AI zagościło na dobre, a firmy dopiero zaczynają odkrywać, jak wykorzystać jego moc do napędzania swojego biznesu. Każdego dnia firmy spieszą się, aby zintegrować AI z niezliczonymi procesami pracy: jest używane do podsumowywania dokumentów, automatyzowania raportów, tworzenia analiz predykcyjnych i zapewniania wsparcia za pomocą chatbotów. Te zmiany zachodzą szybko i otwierają nowe drzwi dla firm dużych i małych, ale potencjalnie narażają też cenne dane zastrzeżone firm na nowe ryzyka.

Kiedy firmy udostępniają swoje poufne informacje dla AI, nie zawsze jest jasne, czy te informacje mogą zostać ponownie wykorzystane lub zindeksowane przez duże modele językowe (LLM) jako dane treningowe. Istnieją również liczne przykłady przypadkowego ujawnienia wrażliwych informacji przez narzędzia AI. To nie są po prostu obawy o prywatność; to ryzyka bezpieczeństwa, które każda firma musi rozważyć przed użyciem narzędzi AI na swoich przechowywanych plikach.

Jak AI może narazić Twoje pliki na ryzyko bez Twojej wiedzy

AI ewoluowało i rozprzestrzeniało się w tempie wykładniczym. Podczas gdy większość ludzi najlepiej zna chatboty, takie jak ChatGPT czy Claude, Big Tech integruje generatywne systemy AI, które mogą pobierać, indeksować i podsumowywać treści w usługach arkuszy kalkulacyjnych, dokumentów i e-mail. Ta integracja przynosi potężne możliwości, ale wprowadza znaczne ryzyko, z którego niewiele osób zdaje sobie sprawę.

Według badania bezpieczeństwa AI z 2025 roku(nowe okno), Microsoft Copilot — który jest wbudowany w narzędzia takie jak Excel, Word i SharePoint — uzyskał dostęp do prawie 3 milionów wrażliwych rekordów na organizację tylko w pierwszej połowie roku. Wykazało ono również, że organizacje średnio przeprowadzały ponad 3000 interakcji z Copilotem, w których wrażliwe informacje biznesowe mogły zostać ujawnione. A badanie Google stwierdziło, że 90% pracowników(nowe okno) w branży technologicznej używa AI do pisania lub modyfikowania kodu. Nawet jeśli te liczby są zawyżone, organizacje muszą uwzględnić narzędzia AI w swoim modelu zagrożeń.

To nowy rodzaj ryzyka bezpieczeństwa. Te pliki nie zostały udostępnione na zewnątrz. W rzeczywistości mogły w ogóle nie zostać udostępnione. Ale ponieważ były przechowywane w plikach, do których Copilot mógł uzyskać dostęp, zawarte w nich informacje mogły zostać zebrane bez wiedzy użytkowników.

Może to mieć poważne konsekwencje. Policja w Szwajcarii(nowe okno) (źródło w języku francuskim) i FBI w USA(nowe okno) zostały już przyłapane na wykorzystywaniu logów ChatGPT w swoich dochodzeniach. Jeśli firmy Big Tech są przykładem, można się spodziewać, że firmy AI wkrótce otrzymają setki tysięcy żądań o dane od rządów USA i UE, jeśli już ich nie otrzymują.

Bezpieczne przechowywanie danych jest niezwykle trudne, gdy narzędzia AI są tak głęboko osadzone w aplikacjach, których używasz na co dzień. Pliki przechowywane na dyskach firmowych stają się przeszukiwalne, możliwe do podsumowania i ostatecznie podatne na ataki, zacierając tradycyjne koncepcje bezpieczeństwa dotyczące dostępu, uprawnień i nadzoru.

A co z Google Workspace i Gemini?

Te ryzyka nie ograniczają się do Microsoft Copilot. Google Workspace podobnie integruje swoje narzędzie AI, Gemini, bezpośrednio z Drive, Arkuszami i Dokumentami.

Wiele przedsiębiorstw prawdopodobnie spojrzy na Google Workspace z integracją Gemini jak na silny standard. Według własnej strony Google(nowe okno): „Twoje dane nie są przeglądane przez ludzi ani wykorzystywane do trenowania modeli generatywnej AI poza Twoją domeną bez pozwolenia”.

Jednak zasady, które Google stosuje do pobierania informacji w celu trenowania swojego systemu AI, są nakreślone w sposób, który tworzy szarą strefę i rodzi pytania:

  • Google teraz faktycznie używa czatów konsumenckich i przesłanych plików do trenowania Gemini domyślnie, chyba że zrezygnujesz z tej opcji.
  • Strony wsparcia Google Gemini(nowe okno) ostrzegają, że informacje udostępnione w aplikacjach Gemini będą przeglądane przez ludzi i mogą zostać wykorzystane jako zbiór danych do trenowania AI.
  • W swoim wyjaśnieniu dotyczącym prywatności Gemini, Google ostrzega użytkowników(nowe okno), aby nie udostępniali poufnych informacji.
  • Dokumentacja dla firm pozostawia pole do interpretacji, używając zwrotów takich jak „bez pozwolenia”.
  • Dostawcy zabezpieczeń zwrócili uwagę na warunki, w których dane biznesowe mogłyby stać się danymi wejściowymi do trenowania, zwłaszcza że funkcje AI stają się ściślej zintegrowane z narzędziami do przechowywania plików, wyszukiwania i przepływu pracy.

