anonym.legal
Înapoi la BlogSecuritate AI

JPMorgan, Goldman Sachs, Apple: De ce interzicerile...

27,4% din conținutul chatbot-urilor AI din întreprinderi conține date sensibile—o creștere de 156% an peste an.

March 9, 20269 min citire
enterprise AI securityChatGPT banAI data controlsshadow AI

Valul de interziceri AI din întreprinderi

În ultimii doi ani, o parte semnificativă a celor mai mari întreprinderi din lume a interzis instrumentele publice de AI:

JPMorgan Chase, Deutsche Bank, Wells Fargo, Goldman Sachs, Bank of America, Apple și Verizon sunt printre organizațiile care au implementat restricții privind utilizarea de către angajați a ChatGPT și instrumentelor similare.

Triggerul a fost Samsung. În 2023, Samsung a ridicat o interzicere internă a ChatGPT — și în decurs de o lună, au avut loc trei incidente separate de scurgere a codului sursă. Angajații au lipit cod din baza de date de semiconductori, cod de program de detectare a defectelor și note din întâlniri interne în ChatGPT pentru a obține ajutor. Odată trimise, datele au fost stocate pe serverele OpenAI. Samsung nu avea niciun mecanism pentru a le recupera sau șterge. Interzicerea a fost reintrodus.

Cazul Samsung a devenit evenimentul de referință pentru echipele de securitate peste tot: dacă o companie de tehnologie sofisticată cu echipe dedicate de securitate nu poate împiedica angajații să scurgă PI către instrumentele de AI, singura opțiune este să blocheze instrumentele în întregime.

Or, așa era raționamentul.

De ce interzicerile au eșuat

27,4% din tot conținutul introdus în chatbot-urile AI din întreprinderi conține informații sensibile — o creștere de 156% an peste an (Raportul Zscaler 2025 Data@Risk).

Acest număr reflectă ceea ce s-a întâmplat după interziceri: angajații au continuat să utilizeze instrumentele de AI. Ei pur și simplu s-au mutat pe conturi non-corporative.

71,6% din accesul AI din întreprinderi are loc acum prin conturi non-corporative ocolind controalele DLP corporative (Raportul LayerX 2025 Enterprise GenAI Security).

Interzicerea nu a oprit utilizarea AI. A împins utilizarea AI în subteran, unde este mai puțin vizibilă, mai puțin controlată și mai puțin auditabilă. Un dezvoltator care utiliza ChatGPT prin contul corporativ — generând jurnale, declanșând alerte DLP, cel puțin vizibil pentru operațiunile de securitate — s-a mutat la utilizarea acestuia prin contul personal pe dispozitivul corporativ. Exact aceleași date. Nicio vizibilitate deloc.

Acesta este modul fundamental de eșec al interzicerilor de instrumente într-o epocă în care același serviciu este disponibil prin conturi personale: interzicerea contului corporativ nu interzice comportamentul.

Raportul Zscaler Data@Risk: Ce se află de fapt în acele solicitări

Raportul Zscaler 2025 Data@Risk oferă cea mai detaliată imagine disponibilă a ceea ce angajații trimit de fapt la chatbot-urile AI din întreprinderi. Cifra 27,4% date sensibile se descompune în categorii:

  • Informații comerciale proprietare și secrete comerciale
  • Date despre clienți (nume, informații de contact, detalii de cont)
  • Informații personale ale angajaților
  • Cod sursă (inclusiv cu credențiale încorporate)
  • Date financiare (câștiguri nelansat, termeni de tranzacție, valori de contract)
  • Comunicații juridice și informații privilegiate

Creșterea de 156% an peste an în date sensibile în solicitări AI (Zscaler 2025) nu reflectă în primul rând că angajații devin mai puțin atenți. Reflectă creșterea adoptării instrumentelor de AI în sine. Pe măsură ce mai mulți angajați utilizează instrumentele de AI pentru mai multe sarcini, volumul absolut de date sensibile care intră în acele instrumente crește proporțional.

