W tym artykule spróbuję Wam przybliżyć niebezpieczeństwa związane z AI. Wszystko w oparciu o rzeczywiste dane, by zainspirować Was, abyście dokładnie sprawdzali, z jakich treści korzystacie, tak, aby nie przysporzyć problemów sobie oraz firmie, w której pracujecie.
AI na co dzień
Zapewne każdy z Was na co dzień korzysta z usług sztucznej inteligencji. AI stała się nieodłącznym elementem współczesnego miejsca pracy, oferując bezprecedensowe możliwości zwiększenia produktywności i innowacyjności. Co, jeśli Wam powiem, że jej ingerencja niesie ze sobą znaczące wyzwania w zakresie bezpieczeństwa danych, zgodności z przepisami i zarządzania ryzykiem? Aż 88% naruszeń danych jest spowodowanych błędami pracowników, co dobitnie pokazuje z jaką skalą braku świadomości mamy do czynienia [1]
Obecny stan i kluczowe wyzwania
Dobrym przykładem kontroli własnych treści AI jest Microsoft. Wszystko, co zostaje wygenerowane przez AI, przechodzi ścisłą kilkupoziomową kontrolę, co w ich wypadku jest szczególnie wymagane, gdyż, jak twierdzi Satya Nadella (CEO Microsoft), aż 30% kodu jest obecnie pisane przez sztuczną inteligencję [2]
Niestety, nie wszystkie firmy idą śladem Microsoft i ten dynamiczny rozwój dla wielu z nich jest skokiem, który wiąże się z poważnymi wyzwaniami bezpieczeństwa. Tylko 27% organizacji dokonuje przeglądu treści generowanych przez AI przed ich wykorzystaniem, co wskazuje na ogromną lukę w procesach kontroli jakości i bezpieczeństwa [3]
Problem Shadow AI
Niepokojącym stało się narastające zjawisko nazywane Shadow AI. Czym jest Shadow AI? To wykorzystywanie narzędzi sztucznej inteligencji przez pracowników bez formalnej zgody lub nadzoru ze strony działów IT i bezpieczeństwa w firmie. Jest to ewolucja znanego wcześniej zjawiska Shadow IT, ale o znacznie większych konsekwencjach i ryzyku. 11% danych wklejanych przez pracowników do ChatGPT jest klasyfikowanych jako poufne [4]
Przyjrzyjmy się temu zjawisku na przykładach.
Przykład Shadow AI: Historia Pana Marka
Poznajcie hipotetycznego Pana Marka – specjalistę ds. marketingu. Pan Marek pracuje w średniej firmie IT w Krakowie jako specjalista ds. marketingu. Jest ambitny, lubi nowe technologie i zawsze szuka sposobów na zwiększenie swojej produktywności. Oto, jak stopniowo wpadł w pułapkę Shadow AI.
Tydzień 1 – niewinny początek
Pan Marek ma napisać newsletter do klientów, ale brakuje mu inspiracji.
Co zrobił? Otworzył ChatGPT na osobistym koncie, wkleił brief produktu i poprosił o pomoc w napisaniu newslettera. Otrzymał świetny tekst w kilkanaście minut zamiast 2 godzin pracy.
Rezultat: Newsletter wysłany o 9:00 zamiast 11:00. Szef zadowolony, klienci zachwyceni.
Tydzień 2 – wzrost apetytu
Pan Marek był zachwycony efektywnością. Zaczął zatem angażować ChatGPT bardziej konkretnie:
- Wklejał dane z Google Analytics i prosił o analizę trendów.
- Uploadował zdjęcia konkurencji z logami i prosił o analizę strategii.
- Kopiował wewnętrzne e-maile z danymi finansowymi.
- Wklejał listy klientów do segmentacji.
Tydzień 3 – pierwszy czerwony sygnał
Pan Marek zauważył, że konkurencyjna firma opublikowała post na LinkedIn, używając bardzo podobnej terminologii do ich wewnętrznej strategii.
Tydzień 4 – wszystko się sypie jak domek z kart
Dział bezpieczeństwa informuje o „nietypowym ruchu danych” z komputera Pana Marka. Szef prosi o spotkanie.
- Ruch wyłapał przesyłanie 2,3 GB danych do zewnętrznych serwerów.
- Nastąpił wyciek poufnych danych klientów takich jak numery PESEL, numery kont bankowych, etc.
Finał „przygody” z AI hipotetycznego Pana Marka
Dla Pana Marka:
- Zwolnienie dyscyplinarne bez odprawy.
- Pozew cywilny od firmy o odszkodowanie.
- Zrujnowana reputacja w branży.
- Postępowanie karne za naruszenie tajemnicy przedsiębiorstwa.
Dla firmy:
- Kary RODO (2% obrotu firmy).
- Koszty prawnicze i audytu.
- Utrata przychodu od odchodzących klientów.
Co naprawdę się stało?
Okazało się, że:
- ChatGPT przechował część danych w historii konwersacji.
- Konkurent użył podobnych zapytań i otrzymał fragmenty strategii Pana Marka w odpowiedziach.
- Dane klientów zostały wykorzystane do trenowania modelu i „przeciekły” w innych odpowiedziach.
- Automatyczne systemy połączyły dane z różnych źródeł, tworząc profil firmy.
Przykłady z prawdziwego zdarzenia
Przypadek ze świata: Samsung – kod źródłowy w ChatGPT
W maju 2023 roku trzech pracowników Samsunga w dziale półprzewodników wykorzystało ChatGPT do pomocy w pracy, nieświadomie przekazując poufne dane firmowe.
