Представьте: у вашей компании появился новый хакер. Поздравляем — это вы. Не злодей в худи, а спешащий сотрудник, который хотел сдать отчет до обеда, а вместо этого накормил языковую модель секретами. С кем не бывает? С безопасностью.
Свежий отчет 1Password «The Access-Trust Gap» рисует парадокс эпохи ИИ. 73% работников сегодня прямо поощряют использовать AI-инструменты, но больше трети признаются: корпоративные правила соблюдают не всегда. Так рождается «Shadow AI» — теневая ИИ-инфраструктура из неутвержденных приложений и запросов, где конфиденциальные данные гуляют без сопровождения службы ИБ.
Пока ИТ строит плотины, вода уже нашла трещины. Классические опоры — SSO и MDM — не успевают за облачно-ИИшным темпом. Видимость падает, управление расслаивается, а тень от «умных» тулов вытягивается через отделы и процессы. Половина сотрудников хотя бы раз ставила софт без одобрения ИТ; две трети до сих пор цепляются за слабые пароли; 38% признаются, что входили в аккаунты прежних работодателей. Что уж говорить о праваx доступа, которые живут дольше самих проектов.
Ирония в том, что все вроде бы знают, куда двигаться: passkeys, парольная диета, «нулевое доверие». Но большинство организаций по-прежнему опираются на старые механизмы, которые в момент рождения не знали ни облака, ни LLM. Так и растет тот самый «разрыв доступа и доверия»: входов больше, чем дверей, а доверия — меньше, чем стульев на совещании.
Что с этим делать по-взрослому, но без драм? Во-первых, перестать винить пользователей: скорость — официальный KPI, а риск — побочный эффект. Во-вторых, очертить красные линии для ИИ: где можно, где нельзя, и как прятать секреты за прокси и санкционированными провайдерами. В-третьих, минимизировать сбор и хранение чувствительных данных — то, чего нет, нельзя утечь в промпте. И, наконец, измерять: кто чем пользуется, куда текут токены, где заканчиваются полномочия.
Потому что новый хакер — не Джеймс Бонд, а мы с вами в понедельник утром. И если дать нам удобные, понятные, одобренные инструменты, «Shadow AI» вернется туда, где ей и место — в учебники по безопасности, а не в квартальные отчеты.