anonym.legal

By · Last updated 2026-06-05

Povratak na blogBezbednost veštačke inteligencije

Prevencija curenja podataka u realnom vremenu za AI alate

Kada zaposleni ukuca ime klijenta u ChatGPT, podaci trenutno napustaju organizacijsku kontrolu. Naknadni DLP ne moze to da popravi.

June 5, 20267 min čitanja
AI data preventionChatGPT PIIreal-time anonymizationDLP alternativeChrome Extension

Prevencija curenja licnih podataka u realnom vremenu: Zaustavljanje AI propusta pre nego sto se dogode.

Azurirano za 2026.

U martu 2023, inzenjer kompanije Samsung nalepeo je izvorni kod u ChatGPT. Kod je odmah napustio kontrolu Samsunga. Nijedan alat ga nije uhvatio na vreme. Naknadne bezbednosne kontrole ne mogu da zaustave curenje podataka kroz AI alate. Ovaj dogadjaj to je dokazao.

Alati za detekciju vam govore sta se desilo nakon cinjenice. Provera logova, endpoint DLP i revizorski zapisi funkcionisu na ovaj nacin. Za AI propuste, nakon cinjenice je prekasno. Podaci su vec stigli do AI modela.

Razmere problema

Studija kompanije Cyberhaven iz 2025. proucavala je kako firme koriste AI. Nalazi su bili zapanjujuci.

  • 11% svih ChatGPT upita sadrzi privatne ili osetljive podatke.
  • Prosecni radnik koristi AI alate 14 puta dnevno.
  • Zaposleni koji ih koriste intenzivno interaguju 30 do 50 puta dnevno.
  • Pri 11%, to znaci 3 do 5 osetljivih slanja po radniku dnevno.

U firmi sa 500 zaposlenih koji intenzivno koriste AI, ovo se sabira na vise od 2.000 osetljivih slanja dnevno. Svako moze biti prekrsaj prema GDPR clanu 83. Rizik nije samo pravni. Poverenje i reputacija su takodje u pitanju.

Uobicajeni tipovi osetljivog sadrzaja u AI upitima ukljucuju sledece.

  • Imena klijenata i kontakt detalji.
  • Brojevi racuna i evidencije placanja.
  • Medicinske beleski zdravstvenih radnika.
  • Detalji predmeta od advokata.
  • Beleski o proceni zaposlenih od HR timova.
  • Interne projekcije prihoda ili prodaje.

Studija ne razlikuje namerno od slucajnog deljenja. Oba stvaraju isti pravni rizik. Radnik koji zaboravi da ukloni ime klijenta uzrokuje isti prekrsaj kao onaj koji ignorise pravilo. Namera ne menja ishod.

Zasto detekcija nije dovoljna

Mrezne provere ne mogu da citaju HTTPS saobracaj bez TLS blokiranja. TLS blokiranje dodaje opterecenost i pokrace probleme privatnosti. Moderni pregledaci ga cesto odbijaju.

Endpoint DLP agenti prate unos putem ostave i tastature. Ali imaju kasnjenje. Do trenutka kada agent oznaci uzorak, upit je mozda vec poslan.

Revizorski zapisi dobavljaca beleze sta je podeljeno nakon sto je podeljeno. Pomazu u odgovoru. Ne zaustavljaju curenja.

Obuka zaposlenih je politika, ne kontrola. Studija Cyberhaven pokazuje da 11% upita i dalje sadrzi osetljiv sadrzaj u firmama sa jasnim pravilima. Obuka ne sprecava slucajno deljenje ili propuste tokom rada.

Blokiranje AI alata uklanja dobitke produktivnosti. Zaposleni tada koriste licne uredjaje ili naloge. To stavlja rad van bilo kakvog nadzora.

Nijedna od ovih metoda ne sprecava osetljivi sadrzaj da u realnom vremenu stigne do AI sistema.

Prevencija na tacki unosa

Jedina sigurna odbrana je maskiranje pre nego sto se upit posalje. Ime klijenta zamenjeno sa [PERSON_1] pre nego sto napusti pregledac nikada ne vidi AI model.

Evo kako funkcionise inline maskiranje.

  1. Radnik ukuca email klijenta u Claude ili ChatGPT.
  2. Dodatak za pregledac detektuje licne podatke u realnom vremenu.
  3. Entiteti su oznaceni etiketama tipa: OSOBA, EMAIL_ADRESA, BROJ_RACUNA.
  4. Radnik pregleda oznacene stavke.
  5. Jedan klik zamenjuje sve entitete tokenima.
  6. Maskirani upit se salje.