Costul productivității restricțiilor AI

Cazul de securitate pentru interzicerea AI este simplu. Cazul productivității împotriva acestuia este la fel de clar.

Cercetările constată în mod consecvent că asistența AI produce câștiguri substanțiale de productivitate pentru lucrătorii de cunoaștere:

  • Dezvoltatorii care utilizează asistenți de codare AI completează sarcinile mai rapid
  • Profesioniștii juridici care utilizează AI pentru revizuirea documentelor procesează mai multe documente pe oră
  • Echipele de suport pentru clienți care utilizează AI pentru redactarea răspunsurilor gestionează mai multe bilete

Când întreprinderile interzic accesul AI pentru dezvoltatori care au concurenți care o utilizează liber, dezavantajul competitiv este tangibil. Când analiștii trebuie să lucreze fără asistență AI pe care colegii lor din firmele concurente o utilizează în mod obișnuit, decalajul de ieșire se compune în timp.

Rata de ocolire a contului personal de 71,6% reflectă nu doar încălcarea regulilor individuale, ci comportament economic rațional: câștigul de productivitate din AI este suficient de mare încât angajații acceptă riscul încălcării politicii mai degrabă decât să abandoneze instrumentul.

Alternativa tehnică la interzicere

Preocuparea de securitate care stă la baza interzicerilor AI este legitimă: datele sensibile care curg către furnizorii externi de AI creează risc real. Soluția este să elimini acel risc din punct de vedere tehnic — nu să accepți pierderea de productivitate în schimbul unei interziceri pe care angajații o vor ocoli oricum.

Abordarea tehnică: anonimizează datele sensibile înainte ca acestea să ajungă la modelul de AI.

Consideră dezvoltatorul care lipește o interogare de bază de date care conține identificatori de clienți în Claude pentru a obține ajutor cu optimizarea. Cu controale tehnice în loc:

  1. Dezvoltatorul lipește interogarea (conținând ID-uri de clienți, numere de cont, informații de identificare personală)
  2. Stratul de anonimizare interceptează înainte de transmisie
  3. ID-urile clienților devin "[ID_1]", numerele de cont devin "[ACCT_1]", numele devin "[CUSTOMER_1]"
  4. Interogarea anonimizată ajunge la Claude
  5. Răspunsul Claude (folosind aceiași jetoane) este returnat
  6. Dezvoltatorul vede răspunsul cu jetoane — ceea ce este suficient pentru a înțelege sugestia de optimizare

Claude nu a procesat niciun fel de date reale de clienți. Informațiile sensibile nu au părăsit niciodată rețeaua corporativă. Dezvoltatorul a primit asistența tehnică de care avea nevoie. Echipa de securitate nu are nimic de investigat.

Arhitectura MCP Server pentru dezvoltatori

Pentru dezvoltatorii care utilizează Claude Desktop sau Cursor IDE — instrumentele principale de codare AI — Model Context Protocol (MCP) oferă o arhitectură proxy transparentă.

Serverul anonym.legal MCP se află între clientul AI al dezvoltatorului și API-ul modelului de AI. Tot textul transmis prin protocolul MCP — inclusiv conținuturi de fișiere, fragmente de cod, mesaje de eroare, fișiere de configurare și instrucțiuni în limbaj natural — trece prin motorul de anonimizare înainte de a ajunge la modelul de AI.

Din perspectiva dezvoltatorului, utilizează Claude sau Cursor în mod normal. Anonimizarea este invizibilă.

Din perspectiva echipei de securitate, niciun cod proprietar, credențiale sau date de clienți nu părăsesc rețeaua în formă identificabilă. Modelul de AI procesează versiuni anonimizate; răspunsurile sunt anonimizate automat pentru dezvoltator.

Această arhitectură abordează problema Samsung direct: angajații care au lipit cod sursă în ChatGPT ar fi trimis cod anonimizat, din care detaliile algoritmului proprietar au fost înlocuite cu jetoane înainte de transmisie.

