anonym.legal

By · Last updated 2026-03-09

Til baka á BloggÖryggi AI

Gervigreindarbannar í fyrirtækjum: Framleiðni á móti áhættu

27,4% af gervigreindarinnihaldi fyrirtækjasamræðna inniheldur viðkvæm gögn — 156% aukning milli ára. En 71,6% aðgangs.

March 9, 20269 mín lestur
enterprise AI securityChatGPT banAI data controlsshadow AI

Bylgjan gervigreindarbanar í fyrirtækjum

Á síðustu tveimur árum bannaði verulegur hluti stærstu fyrirtækja heims notkun á almennum gervigreindarverkfærum:

JPMorgan Chase, Deutsche Bank, Wells Fargo, Goldman Sachs, Bank of America, Apple og Verizon eru á meðal þeirra stofnana sem innleiddu takmarkanir á notkun starfsmanna á ChatGPT og svipuðum verkfærum.

Kveikjan var Samsung. Árið 2023 lyfti Samsung innri banni á ChatGPT — og innan mánaðar urðu þrjú aðskilin uppljóstrunartivik með upprunakóða. Starfsmenn límuðu kóða úr gagnagrunni hálfleiðara, kóða úr gálfæringarforriti og innri fundarskrár inn í ChatGPT til að fá aðstoð. Þegar sent var, geymdi OpenAI gögnin á netþjónum sínum. Samsung hafði engan mekanisma til að sækja eða eyða þeim. Bannið var endurinnleitt.

Samsung-mál varð viðmiðunarmál fyrir öryggissvið alls staðar: ef háþróað tæknifyrirtæki með sértæk öryggissvið getur ekki komið í veg fyrir að starfsmenn leki hugverkarétt til gervigreindarverkfæra, er eina kostinum að loka á þær alltaf.

Eða svo rökhugsunin gekk.

Hvers vegna bönnin mistókust

27,4% alls efnis sem er sett inn í gervigreindarsamræðuforrit fyrirtækja inniheldur viðkvæmar upplýsingar156% aukning milli ára (Zscaler 2025 Data@Risk Report).

Þetta hlutfall endurspeglar hvað gerðist eftir bönnin: starfsmenn héldu áfram að nota gervigreindarverkfæri. Þeir færðu sig bara yfir í persónulegar reikninga.

71,6% gervigreindaraðgangs fyrirtækja fer nú í gegnum persónulegar reikninga sem sniðganga DLP-ráðstafanir fyrirtækja (LayerX 2025 Enterprise GenAI Security Report).

Bannið stöðvaði ekki gervigreindarnotkun. Það ýtti gervigreindarnotkun neðanjarðar, þar sem hún er minna sýnileg, minna stjórnað og minna endurskoðanlegt. Þróari sem var að nota ChatGPT í gegnum fyrirtækjareikning — mynda kladda, kveikja DLP-viðvaranir, að minnsta kosti sýnileg öryggisrekstri — færði sig yfir í að nota hann í gegnum persónulegan reikning á fyrirtækjatæki sínu. Nákvæmlega sömu gögn. Engin sýnileiki.

Þetta er grundvallarbilunarmódelið banna sem eru óvirk í tímaskeiði þar sem sama þjónustan er tiltæk í gegnum persónulegar reikninga: banning á fyrirtækjareikning bannar ekki hegðunina.

Zscaler Data@Risk Report: Hvað er í raun í þessum beiðnum

Zscaler 2025 Data@Risk Report veitir ítarlegstu mynd sem tiltæk er af því sem starfsmenn senda í raun til gervigreindarsamræðuforrita fyrirtækja. 27,4% talan um viðkvæm gögn sundurliðast yfir flokka:

  • Séreignarbundinnar viðskiptaupplýsingar og viðskiptaleyndarmál
  • Viðskiptavinagögn (nöfn, tengiliðaupplýsingar, reikningsupplýsingar)
  • Persónulegar upplýsingar starfsmanna
  • Upprunakóði (þar á meðal með innfelldur skilríki)
  • Fjárhagsgögn (óbirt hagnaður, samningsskilmálar, samningsgildi)
  • Lögfræðileg samskipti og trúnaðarupplýsingar

156% aukning milli ára í viðkvæmum gögnum í gervigreindarinnsendingum (Zscaler 2025) endurspeglar ekki fyrst og fremst starfsmenn sem verða minna meðvitaðir. Það endurspeglar vöxt gervigreindarnotkunar sjálfrar. Eftir því sem fleiri starfsmenn nota gervigreindarverkfæri í fleiri verkefnum, eykst heildarmagn viðkvæmra gagna sem fer inn í þau verkfæri hlutfallslega.

