anonym.legal

By · Last updated 2026-03-09

Atgal į BlogąAI Saugumas

Įmonių DI draudimai: produktyvumas prieš riziką

27,4 % įmonių DI turinio apima jautrius duomenis — 156 % metinis augimas. Tačiau 71,6 % prieigos vyksta per asmenines paskyras, apeinant visas DLP kontrolės priemones.

March 9, 20269 min skaityti
enterprise AI securityChatGPT banAI data controlsshadow AI

Įmonių DI draudimų banga

Per pastaruosius dvejus metus dauguma didelių įmonių uždraudė viešuosius DI įrankius. Draudimai atėjo greitai. Jie apėmė ChatGPT ir panašius įrankius.

Sąraše yra JPMorgan Chase, Deutsche Bank, Wells Fargo, Goldman Sachs, Bank of America, Apple ir Verizon. Visi jie užblokavo ChatGPT ir panašius įrankius.

Trigeris buvo Samsung. 2023 m. Samsung panaikino vidinį ChatGPT draudimą. Per vieną mėnesį įvyko trys nutekėjimai. Darbuotojai įkėlė puslaidininkių kodą į ChatGPT. Kiti įkėlė defektų aptikimo kodą. Kiti įkėlė susirinkimų užrašus. Viskas pateko į OpenAI serverius. Samsung neturėjo galimybės jo atgauti. Draudimas grįžo.

Saugumo komandos Samsung atvejį suprato kaip aiškią pamoką. Jei technologijų įmonė negali sustabdyti nutekėjimų, blokuokite įrankius. Paprasta.

Arba taip jiems atrodė.

Kodėl draudimai nepavyko

Atnaujinta 2026 metais

27,4 % viso turinio, įkelto į įmonių DI pokalbių robotus, apima jautrius duomenis. Tai yra 156 % augimas per metus (Zscaler 2025 Data@Risk ataskaita).

Šis skaičius mums sako, kas nutiko po draudimų: darbuotojai toliau naudojo DI. Jie tiesiog persijungė į asmenines paskyras.

71,6 % įmonių DI prieigos dabar vyksta per ne įmonių paskyras. Tai apeina visas įmonių DLP kontrolės priemones (LayerX 2025 Enterprise GenAI Security Report).

Draudimas nesustabdė DI naudojimo. Jis išstūmė DI į pogrindį.

Kūrėjas, naudojantis įmonės paskyrą, bent jau buvo matomas saugumo padaliniui. Buvo kuriami žurnalai. Veikė DLP įspėjimai. Kai tas kūrėjas persijungė į asmeninę paskyrą tame pačiame įrenginyje, visi matomi išnyko. Tie patys duomenys. Nulinė priežiūra.

Įmonės paskyros draudimas nedraudžia elgesio. Ta pati paslauga yra viena asmeninė paskyra toliau.

Ką darbuotojai siunčia į DI

Zscaler 2025 Data@Risk ataskaita rodo, ką darbuotojai siunčia į DI pokalbių robotus. 27,4 % jautrių duomenų skaičius apima šiuos tipus:

  • Patentuota verslo informacija ir verslo paslaptys
  • Klientų duomenys — vardai, kontaktiniai duomenys, sąskaitų numeriai
  • Darbuotojų asmeninė informacija
  • Šaltinio kodas, kartais su įterptomis kredencialais
  • Finansiniai duomenys — neišleistos pajamos, sandorių sąlygos, sutarčių vertės
  • Teisiniai ir privilegijuoti komunikacijos

156 % metinis augimas (Zscaler 2025) nereiškia, kad darbuotojai tapo neatsargūs. Tai atspindi priėmimo augimą. Daugiau darbuotojų naudoja DI daugiau užduočių. Daugiau jautrių duomenų teka dėl to.

Produktyvumo kaina

Saugumo argumentas draudimui aiškus. Produktyvumo argumentas prieš jį yra lygiai taip pat aiškus.

Tyrimai rodo, kad DI įrankiai duoda didelį pelną žinių darbuotojams:

  • Kūrėjai su DI kodavimo įrankiais užbaigia užduotis greičiau
  • Teisinės komandos, naudojančios DI dokumentų peržiūrai, apdoroja daugiau failų per valandą
  • Klientų aptarnavimo komandos, naudojančios DI juodraščiams, tvarko daugiau bilietų per pamainą

Kai įmonės draudžia DI kūrėjams, kurių konkurentai naudoja jį laisvai, atotrūkis yra realus. Analitikai be DI įrankių atsilieka. Kolegos kitose įmonėse naudoja DI kasdien. Rezultatų atotrūkis auga.

71,6 % apėjimo rodiklis yra ne tik taisyklių pažeidimas. Tai racionalu. Pelnas iš DI yra pakankamai didelis, kad darbuotojai priimtų politikos riziką. Jie neatsisako įrankio. Draudimas prašo jų prarasti pranašumą, kuriuo jie pasikliauja.

Techninis sprendimas

Saugumo susirūpinimas yra realus. Jautrių duomenų tekėjimas į išorinius DI teikėjus kuria tikrą riziką. Tačiau sprendimas yra techninis — ne draudimas, kurį darbuotojai apeina.

Požiūris: anonimininkite jautrius duomenis prieš jiems pasiekiant DI modelį.