Arhitectura extensiei Chrome pentru AI bazat pe browser

Serverul MCP abordează utilizarea AI integrată în IDE. Utilizarea AI bazată pe browser — Claude.ai, ChatGPT, Gemini — necesită un strat tehnic diferit.

Extensiunea Chrome interceptează textul înainte ca acesta să fie trimis serviciului de AI prin interfața browserului. Același motor de anonimizare se aplică: nume, identificatori de companie, secrete de cod sursă, cifre financiare și alt conținut sensibil sunt înlocuite cu jetoane înainte ca solicitarea să ajungă la serverele furnizorului de AI.

Combinația de MCP Server (IDE) + Chrome Extension (browser) acoperă spectrul complet al punctelor de contact AI într-un mediu de întreprindere.

Construirea cazului de afaceri

Pentru CISO-urile care propun această abordare echipelor lor executive, cazul de afaceri are trei componente:

1. Securitate echivalentă cu o interzicere — În ceea ce privește ceea ce ajunge de fapt la furnizorii externi de AI, solicitările anonimizate nu conțin niciun fel de informații sensibile recuperabile. O încălcare a sistemelor furnizorului de AI nu ar produce nimic de valoare cu privire la clienții, PI-ul sau operațiunile organizației.

2. Zero sacrificiu de productivitate — Dezvoltatorii, analiștii și lucrătorii de cunoaștere continuă să utilizeze instrumentele de AI în mod normal. Anonimizarea este transparentă. Calitatea ieșirii este neschimbată deoarece modelele de AI funcționează la fel de eficient pe conținut pseudonimizat.

3. Elimină problema ocolirii — Rata de ocolire a contului personal de 71,6% reflectă angajații care aleg productivitatea peste conformitatea politicii. Când angajații pot utiliza instrumentele de AI prin conturi corporative fără risc, motivația ocolirii dispare. Echipele de securitate recâștigă vizibilitate asupra utilizării AI.

Playbook-ul după interzicere

Pentru întreprinderile care au în prezent interziceri AI și reconsideră, playbook-ul de tranziție:

Faza 1 (Săptămânile 1-2): Implementează extensia Chrome prin politica Chrome Enterprise pe toate dispozitivele corporative. Aceasta oferă imediat interceptare PII la nivel de browser pentru angajații care ocoleau deja restricțiile prin conturi personale.

Faza 2 (Săptămânile 3-4): Implementează MCP Server pe stațiile de lucru ale dezvoltatorilor. Configurează modele de entități personalizate pentru identificatori sensibili specifici organizației (coduri interne de produs, formate de cont de client, termeni tehnici proprietari).

Faza 3 (Luna 2): Ridică interzicerea politicii de utilizare AI pentru conturi corporative. Angajații pot acum utiliza instrumentele de AI prin conturi corporative cu controale tehnice în loc.

Faza 4 (Continuu): Monitorizează activitatea de anonimizare (ce categorii de date sunt anonimizate cel mai frecvent) pentru a identifica prioritățile de instruire de securitate și ajustează configurațiile de detectare a entităților.

Incidentul Samsung care a declanșat valul de interziceri AI din întreprinderi a reflectat o eșec de securitate, nu o proprietate inevitabilă a instrumentelor de AI. Controalele tehnice care nu existau la momentul interzicerii Samsung acum există. Întrebarea este dacă echipele de securitate le vor implementa sau vor continua să se bazeze pe interziceri pe care 71,6% din angajații lor le ocolesc deja.

Serverul MCP și extensia Chrome ale anonym.legal oferă stratul de control tehnic care face adoptarea AI din întreprinderi compatibilă cu securitatea datelor. Ambele instrumente funcționează transparent — angajații utilizează AI în mod normal; datele sensibile sunt anonimizate înainte de a ajunge la furnizorii externi de AI.

Surse:

Articole Asemănătoare

Securitate AI

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Securitate AI

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Securitate AI

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Pregătit să vă protejați datele?

Începeți să anonimizati PII cu 285+ tipuri de entități în 48 de limbi.

Începeți Proba GratuităVizualizați Funcționalitățile