के अधीन थे व्यक्तिगत खातों या उपकरणों के माध्यम से एआई टूल का उपयोग करते रहे।
बाईपास दर मूल व्यवहार को दर्शाती है: जब एक उपकरण वास्तविक उत्पादकता मूल्य प्रदान करता है, तो उपयोगकर्ता स्थायी रूप से उपकरण को छोड़ने के बजाय कार्य चारों ओर खोजते हैं। एक कर्मचारी जो यह पता लगाता है कि एआई सहायता उनके कार्य उत्पादन को महत्वपूर्ण रूप से तेज करती है, वह उन उपकरणों का उपयोग करना बंद नहीं करेगा क्योंकि कॉर्पोरेट नीति उन्हें कॉर्पोरेट उपकरणों पर प्रतिबंधित करती है। वे व्यक्तिगत उपकरणों पर व्यक्तिगत खातों का उपयोग करेंगे ऐसे चैनलों के माध्यम से जिन्हें सुरक्षा टीम नहीं देख सकती।
71.6% बाईपास दर का व्यावहारिक परिणाम यह है कि एआई प्रतिबंध सबसे खराब संभव परिणाम प्राप्त करता है: कॉर्पोरेट डेटा एआई प्रदाताओं तक ऐसे चैनलों के माध्यम से पहुंचता है जिनमें कोई सुरक्षा नियंत्रण नहीं है। कम से कम कॉर्पोरेट उपकरणों की पहुंच को सैद्धांतिक रूप से मॉनिटर किया जा सकता था। व्यक्तिगत खाता उपयोग पूरी तरह से सुरक्षा टीम के लिए अदृश्य है।
सैमसंग की तीन घटनाएं कॉर्पोरेट उपकरणों पर कॉर्पोरेट पहुंच के माध्यम से हुईं। जो कर्मचारी प्रतिबंध को बाईपास करते हैं वे वही कर रहे हैं - कार्य-संबंधित डेटा एआई मॉडलों को प्रदान करना - ऐसे चैनलों के माध्यम से जिनमें कोई एंटरप्राइज पर्यवेक्षण नहीं है।
तकनीकी नियंत्रण जो मूल कारण को संबोधित करता है
सैमसंग की घटनाएं कर्मचारी की लापरवाही के कारण नहीं हुईं। वे एक आर्किटेक्चर के कारण हुईं जिसने कर्मचारी एआई उपयोग और बाहरी एआई बुनियादी ढांचे के बीच कोई इंटरसेप्शन परत प्रदान नहीं की।
मॉडल संदर्भ प्रोटोकॉल (MCP) आर्किटेक्चर एआई क्लाइंट और एआई मॉडल एपीआई के बीच एक पारदर्शी प्रॉक्सी प्रदान करता है। क्लॉड डेस्कटॉप या कर्सर आईडीई का उपयोग करने वाले डेवलपर्स के लिए - सैमसंग की पहली घटना के कारण कोड डिबगिंग के प्रकार के लिए प्राथमिक उपकरण - MCP सर्वर प्रोटोकॉल पथ में बैठता है।
किसी भी पाठ के एआई मॉडल तक पहुंचने से पहले, MCP सर्वर इसे एक एनोनिमाइजेशन इंजन के माध्यम से संसाधित करता है। स्रोत कोड को स्वामित्व पहचानकर्ताओं के लिए विश्लेषित किया जाता है: फ़ंक्शन नाम, चर नाम, आंतरिक एपीआई अंत बिंदु, डेटाबेस स्कीमा विवरण, कॉन्फ़िगरेशन मान। इन्हें कोड के एआई मॉडल तक पहुंचने से पहले संरचित टोकनों के साथ बदल दिया जाता है।
एक डेवलपर जो क्लॉड से सैमसंग के स्वामित्व सेमीकंडक्टर कोड को MCP सर्वर के माध्यम से डिबग करने के लिए पूछता है, वह कोड को भेजेगा जिसमें स्वामित्व पहचानकर्ताओं को टोकनों के साथ बदल दिया गया है। एआई मॉडल डिबगिंग कार्य में सहायता करता है जो इंजीनियर को आवश्यक था। सैमसंग की बौद्धिक संपदा सैमसंग के नियंत्रण में रहती है।
घटना 1 तकनीकी रूप से असंभव हो जाती है। स्रोत कोड नेटवर्क को एनोनिमाइज्ड रूप में छोड़ता है। एआई इंजीनियर को आवश्यक डिबगिंग सहायता प्रदान करता है। सैमसंग की बौद्धिक संपदा सैमसंग के नियंत्रण में रहती है।
उसी आर्किटेक्चर का उपयोग घटना 2 (ब्राउज़र-आधारित एआई के माध्यम से बैठक नोट सारांशण, जो क्रोम एक्सटेंशन द्वारा संबोधित किया गया) और घटना 3 (किसी भी एआई कोडिंग इंटरफेस के माध्यम से डेटाबेस क्वेरी अनुकूलन, जो MCP एनोनिमाइजेशन द्वारा संबोधित किया गया) के लिए किया जाता है।
सैमसंग की घटनाएं एक प्रणालीगत समस्या का पूर्वावलोकन थीं। मूल कारण को संबोधित करने वाले तकनीकी नियंत्रण अब मौजूद हैं। सवाल यह है कि क्या उद्यम उन्हें लागू करेंगे या 71.6% अपने कर्मचारियों पर निर्भर रहेंगे जो पहले से ही बाईपास कर रहे हैं।
स्रोत: