📰 Вендор сливает данные твоих клиентов ИИ-моделям? Отчет DataGrail об угрозе теневого AI
DataGrail бьет тревогу: ваши данные утекают в "теневой" AI!
По данным СМИ, отчет DataGrail показывает, что стандартные соглашения об обработке данных (DPA) больше не гарантируют безопасность вашей информации. Платформа проанализировала 2400 популярных бизнес-приложений и выяснила, что 63,6% поставщиков, рекламирующих ИИ-функции, не раскрывают информацию о сторонних ИИ-субпроцессорах в своей документации.
Это означает, что большинство компаний, покупающих ПО с ИИ, могут неосознанно отправлять данные клиентов моделям, которые они не проверяли и даже не знают о их существовании.
"Все поставщики стремятся стать ИИ-поставщиками, что логично, но технологии развиваются быстрее, чем управление ИИ", — заявил Дэниел Барбер, соучредитель и генеральный директор DataGrail. "DPA должен быть надежным документом для оценки рисков ИИ, но, судя по этим цифрам, в 2026 году этого недостаточно".
По данным IBM, организации с высоким уровнем "теневого" ИИ уже несут убытки от утечек данных в среднем на 4,63 миллиона долларов — на 670 000 долларов больше, чем те, у кого его мало или нет. И это в год, когда штаты США выплатили 3,425 миллиарда долларов штрафов, связанных с конфиденциальностью, что больше, чем за последние пять лет вместе взятые.
Как исследователи обнаружили растущий разрыв между контрактами ИИ-поставщиков и реальностью
Методология DataGrail выходит далеко за рамки простого чтения контрактов. Исследователи сопоставляли данные из DPA с документацией продуктов, средами GitHub, API-соединениями и маркетинговыми материалами для каждого из 2400 поставщиков.
Барбер пояснил: "Мы рассматривали DPA как основу, но также изучали среду GitHub, API-соединения, документацию продуктов и маркетинговые материалы, чтобы понять, что происходит на самом деле. Например, DPA указывает на использование OpenAI, но в документации продукта упоминаются три других ИИ-субпроцессора, которые не указаны в DPA".
На вопрос о том, насколько он уверен, что эти пробелы отражают реальный риск "теневого" ИИ, а не использование поставщиками собственных технологий, Барбер ответил: "Очень уверен, потому что мы тщательно изучили документацию продуктов, среды GitHub и API-соединения. Мы интегрируемся с этими системами, поэтому знаем, как они обрабатывают личную информацию. Это основано на первичных исследованиях".
Этот разрыв в раскрытии информации важен, потому что подрывает всю цепочку доверия, на которую опираются программы защиты конфиденциальности. Представьте себе сценарий, описанный Барбером: компания инвестирует в инструмент ИИ для найма. В DPA указана Claude в качестве основной модели. Компания проводит проверку безопасности Anthropic's AI. Но инструмент также использует OpenAI и Gemini, о которых компания не подозревает.
Эти нераскрытые модели обрабатывают тысячи резюме и принимают автоматизированные решения о найме. Компания, не зная об этом, раскрывает конфиденциальную информацию — домашние адреса, финансовые данные, возможно, номера социального страхования — системам ИИ, которые она никогда не проверяла, что может нарушить правила FTC об автоматизированном принятии решений в сфере занятости. "То, как эти поставщики оценивают и принимают автоматизированные решения, может быть катастрофическим для бизнеса", — сказал Барбер.
Треть ИИ-систем также обрабатывают конфиденциальные данные, и истинное число, вероятно, выше
Но и это еще не все....
🔗 Полный текст статьи читайте у нас на сайте: Читать на TechLoot
📢 ТехноЛут
