Shadow AI w firmie – czym jest i dlaczego Twoi pracownicy już z niego korzystają
Shadow AI to korzystanie z narzędzi sztucznej inteligencji – ChatGPT, Gemini, Copilota, Claude i dziesiątek innych – przez pracowników bez wiedzy i kontroli firmy. Najczęściej dzieje się to przez prywatne konta, poza jakąkolwiek polityką bezpieczeństwa. Nazwa nawiązuje do „shadow IT", czyli oprogramowania używanego w organizacji bez zgody działu IT.
Jeśli zakładasz, że w Twojej firmie „nikt tego nie robi" – statystyki mówią co innego.
Skala zjawiska: to nie margines, to norma
Z badania Microsoft i LinkedIn (Work Trend Index 2024) wynika, że 75% pracowników wiedzy korzysta już z AI w pracy, a 78% z nich przynosi do pracy własne narzędzia AI (tzw. BYOAI – Bring Your Own AI), często zupełnie poza kontrolą pracodawcy.
To oznacza jedno: shadow AI nie jest problemem „firm technologicznych z Doliny Krzemowej". Dotyczy biura rachunkowego, kancelarii, agencji marketingowej i produkcyjnego MŚP tak samo.
Jak wygląda shadow AI w praktyce
Zwykle nie ma w tym złej woli – po prostu tak jest szybciej:
- Handlowiec wkleja ofertę i dane klienta do ChatGPT, żeby „ładniej to napisać".
- Księgowa prosi AI o sprawdzenie umowy albo przeliczenie zestawienia.
- Dział HR generuje opisy stanowisk na podstawie prawdziwych danych kadrowych.
- Programista wkleja fragment kodu wraz z konfiguracją i kluczami.
Każda z tych sytuacji to potencjalny wyciek danych poza organizację.
Dlaczego to jest ryzyko, a nie tylko wygoda
Problem w tym, że dane wpisane do darmowego narzędzia AI mogą opuścić Twoją firmę. W wielu bezpłatnych planach treści są domyślnie wykorzystywane do trenowania modeli, a Ty nie masz nad tym kontroli ani umowy powierzenia danych.
Najgłośniejszy przykład to Samsung, który w 2023 roku zakazał pracownikom korzystania z generatywnej AI po tym, jak inżynierowie wkleili do ChatGPT poufny kod źródłowy (informację podał m.in. Bloomberg). Z kolei firma Cyberhaven, analizując realny ruch, wykazała, że istotna część danych wklejanych przez pracowników do ChatGPT to informacje poufne.
Do tego dochodzi warstwa prawna – zgodność z RODO i AI Act: brak podstawy przetwarzania, brak umowy powierzenia, ryzyko kary i utraty zaufania klienta.
Bezpieczne AI to nie zakaz – to widoczność i zasady
Blokowanie AI zwykle nie działa (ludzie i tak znajdą sposób) i odbiera firmie realną przewagę. Bezpieczne korzystanie z AI w firmie oznacza:
- Widoczność – kto i z jakich narzędzi korzysta, na jakich kontach.
- Zasady – jakie dane mogą trafiać do AI, a jakie nigdy.
- Dokumenty – polityka korzystania z AI, aktualizacja rejestru RODO, umowy powierzenia.
- Świadomość – krótkie szkolenie zespołu.
Dla większości małych i średnich firm to kwestia tygodni, nie miesięcy.
Nie wiesz, jak duże jest ryzyko u Ciebie? Zrób nasz bezpłatny audyt AI – 13 pytań, wynik od ręki, bez rejestracji. Sprawdzisz w 3 minuty, gdzie Twoja firma jest bezpieczna, a gdzie shadow AI już dziś tworzy lukę.
Najczęstsze pytania
Czym różni się shadow AI od zwykłego korzystania z AI?
Shadow AI to korzystanie z AI poza kontrolą i wiedzą firmy – zwykle na prywatnych kontach, bez zasad i zabezpieczeń. Kontrolowane korzystanie z AI (na kontach służbowych, z politykami) ryzykiem nie jest.
Czy shadow AI jest nielegalne?
Samo w sobie nie, ale sposób ma znaczenie. Wklejanie danych osobowych czy poufnych do darmowych narzędzi bez odpowiednich ustawień i podstawy w RODO może naruszać przepisy.
Jak sprawdzić, czy w mojej firmie występuje shadow AI?
Najszybciej – zrobić audyt AI. Pokaże, czy pracownicy korzystają z prywatnych kont, jakie dane trafiają do narzędzi i gdzie są największe luki.
Źródła
- Microsoft & LinkedIn – Work Trend Index 2024 (AI at Work): microsoft.com/worklab/work-trend-index
- Bloomberg – Samsung Bans Staff's AI Use After Spotting ChatGPT Data Leak (2023): bloomberg.com
- Cyberhaven – badania nad danymi wklejanymi do ChatGPT: cyberhaven.com
