Powrót do bloga
24.06.20266 minut
Autor:Redakcja Apptivity
Shadow AI w firmie – czym jest i dlaczego Twoi pracownicy już z niego korzystają

Shadow AI w firmie – czym jest i dlaczego Twoi pracownicy już z niego korzystają

Shadow AI to korzystanie z narzędzi sztucznej inteligencji – ChatGPT, Gemini, Copilota, Claude i dziesiątek innych – przez pracowników bez wiedzy i kontroli firmy. Najczęściej dzieje się to przez prywatne konta, poza jakąkolwiek polityką bezpieczeństwa. Nazwa nawiązuje do „shadow IT", czyli oprogramowania używanego w organizacji bez zgody działu IT.

Jeśli zakładasz, że w Twojej firmie „nikt tego nie robi" – statystyki mówią co innego.

Skala zjawiska: to nie margines, to norma

Z badania Microsoft i LinkedIn (Work Trend Index 2024) wynika, że 75% pracowników wiedzy korzysta już z AI w pracy, a 78% z nich przynosi do pracy własne narzędzia AI (tzw. BYOAI – Bring Your Own AI), często zupełnie poza kontrolą pracodawcy.

To oznacza jedno: shadow AI nie jest problemem „firm technologicznych z Doliny Krzemowej". Dotyczy biura rachunkowego, kancelarii, agencji marketingowej i produkcyjnego MŚP tak samo.

Jak wygląda shadow AI w praktyce

Zwykle nie ma w tym złej woli – po prostu tak jest szybciej:

  • Handlowiec wkleja ofertę i dane klienta do ChatGPT, żeby „ładniej to napisać".
  • Księgowa prosi AI o sprawdzenie umowy albo przeliczenie zestawienia.
  • Dział HR generuje opisy stanowisk na podstawie prawdziwych danych kadrowych.
  • Programista wkleja fragment kodu wraz z konfiguracją i kluczami.

Każda z tych sytuacji to potencjalny wyciek danych poza organizację.

Dlaczego to jest ryzyko, a nie tylko wygoda

Problem w tym, że dane wpisane do darmowego narzędzia AI mogą opuścić Twoją firmę. W wielu bezpłatnych planach treści są domyślnie wykorzystywane do trenowania modeli, a Ty nie masz nad tym kontroli ani umowy powierzenia danych.

Najgłośniejszy przykład to Samsung, który w 2023 roku zakazał pracownikom korzystania z generatywnej AI po tym, jak inżynierowie wkleili do ChatGPT poufny kod źródłowy (informację podał m.in. Bloomberg). Z kolei firma Cyberhaven, analizując realny ruch, wykazała, że istotna część danych wklejanych przez pracowników do ChatGPT to informacje poufne.

Do tego dochodzi warstwa prawna – zgodność z RODO i AI Act: brak podstawy przetwarzania, brak umowy powierzenia, ryzyko kary i utraty zaufania klienta.

Bezpieczne AI to nie zakaz – to widoczność i zasady

Blokowanie AI zwykle nie działa (ludzie i tak znajdą sposób) i odbiera firmie realną przewagę. Bezpieczne korzystanie z AI w firmie oznacza:

  1. Widoczność – kto i z jakich narzędzi korzysta, na jakich kontach.
  2. Zasady – jakie dane mogą trafiać do AI, a jakie nigdy.
  3. Dokumentypolityka korzystania z AI, aktualizacja rejestru RODO, umowy powierzenia.
  4. Świadomość – krótkie szkolenie zespołu.

Dla większości małych i średnich firm to kwestia tygodni, nie miesięcy.

Nie wiesz, jak duże jest ryzyko u Ciebie? Zrób nasz bezpłatny audyt AI – 13 pytań, wynik od ręki, bez rejestracji. Sprawdzisz w 3 minuty, gdzie Twoja firma jest bezpieczna, a gdzie shadow AI już dziś tworzy lukę.

Najczęstsze pytania

Czym różni się shadow AI od zwykłego korzystania z AI?

Shadow AI to korzystanie z AI poza kontrolą i wiedzą firmy – zwykle na prywatnych kontach, bez zasad i zabezpieczeń. Kontrolowane korzystanie z AI (na kontach służbowych, z politykami) ryzykiem nie jest.

Czy shadow AI jest nielegalne?

Samo w sobie nie, ale sposób ma znaczenie. Wklejanie danych osobowych czy poufnych do darmowych narzędzi bez odpowiednich ustawień i podstawy w RODO może naruszać przepisy.

Jak sprawdzić, czy w mojej firmie występuje shadow AI?

Najszybciej – zrobić audyt AI. Pokaże, czy pracownicy korzystają z prywatnych kont, jakie dane trafiają do narzędzi i gdzie są największe luki.

Źródła