Kaip tai veikia: kūrėjas įkelia duomenų bazės užklausą su klientų ID į Claude:

  1. Kūrėjas įkelia užklausimą — klientų ID, sąskaitų numeriai, vardai įtraukti
  2. Anonimizacijos sluoksnis perima prieš perdavimą
  3. Klientų ID tampa [ID_1], sąskaitų numeriai tampa [ACCT_1], vardai tampa [CUSTOMER_1]
  4. Anonimizuota užklausa pasiekia Claude
  5. Claude atsakymas naudoja tuos pačius žetonus
  6. Kūrėjas skaito atsakymą ir supranta sprendimą

Claude neapdorojo jokių tikrų klientų duomenų. Jautrūs duomenys niekada nepalieko įmonių tinklo. Kūrėjas gavo reikiamą pagalbą. Saugumas neturi ko tirti.

MCP serveris kūrėjams

Kūrėjai, naudojantys Claude Desktop arba Cursor IDE, reikalauja skaidraus tarpinio serverio. Modelio konteksto protokolas (MCP) jį teikia.

anonym.legal MCP serveris yra tarp kūrėjo DI kliento ir DI modelio API. Visas tekstas, siunčiamas per MCP, pirmiausia praeina per anonimizacijos variklį. Tai apima failų turinį, kodo fragmentus, klaidų pranešimus ir konfigūracijos failus.

Kūrėjo požiūriu, jie naudoja Claude arba Cursor kaip įprastai. Anoniminimas yra nematomas.

Saugumo komandos požiūriu, joks patentuotas kodas ar klientų duomenys nepalieka tinklo skaitomu pavidalu. Modelis gauna anonimintas versijas. Atsakymai yra de-anonimizuojami grąžinant.

Tai sprendžia Samsung problemą tiesiogiai. Tie darbuotojai, įkėlę šaltinio kodą į ChatGPT, būtų siuntę anoniminytą kodą. Patentuotos detalės būtų buvę pakeistos žetonais prieš pasiekiant OpenAI.

Chrome plėtinys naršyklės DI

MCP serveris apima IDE integruotą DI. Naršyklės DI — Claude.ai, ChatGPT, Gemini — reikalauja atskiro sluoksnio.

Chrome plėtinys perima tekstą prieš jį pateikiant per naršyklę. Veikia tas pats anonimizacijos variklis. Vardai, įmonių identifikatoriai, šaltinio kodo paslaptys ir finansiniai skaičiai tampa žetonais. Jie pakeičiami prieš užklausimui pasiekiant teikėjo serverius.

MCP serveris IDE ir Chrome plėtinys naršyklėms apima kiekvieną DI kontaktinį tašką įmonėje. Kartu jie uždaro kilpą.

Verslo argumentas

CISO, pristatantiems šį metodą vadovybei, argumentas turi tris dalis:

1. Saugumas lygus draudimui — Tai, kas pasiekia išorinius DI teikėjus, neapima jokių atkuriamų jautrių duomenų. Pažeidimas pas DI teikėją neduotų nieko naudingo. Jokių klientų duomenų. Jokio IP. Jokios operacijų informacijos.

2. Jokio produktyvumo nuostolio — Darbuotojai naudoja DI įrankius kaip įprastai. Anoniminimas yra skaidrus. Rezultatų kokybė išlieka ta pati. DI modeliai dirba lygiai taip pat gerai su pseudoanonimizuotu turiniu kaip ir su tikrais duomenimis.

3. Pašalina apėjimą — 71,6 % asmeninių paskyrų apėjimo rodiklis rodo, kad darbuotojai renkasi produktyvumą prieš politiką. Kai jie gali naudoti DI per įmonės paskyras be rizikos, apėjimo motyvas išnyksta. Saugumas atgauna pilną matomumą į DI naudojimą.

Po draudimo žaidimų knyga

Įmonėms su DI draudimais, kurios yra pasiruošusios judėti į priekį, perėjimas vyksta keturiais etapais:

1 etapas — 1–2 savaitės: Diekite Chrome plėtinį per Chrome Enterprise politiką visuose įmonių įrenginiuose. Tai suteikia momentinę naršyklės lygio perėmimą darbuotojams, jau naudojantiems asmenines paskyras.

2 etapas — 3–4 savaitės: Diekite MCP serverį kūrėjų darbo stotyse. Nustatykite pasirinktinius objektų modelius vidiniam identifikatoriams — produktų kodams, sąskaitų formatams ir patentuotiems terminams.

3 etapas — 2 mėnuo: Panaikinkite DI draudimą įmonių paskyroms. Darbuotojai dabar gali naudoti DI su techninėmis kontrolės priemonėmis vietoje politikos.

4 etapas — Nuolatinis: Stebėkite anonimizacijos veiklą. Sekite, kurie duomenų tipai yra labiausiai pavojuje. Naudokite tai mokymo prioritetams nustatyti ir objektų aptikimui tikslinti.

Samsung incidentas sukėlė įmonių DI draudimų bangą. Tai buvo saugumo nesėkmė. Tai nebuvo įgimta DI įrankių savybė. Techninės kontrolės priemonės, kurių neegzistavo Samsung pataiko laikotarpiu, dabar egzistuoja. Saugumo komandos gali jas diegti. Arba gali toliau pasikliauti draudimais, kuriuos 71,6 % darbuotojų jau apeina.

anonym.legal MCP serveris ir Chrome plėtinys teikia techninį kontrolės sluoksnį įmonių DI. Abu įrankiai veikia skaidriai. Darbuotojai naudoja DI normaliai. Jautrūs duomenys yra anoniminami prieš pasiekiant išorinius DI teikėjus.

Taip pat žiūrėkite:

Šaltiniai

Susiję Straipsniai

AI Saugumas

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Saugumas

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Saugumas

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pasiruošę apsaugoti savo duomenis?

Pradėkite anonimizuoti PII su 285+ subjektų tipais 48 kalbomis.

Pradėti Nemokamą Bandomąją VersijąPeržiūrėti Funkcijas

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.