Искусственный интеллект перестал быть технологией будущего и стал крупнейшим источником утечки корпоративных данных в 2025 году, говорится в отчёте компании LayerX. Исследование основано на данных о работе сотрудников в браузерах и показывает, что ИИ превзошёл по риску утечки даже теневые SaaS-сервисы и несанкционированный обмен файлами.

Согласно отчёту, почти каждый второй сотрудник (45%) в крупных организациях активно использует генеративные ИИ-инструменты, такие как ChatGPT, Claude и Copilot. При этом 67% этой активности приходится на незарегистрированные корпоративным администратором личные аккаунты, что лишает специалистов по безопасности компаний возможности контролировать, какие данные и куда передаются.

Особую опасность авторы работы выделяют в связанных с ИИ процессах передачи данных через копирование и вставку. 77% всех операций передачи информации в ИИ-инструменты происходят именно таким образом, при этом 82% таких действий выполняются из личных аккаунтов. В среднем сотрудник осуществляет 14 таких обращений в день, минимум три из которых содержат конфиденциальные данные.

Помимо этого, в ИИ-инструменты загружается множество файлов: в 40% из них имеются персональные данные (PII) или платёжные реквизиты (PCI). При этом около 40% этих загрузок выполняются с использованием личных, а не корпоративных аккаунтов.

Отчёт также показывает, что традиционные меры защиты информации, ориентированные на сканирование прикреплённых файлов и контроль корпоративных ресурсов, не справляются с новыми каналами утечки, доминирующими в современных рабочих процессах.

Другой вывод отчёта — корпоративный логин не всегда обеспечивает безопасность. Так, 71% входов в CRM-системы и 83% в ERP-платформы обходят методы единого входа (SSO), что делает корпоративные учётные записи по безопасности эквивалентными личным аккаунтам.

Авторы подчёркивают, что безопасность ИИ необходимо рассматривать как отдельную приоритетную категорию наряду с электронной почтой и обменом файлами. Основной упор следует делать на мониторинг не только загрузок, но и действий пользователей, включая копирование и вставку данных. Кроме того, требуется ограничение использования личных аккаунтов и обязательное применение федеративной аутентификации для всех сервисов.

Выводы отчёта подчёркивают, что ИИ уже интегрирован в повседневные рабочие процессы, несёт высокие риски утечки конфиденциальной информации и требует кардинального расширения мер контроля.