Framleiðnikostnaður gervigreindarniðurskurðar

Öryggisstungur til að banna gervigreind er einföld. Framleiðnirökin gegn henni eru jafnvel skýrari.

Rannsóknir finna stöðugt að gervigreindaraðstoð framleiðir verulegar framleiðniaukningu fyrir þekkingarstarfsmenn:

  • Þróarar sem nota gervigreindar kóðahjálp ljúka verkefnum hraðar
  • Lögfræðilegir fagmenn sem nota gervigreind til skjalayfirferðar vinna fleiri skjöl á tímann
  • Þjónustuver teymi sem nota gervigreind til svargerðar meðhöndla fleiri tiket

Þegar fyrirtæki banna gervigreindaraðgang fyrir þróara sem eru með keppinautar sem nota hann frjálslega, er samkeppnisvaninn áþreifanlegur. Þegar greinendur verða að vinna án gervigreindaraðstoðar sem jafngildir þeirra hjá samkeppnisfyrirtækjum nota reglulega, eykst framleiðnibilið yfir tíma.

71,6% umgönuhlutfall með persónulega reikninga endurspeglar ekki einungis einstaklingsregluslit heldur skynsamlega efnahagslega hegðun: framleiðniaukningin frá gervigreind er nógu mikil til að starfsmenn samþykki áhættu reglubrota frekar en að yfirgefa verkfærið.

Tæknilega valkosturinn við bann

Öryggisumsögnin undir gervigreindarbönnum er lögmæt: viðkvæm gögn sem flæða til ytri gervigreindarveita skapar raunverulega áhættu. Lausnin er að útrýma þeirri áhættu tæknilega — ekki að samþykkja framleiðnitap í skiptum fyrir bann sem starfsmenn munu sniðganga.

Tæknilega nálgunin: nafnlægðu viðkvæm gögn áður en þau ná til gervigreindar líkansins.

Hugsum okkur þróara sem límir gagnagrunnsárásn sem inniheldur viðskiptavinaauðkennara inn í Claude til að fá aðstoð með fínstillingu. Með tæknilegum ráðstöfunum til staðar:

  1. Þróarinn límir árásina (sem inniheldur viðskiptavinaauðkennara, reikningsnúmer, persónugreinanlegar upplýsingar)
  2. Nafnlægjunarlags hindrar fyrir sendingu
  3. Viðskiptavinaauðkennara verða "[ID_1]", reikningsnúmer verða "[ACCT_1]", nöfn verða "[CUSTOMER_1]"
  4. Nafnlægð árásn nær til Claude
  5. Svar Claudes (með sömu táknunum) er skilað
  6. Þróarinn sér svarið með táknunum — sem nægir til að skilja fínstillingaráðunaut

Claude vann úr engum raunverulegum viðskiptavinagögnum. Viðkvæmar upplýsingar fóru aldrei frá fyrirtækjanetinu. Þróarinn fékk tæknilegu aðstoðina sem hann þarfnaðist. Öryggissvið hefur engar rannsóknir.

MCP-miðlarsarkitektúrinn fyrir þróara

Fyrir þróara sem nota Claude Desktop eða Cursor IDE — aðal gervigreindar kóðunarverkfærin — veitir Model Context Protocol (MCP) gagnsæjan proxy-arkitektúr.

MCP-miðlari anonym.legal situr á milli gervigreindarskjólstæðings þróarans og gervigreindar API-líkansins. Allur texti sem sendur er í gegnum MCP-samskiptaforskriftina — þar á meðal skráarinnihald, kóðabrot, villuboð, stillingarskrár og náttúrulegar tungumálaleiðbeiningar — fer í gegnum nafnlægjunarvéla áður en hún nær til gervigreindar líkansins.

Frá sjónarhorni þróarans er hann að nota Claude eða Cursor eðlilega. Nafnlægjunin er ósýnileg.

Frá sjónarhorni öryggissviðsins fer enginn séreignarlegur kóði, skilríki eða viðskiptavinagögn frá netinu í þekkjanlega mynd. Gervigreindar líkanið vinnur úr nafnlægðum útgáfum; svörin eru sjálfkrafa afnafnlægð fyrir þróarann.

Þessi arkitektúr tekur beint á Samsung-vandanum: starfsmennir sem límuðu upprunakóða inn í ChatGPT hefðu verið að senda nafnlæga kóða, þar sem séreignarlegar algreimsupplýsingar hefðu verið skiptar út fyrir tákn áður en þær voru sendar.

Chrome-viðbótararkitektúrinn fyrir vafrabasaða gervigreind

MCP-miðlarinn tekur á IDE-samþættri gervigreindarnotkun. Vafrabasaðar gervigreindarnotkun — Claude.ai, ChatGPT, Gemini — krefst annars tæknilegs lags.