AI dobija upit ovako: "Klijent [PERSON_1] na [EMAIL_1] ima racun [ACCOUNT_1]."

AI obradjuje zahtev. Nikad ne vidi prava imena ili brojeve. Radnik zna koji je pravi klijent iz konteksta.

Ovaj pristup ima jasne prednosti.

  • Licni podaci ne odlaze u spoljne AI sisteme.
  • Detalji klijenata se ne dodaju u setove za obuku AI-a.
  • Zaposleni zadrzavaju pristup AI alatima. Produktivnost ostaje visoka.

Ovo ne sprecava namerno deljenje ako radnik zaobilazi alat. Otpremanje fajlova zahteva poseban radni tok. Nijedna kontrola nije savsena. Ali inline maskiranje uklanja slucajnu grupu. Ta grupa cini vecinu incidenata. Rezultat je znacajno smanjenje rizika bez promene svakodnevnog radnog toka.

Studija slucaja: Advokatska kancelarija

Zaposleni u advokatskoj kancelariji koristili su Claude za izradu napomena o ugovorima. Njihova metoda: kopiranje delova ugovora, lepljenje u Claude, zahtev za sazetak.

Pre koriscenja Chrome Extensions - prvih 6 meseci:

  • 3 incidenta sa podacima klijenta pronadjena tokom pregleda.
  • Svaki incident: ime klijenta plus referentni broj predmeta pojavio se u upitu.
  • Sva 3 su bila slucajna.

Nakon koriscenja Chrome Extensions - sledecih 6 meseci:

  • Nula incidenata sa podacima klijenta.
  • Zaposleni su dobijali upozorenja u realnom vremenu pri lepljenju delova sa imenima klijenata.
  • Jedan klik je zamenio "Johnson Controls Predmet 2024-0347" sa "[PERSON_1] Predmet [REFERENCE_1]."
  • Metoda je ostala ista.

Upravni partner je rekao: "Nasi zaposleni su znali politiku pre dodatka. Dodatak je uskladjenost ucinio najlaksim putem."

Pogledajte kako su druge firme resile ovo u nasim studijama slucajeva. Pregledajte kontrole u pregledu bezbednosti.

GDPR zapisi za timove za uskladjenost

Firme koje koriste maskiranje AI u pregledacu moraju ga dokumentovati kao tehnicku kontrolu.

Evidencija obrade (ROPA): Navedite da AI upiti prolaze kroz maskiranje na strani klijenta pre dostizanja dobavljaca. Navedite tipove entiteta, verziju engine-a i evidencije o razmestanju kao dokaz.

Sporazumi sa procesorima podataka: Kada do AI dobavljaca ne stignu licni podaci, obaveze prema DPA su jednostavne. Licni podaci koje cuvate nikad ne napustaju vas sistem.

Revizorski zapisi: Zapisi dodatka beleye broj entiteta po sesiji, stopu maskiranja i tipove entiteta po obimu. Ove metrike se koriste u izvestajima o uskladjenosti.

Pregledajte GDPR pravila za AI alate u nasem vodichu za pravnu uskladjenost i recniku. Uobicajena pitanja su u nasim FAQ.

Zakljucak

Samsung incident je pokazao da AI propusti se desavaju brze nego sto bilo koja naknadna kontrola moze da reaguje. Cyberhaven studija je stavila broj na to: 11% upita, mnogo puta po radniku, svaki dan.

Maskiranje u realnom vremenu pre slanja resava korenski uzrok. Kada licni podaci nikad ne stignu do AI-a, nema sta da se detektuje, belezi ili cisti. Zaposleni zadrzavaju AI alate. Firme zadrzavaju status uskladjenosti.

Detekcija vam govori kada je prevencija zakazala. Za AI propuste, cena neuspeha - kazne, steta po reputaciju, gubitak poverenja - opravdava prevenciju pre svega.

Istrazite cene za vasu firmu. Procitajte nasu izjavu osnivaca o tome zasto je prevencija-prvo nas osnovni princip dizajna.

Izvori

  • Cyberhaven: AI Data Exposure Study 2025 - cyberhaven.com.
  • Samsung ChatGPT Data Breach, mart 2023. - Bloomberg.
  • GDPR clanovi 4 i 32: Licni podaci i tehnicke mere - gdpr-info.eu.

Povezani članci

Bezbednost veštačke inteligencije

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

Bezbednost veštačke inteligencije

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

Bezbednost veštačke inteligencije

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Spremni da zaštitite svoje podatke?

Počnite sa anonimizacijom PII sa 285+ tipova entiteta na 48 jezika.

Započnite besplatnu probuPogledajte funkcije

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.