Ten brak jasności jest niepokojący, gdy Gemini jest zintegrowane z Drive, Dokumentami i Arkuszami. To nie tylko kwestia błędnego udostępniania plików, ale tego, jak te pliki niechcący stają się częścią procesów AI. Jak AI będzie pobierać, indeksować, analizować i przechowywać monity lub wyniki, i czy te logi nadal będą pod kontrolą Twojej organizacji?

Nawet dobrze zarządzany system, taki jak Google Workspace, nie jest prywatny i ma zamknięty kod źródłowy. Takie systemy mogą łagodzić wiele ryzyk, ale dla firm przechowujących bardzo wrażliwe dane wymagany poziom zaufania może być nadal zbyt wysoki.

Jak znaleźć prywatne AI dla swojej firmy

Każdy plik, który przesyłasz lub udostępniasz w systemie obsługującym AI, zwiększa powierzchnię ataku. Samo przesyłanie plików do pamięci w chmurze może narazić te pliki na trening AI, w zależności od usługi i planu. Jeśli te przesłane pliki są przechowywane, indeksowane lub dostępne w sposób, którego nie jesteś świadomy lub którego nie możesz kontrolować, Twoja własność intelektualna jest zagrożona.

Zanim Twoja firma wybierze narzędzie AI, powinieneś zapytać, czy możesz zagwarantować, że ono lub jego system przechowywania plików nie zachowa ani nie ujawni krytycznych danych.

Oto dwa konkretne żądania, które powinieneś postawić każdemu biznesowemu narzędziu AI:

  • Brak retencji danych: System AI nie powinien logować ani przechowywać monitów, odpowiedzi ani przesłanych plików poza sesją biznesową, chyba że jest to wyraźnie wymagane — a te logi powinny być pod pełną kontrolą Twojej firmy.
  • Brak zewnętrznego trenowania: Dane Twojej firmy (w tym przechowywane pliki) nie mogą być wykorzystywane do trenowania innych modeli poza domeną biznesową ani udostępniane innym najemcom.

Co możesz teraz zrobić

Zanim wybierzesz odpowiednie narzędzia, musisz ocenić swoją sytuację i upewnić się, że nie ujawniasz już nieumyślnie wrażliwych danych:

  • Przeprowadź audyt ryzyka przechowywania plików w AI: Zidentyfikuj wszystkie udostępnione dyski, foldery zespołowe i pamięć w chmurze, z którymi łączą się narzędzia AI, a następnie zmapuj, które narzędzia pobierają lub indeksują te pliki.
  • Zdefiniuj jasną politykę zarządzania pobieraniem plików do AI: Określ, które narzędzia AI są zatwierdzone, jakie typy plików są dozwolone, czy indeksowanie plików repozytorium jest wyłączone itp.
  • Żądaj dostawcy/rozwiązania, które oferuje prywatne AI z rygorystycznymi kontrolami: Wybierz asystenta AI, który oferuje „brak logów, brak trenowania, brak udostępniania” jako podstawę.
  • Monitoruj i ograniczaj „shadow AI”, czyli poszczególnych członków zespołu korzystających z AI poza ramami zespołu bezpieczeństwa, oraz nieautoryzowane przesyłanie plików do narzędzi AI. Egzekwuj to poprzez zapobieganie utracie danych oraz praktyki zarządzania tożsamością i dostępem, a także logowanie audytowe.
  • Wybierz dostawcę, którego model biznesowy nie opiera się na sprzedaży lub wydobywaniu danych. Zapewnia to, że jego zachęty zawsze są zgodne z utrzymaniem bezpieczeństwa Twoich danych.

Proton oferuje produktywność AI bez ryzyka

Żadna firma nie chce nieświadomie przekazywać swoich wrażliwych informacji. Dlatego narzędzia Proton for Business są zbudowane wokół potężnego szyfrowania, które daje Ci kontrolę nad tym, kto może uzyskać dostęp do Twoich informacji.

Proton Drive używa szyfrowania end-to-end na wszystkich Twoich plikach, więc nikt, nawet Proton, nie może uzyskać do nich dostępu, chyba że je udostępnisz. Zapobiega to narażeniu Twoich plików na działanie AI lub wykorzystaniu ich do trenowania AI. Proton Drive daje Ci również możliwość ochrony linków udostępniania hasłem lub wyłączenia dostępu jednym kliknięciem, co oznacza, że zachowujesz kontrolę.

Zbudowaliśmy też Lumo for Business, prywatnego asystenta AI, który pracuje tylko dla Ciebie, a nie odwrotnie. Bez przechowywanych logów, z każdą rozmową i plikiem, który przesyłasz, zaszyfrowanym, Lumo utrzymuje Twoje rozmowy w poufności, a Twoje dane w pełni pod Twoją kontrolą — nigdy nie są udostępniane, sprzedawane ani kradzione.

W Proton budujemy wszystkie nasze produkty z myślą o prywatności od samego początku (privacy by design). Firmy powinny móc przechowywać pliki i używać AI z pewnością, wiedząc, że ich najbardziej wrażliwe informacje pozostają chronione.

W przeciwieństwie do Big Tech, Proton nie zarabia na sprzedaży Twoich danych. Jesteśmy wspierani wyłącznie przez naszą społeczność, a nie reklamodawców, a nasza baza w przyjaznej dla prywatności Europie zapewnia nam ochronę prawną, aby zagwarantować, że możemy spełnić nasze obietnice. Co najważniejsze, jesteśmy własnością organizacji non-profit Proton Foundation, której jedyną misją jest promowanie prywatności i wolności.

Korzystając z Lumo for Business(nowe okno), możesz cieszyć się korzyściami zaawansowanego asystenta AI bez ryzyka niewłaściwego wykorzystania Twoich danych.