Кошмар каждой команды безопасности пришёл тихо: 77% сотрудников теперь вставляют конфиденциальные рабочие данные прямо в AI-чатботы, такие как ChatGPT, Claude, Gemini и DeepSeek. Согласно LayerX's 2025 GenAI Security Report, 32% всей корпоративной экфильтрации данных теперь происходит через инструменты AI.
Традиционные инструменты Data Loss Prevention (DLP) не были созданы для этого. Они были разработаны для мониторинга передачи файлов, USB-накопителей и вложений электронной почты.
Это руководство охватывает конкретную проблему защиты от потери данных AI на уровне браузера.
Почему традиционная DLP не может защитить промпты AI-чатбота
Корпоративные инструменты DLP, такие как Microsoft Purview, Symantec DLP и Forcepoint, были разработаны вокруг модели угроз 2015 года.
Промпты вводятся, а не передаются. Традиционная DLP не проверяет нажатия клавиш или содержимое буфера обмена в реальном времени на уровне браузера.
Канал — это HTTPS к потребительскому веб-приложению. DLP уровня сети видит зашифрованный трафик в chat.openai.com.
Ответ провайдера AI содержит производную информацию. Даже если вы перехватите входящие данные, AI может резюмировать PII несколькими способами.
Рабочий процесс законен. Сотрудники используют ChatGPT, потому что это делает их более продуктивными.
Что такое Browser DLP для AI?
Browser DLP для AI — это защита от потери данных, которая работает на уровне браузера.
- Пользователь вводит или вставляет текст, содержащий PII, в ChatGPT, Claude, Gemini или DeepSeek
- Browser DLP перехватывает перед завершением кнопки Send
- Запускается обнаружение PII — 285+ типов сущностей на 48 языках
- Пользователь подтверждает обнаруженные сущности и выбирает метод анонимизации
- Анонимизированный текст отправляется в AI
- AI отвечает анонимизированными токенами
- Ответ деанонимизируется
Расширение Chrome anonym.legal и сервер MCP реализуют это решение.
Источники:
- LayerX 2025 GenAI Security Report
- GDPR Recital 26 и Article 25
- Метод HIPAA Safe Harbor