Chrome-viðbótin hindrar texta áður en hann er sendur til gervigreindarþjónustunnar í gegnum vafraviðmótið. Sama nafnlægjunarvélin beitir: nöfn, fyrirtækjaauðkennara, upprunakóða leyndarmál, fjárhæðir og annað viðkvæmt efni eru skipt út fyrir tákn áður en beiðnin nær netþjónum gervigreindarveitunnar.

Samsetning MCP-miðlara (IDE) + Chrome-viðbót (vafri) nær yfir alla gervigreindarsnertifleti í fyrirtækisumhverfi.

Bygging viðskiptagrundvallar

Fyrir CISO-a sem eru að leggja þessa nálgun fram fyrir framkvæmdastjórnarstig sín hefur viðskiptagrundvöllurinn þrjá þætti:

1. Öryggi jafngilt banni — Hvað varðar það sem í raun nær til ytri gervigreindarveitna, innihalda nafnlægar beiðnir engar endurheimtanlegar viðkvæmar upplýsingar. Innbrot á kerfum gervigreindarveitunnar myndi gefa ekkert gildi hvað varðar viðskiptavini, hugverkarétt eða rekstur stofnunarinnar.

2. Ekkert framleiðnitap — Þróarar, greinendur og þekkingarstarfsmenn halda áfram að nota gervigreindarverkfæri eðlilega. Nafnlægjunin er gagnsæ. Afkomugæði eru óbreytt vegna þess að gervigreindar líkön virka jafnvel á nafnlægt efni.

3. Útrýmir sniðganguvandanum — 71,6% hlutfall persónulegareikninga sniðgangu endurspeglar starfsmenn sem velja framleiðni yfir stefnufylgni. Þegar starfsmenn geta notað gervigreindarverkfæri í gegnum fyrirtækjareikninga án áhættu, hverfur hvatin til sniðgangu. Öryggissvið fær aftur sýnileika á gervigreindarnotkun.

Leikbók eftir-bann

Fyrir fyrirtæki sem eru með gervigreindarbön til staðar og eru að endurskoða, er umbreytingarleikbókin:

Stig 1 (vikur 1–2): Dreifðu Chrome-viðbótinni í gegnum Chrome Enterprise-stefnu á öll fyrirtækjatæki. Þetta veitir strax vafralagið PII-hindrun fyrir starfsmenn sem voru þegar að sniðganga takmarkanirnar í gegnum persónulega reikninga.

Stig 2 (vikur 3–4): Dreifðu MCP-miðlaranum á vinnustöðvar þróara. Stilltu sérsniðin einindamynstur fyrir sérstaka auðkennara stofnunarinnar (innri vörukóðar, snið viðskiptavinareikninga, séreignarleg tækniskilmálar).

Stig 3 (mánuður 2): Lyftu banni á gervigreindarnotkunarstefnu fyrir fyrirtækareikninga. Starfsmenn geta nú notað gervigreindarverkfæri í gegnum fyrirtækareikninga með tæknilegar ráðstafanir til staðar.

Stig 4 (áframhald): Fylgjast með nafnlægjunaraðgerð (hvaða flokkar gagna eru oftast nafnlægðir) til að bera kennsl á þjálfunarforgangsatriði öryggis og stilla stillingar einindagreiningar.

Samsung-atvik sem hleypti af stokkunum gervigreindarbannabylgjunni í fyrirtækjum endurspeglaði öryggisbilun, ekki óhjákvæmilegt eiginleika gervigreindarverkfæra. Tæknilegar ráðstafanirnar sem voru ekki til staðar þegar Samsung-bannið var innleitt eru til staðar núna. Spurningin er hvort öryggissvið muni dreifa þeim eða halda áfram að reiða sig á bön sem 71,6% starfsmanna þeirra er þegar að sniðganga.

MCP-miðlari og Chrome-viðbót anonym.legal veita tæknilega eftirlitslagið sem gerir gervigreindarinnleiðingu fyrirtækja samhæfa við gagnagöryggi. Bæði verkfærin virka gagnsætt — starfsmenn nota gervigreind eðlilega; viðkvæm gögn eru nafnlægð áður en þau ná ytri gervigreindarveita.

Sjá einnig:

Heimildir:

Tengdar Greinar

Öryggi AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Öryggi AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Öryggi AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Ertu tilbúinn að vernda gögnin þín?

Byrjaðu að anonymiza PII með 285+ gerðum í 48 tungumálum.

Byrjaðu Ókeypis PrufuSkoða Eiginleika

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.