Pierwszy incydent: Inżynier wkleił błędny kod źródłowy z bazy danych zakładu Samsung do ChatGPT, szukając rozwiązania problemu.
Drugi incydent: Pracownik wprowadził kod programu do identyfikacji wadliwego fragmentu, prosząc o optymalizację.
Trzeci incydent: Pracownik przekonwertował nagranie firmowego spotkania na tekst i wprowadził do ChatGPT, żeby otrzymać notatki ze spotkania [5]
Konsekwencje prawne i organizacyjne:
- Natychmiastowy, całkowity zakaz używania ChatGPT, Google Bard i Bing Chat przez wszystkich pracowników na urządzeniach firmowych.
- Groźba zwolnienia – Samsung ostrzegł, że pracownicy, którzy naruszają zasady firmy przez używanie generative AI mogą zostać zwolnieni.
- Ograniczenie uploadów do maksymalnie 1024 bajtów na prompt.
- Konieczność budowy własnego AI – Samsung musiał stworzyć wewnętrzne rozwiązanie.
Przypadek w Polsce: PKO BP – wyciek danych przez systemy AI/UEM
8 września 2025 roku PKO Bank Polski otrzymał wiadomość od osoby podającej się za „testera”, która twierdziła, że posiada służbowe dane kontaktowe pracowników banku. Po weryfikacji potwierdzono rzeczywisty wyciek z systemu Unified Endpoint Management (UEM), który zawierał elementy AI do zarządzania urządzeniami [7][8]
Skala wycieku:
- 32 815 użytkowników (pracowników) – imiona, nazwiska, adresy e-mail, numery telefonów.
- 17 135 urządzeń – UUID, numery seryjne, adresy MAC.
- 80 kont administratorów – szczególnie wrażliwe dane dostępowe.
Konsekwencje prawne i organizacyjne:
- Natychmiastowe zgłoszenie do UODO – bank powiadomił Urząd Ochrony Danych Osobowych.
- Ryzyko kary RODO – potencjalna grzywna do 4% rocznych obrotów banku.
- Zniszczona reputacja – dane pojawiły się w darknecie na sprzedaż.
Framework bezpiecznego wykorzystania AI
Rozumiejąc teraz skalę zagrożenia, przyjrzyjmy się, co możemy zrobić, aby nie powielać tych błędów. Przeanalizujmy poniższe kroki.
Faza 1: Ustal swoje osobiste zasady korzystania z AI
Stwórz własny „kodeks AI” – jasne zasady, których będziesz się trzymać, żeby nie wpaść w kłopoty.
Twoja osobista lista „można”:
- Pomoc w pisaniu – korekta gramatyki, poprawa stylu (ale bez poufnych treści!).
- Burza mózgów – generowanie pomysłów na projekty (ogólnych, nie konkretnych).
- Nauka i rozwój – wyjaśnianie pojęć, tłumaczenie ogólnych tekstów.
- Automatyzacja – tworzenie szablonów, fragmentów kodu (bez prawdziwych/wrażliwych danych).
Twoja osobista lista „NIE MOŻNA”:
- Dane klientów – żadnych numerów PESEL, numerów telefonu, adresów, e-maili.
- Informacje firmowe – strategie, budżety, kody dostępu, hasła.
- Dokumenty poufne – umowy, raporty finansowe, plany rozwoju.
- Dane osobowe współpracowników – lista pracowników, oceny, zarobki.
Faza 2: Zabezpiecz się technologicznie
- Naucz się korzystać z AI tak, żeby minimalizować ryzyko. To jak jazda samochodem – możesz jechać szybko, ale zapnij pasy!
Praktyczne wskazówki dla Ciebie
Bezpieczne logowanie:
- Używaj osobnych kont – prywatne AI na prywatnym laptopie, służbowe (jeśli są) na służbowym.
- Włącz 2FA – dwuetapowe logowanie na wszystkich kontach AI.
Zarządzanie danymi:
- Czyść historię – regularnie usuwaj konwersacje z AI zawierające dane związane z pracą.
- Używaj trybu „off-the-record”, jeśli AI ma taką opcję (np. ChatGPT ma „temporary chat”).
- Sprawdzaj ustawienia prywatności – wyłącz trenowanie modeli na twoich danych.
Podsumowanie
Jak widać, jeden niewłaściwie wklejony kod może oznaczać całkowity zakaz AI w firmie i groźbę zwolnienia. Wyciek danych z systemów AI może kosztować miliony euro kar i nieodwracalne szkody reputacyjne.
Osobiście sam korzystam z pomocy AI na co dzień, choćby wspomagając się przy pisaniu tego artykuły. Mogę śmiało powiedzieć, że AI jest narzędziem, które pomaga nie tylko w zadaniach codziennych, ale i w samorozwoju. Dlatego gorąco zachęcam Was do korzystania z usług sztucznej inteligencji, lecz w myśl zasady „wszystko jest dla ludzi, ale…”.
Źródła
[1] 68% of Organizations Experienced Data Leakage From Employee AI Usage
[2] Satya Nadella says as much as 30% of Microsoft code is written by AI
[3] The state of AI: How organizations are rewiring to capture value
[4] 11% of data employees paste into ChatGPT is confidential
[5] Samsung Bans ChatGPT Among Employees After Sensitive Code Leak
[6] Samsung Bans Staff From Using AI Like ChatGPT, Bard After Data Leak – Business Insider
[7] PKO Bank Polski Allegedly Breached – Data of 32,000 Employees for Sale – Daily Dark Web
Zostaw komentarz