Nabibigo ang AI Policy Nang Walang Teknikal na Kontrol

Kapag Nakaharap ang Patakaran sa Tunay na Gawi

Nakalagay sa presyur ang isang government contractor. Mayroon siyang backlog ng mga aplikasyon ng FEMA flood-relief na ipoproseso. Nag-paste siya ng mga pangalan, address, at rekord ng kalusugan sa ChatGPT para mapabilis ang trabaho. Sa kanyang isip, hindi siya lumabag sa batas. Gumamit lang siya ng pinakamahusay na tool na mayroon.

Ang resulta: isang imbestigasyon ng gobyerno at isang pampublikong pagsisiwalat.

Ito ang pangunahing kabiguan ng policy-only AI governance. Sinasabi ng mga patakaran sa mga empleyado kung ano ang gagawin. Hindi nila pinipigilan ang gawi.

77% ng mga empleyado sa enterprise ang nagbabahagi ng sensitibong data sa trabaho sa mga AI tool nang hindi bababa sa isang beses bawat linggo — kahit ipinagbabawal ito ng patakaran (eSecurity Planet/Cyberhaven 2025). Hindi ito mga walang ingat na manggagawa. Ito ay mga taong nasa ilalim ng presyur ng oras na pumipili ng pinakamabilis na tool.

Bakit Nasisira ang mga Patakaran

Umaasa ang mga patakaran sa paggamit ng AI sa pagpapasya ng tao sa punto ng input. Mabilis ang sandaling iyon. Maaaring hindi matandaan ng empleyado ang patakaran. Maaaring hindi nila makita ang nilalaman bilang "sensitibo." Maaari nilang tanggapin ang panganib dahil malaki ang pakiramdam ng pagtitipid ng oras.

Natuklasan ng pagsusuri ng Cyberhaven Q4 2025 na naglalaman ng kumpidensyal na impormasyon ng negosyo ang 34.8% ng lahat ng input sa ChatGPT. Marami sa mga gumagamit na iyon ang nakaalam ng patakaran. Nag-paste pa rin sila.

Gumagana ang mga patakaran sa access dahil ipinapatupad ng mga sistema ang mga ito. Gumagana ang DLP sa layer ng email dahil inaaplayan ito ng mga sistema. Ang mga patakaran sa paggamit ng AI ay walang pagpapatupad sa punto ng pag-paste. Isang desisyon ng tao ang pumupuno ng agwat na iyon. Sa malaking sukat, nagkakamali ang mga tao.

Isang ganitong pagkakamali ang ginawa ng FEMA contractor. Hindi siya isang masamang aktor. Nanalo ang tool dahil hinihingi ng patakaran na piliin niya ang pagkabagal kaysa sa bilis. Sa ilalim ng presyur, pinili niya ang bilis.

Pinipigilan ng Teknikal na Kontrol ang Hindi Kayang Pigilan ng mga Patakaran

Ang tanging solusyon na gumagana sa malaking sukat ay nag-ooperate sa teknikal na layer — hindi sa layer ng pagsasanay.

Maaaring harangin ng browser extension ang nilalaman ng clipboard bago ito makarating sa anumang web-based na AI. Kapag kinokopya ng contractor ang mga pangalan at address ng aplikante at nag-paste sa ChatGPT, dine-detect ng extension ang PII, ini-anonymize ito, at ipinapadala ang malinis na bersyon. Nakikita ng AI ang [NAME_1] at [ADDRESS_1] sa halip ng mga tunay na halaga. Nakumpleto pa rin nito ang gawain. Ang pribadong detalye ng aplikante ay hindi kailanman umaabot sa mga server ng ChatGPT.

Awtomatiko ito. Hindi hihingin sa user na tandaan ang anumang bagay.

Para sa mga developer na gumagamit ng Cursor o GitHub Copilot, ang isang MCP Server ay nagbibigay ng parehong layer. Ang code na ini-paste sa AI context ay dumadaan muna sa anonymization engine. Ang mga credential at proprietary na identifier ay nagiging mga token. Tumatanggap ang AI ng malinis na input at nagbibigay pa rin ng kapaki-pakinabang na output.

Tingnan kung paano ito kumpara sa blocking: Blocking vs. Anonymization — Browser DLP Compared.

Ano ang Nagbabago sa Teknikal na Kontrol

Sa isang browser extension na nakalagay, ang senaryo ng FEMA contractor ay naiiba ang takbo:

1. Kinokopya ng contractor ang mga rekord ng aplikante mula sa case system
2. Dine-detect ng extension ang PII sa clipboard
3. Isang preview modal ang nagpapakita ng papalitan
4. Ang anonymized na bersyon ay pumupunta sa ChatGPT
5. Pinoproseso ng ChatGPT ang kahilingan at nagbabalik ng mga resulta
6. Nakukuha ng contractor ang kinakailangang tulong — walang na-trigger na imbestigasyon

Hindi kailangang baguhin ang patakaran. Hindi kailangang magpatakbo ng pagsasanay. Ang interception layer ang humawak nito.

Pinabababa ng pagsasanay sa patakaran ang panganib sa mga margin. Inaalis ng teknikal na kontrol ang failure mode. Ang insidente ng FEMA ay isang kabiguan ng patakaran. Magiging hindi kapansin-pansing pangyayari ito kung may isang Chrome Extension na naka-deploy sa device ng contractor na iyon.

Tingnan din:

• Enterprise AI Governance: Chrome Extension DLP
• Browser DLP para sa ChatGPT, Claude, at Gemini
• Chrome Extension: Browser DLP para sa mga AI Tool

Mga Pinagkukunan

• eSecurity Planet/Cyberhaven 2025: 77% ng mga empleyado ang nagbabahagi ng sensitibong data sa AI linggo-linggo
• Cyberhaven Q4 2025: Naglalaman ng kumpidensyal na data ng negosyo ang 34.8% ng lahat ng input sa ChatGPT
• LayerX 2025: AI data governance at pagsusuri ng policy enforcement gap