Теневой ИИ: как сотрудники сливают данные в нейросети и что с этим делать

Теневой ИИ стал реальной угрозой. Сотрудники уже активно используют ChatGPT и другие нейросети для работы — и делают это в обход ИТ-служб. Конфиденциальные данные (скриншоты, код, финансовая отчётность) выходят наружу, причём не только в случае хакерской атаки, но и по вине самого персонала.

 

 

 

 

 

 

1. 1. Введение
2. 2. Как происходят утечки и что утекает
3. 3. Нормативный контекст и регуляторные риски
4. 4. Технические меры, которые работают
5. 5. Организационные меры
6. 6. Как выглядит архитектура защиты от Shadow AI
7. 7. Выводы

Введение

Теневой ИИ (Shadow AI) — неофициальное, неконтролируемое использование публичных нейросетей и инструментов на их основе. Человек копирует в чат-бот фрагмент клиентской базы, загружает презентацию с финансовыми показателями или отправляет запись встречи, где обсуждались внутренние вопросы.

Служебная информация уходит вместе с промптом, а большинство сотрудников не воспринимают это как передачу данных наружу — для них это обычный рабочий процесс.

В 2025 году объём данных, которые сотрудники отправляли в открытые ИИ-сервисы, вырос более чем в 30 раз. Согласно отчёту Zscaler, за год было зафиксировано свыше 410 млн DLP-срабатываний, связанных с ChatGPT и похожими инструментами. Каждое такое срабатывание — попытка вынести конфиденциальную информацию за пределы компании.

Отследить такие обращения сложно. Запрос к чат-боту выглядит как обычный HTTPS-трафик. Сервисы меняются быстрее, чем обновляются списки ограничений. Сегодня это ChatGPT, завтра — встроенный ассистент в корпоративном мессенджере.

Классические DLP-системы тоже почти не помогают. Они созданы для контроля файлов, почты и мессенджеров, а не для анализа промптов. Для них текст запроса — просто строка без контекста. Поэтому значительная часть обращений к ИИ остаётся незамеченной.

Теневой ИИ появляется вовсе не из-за желания нарушить правила. Сотрудникам нужны быстрые инструменты и, если компания не предлагает безопасные варианты, они находят свои — часто не задумываясь о последствиях.

Как происходят утечки и что утекает

Утечки в ИИ-сервисы чаще всего происходят через сотрудников, корпоративные ИИ-инструменты и агентные системы. Как показывают реальные инциденты, в публичные ИИ-сервисы уходят вполне конкретные рабочие материалы.

Разработчики отправляют в нейросети фрагменты кода, чтобы найти ошибку или упростить функцию. Вместе с кодом в запрос попадают API-ключи, токены и конфигурации — всё, что случайно оказалось в буфере обмена.

В ИИ регулярно загружают клиентские базы, персональные данные, юридические документы и внутреннюю переписку. 22 % PDF-файлов, которые сотрудники отправляют в такие сервисы, содержат конфиденциальную информацию.

Утекают и финансовые показатели. Аналитики и руководители просят ИИ проверить расчёты или подготовить сводку, и в итоге в публичный сервис уходит часть отчётности, прогнозы и условия сделок.

В отчёте Netskope Cloud and Threat Report 2026 говорится, что в среднем организация фиксирует 223 попытки отправить корпоративные данные в публичные ИИ-сервисы в месяц. В 25 % компаний этот показатель превышает 70 000 промптов ежемесячно. Стабильно уходят исходный код, интеллектуальная собственность и учётные данные.

 

Рисунок 1. Какие данные уходят в нейросети (Источник: Netskope)

 

Основные векторы утечек:

Прямые промпты. Частый сценарий сегодня — даже не загрузка файлов, а обычное копирование из буфера обмена. 77 % сотрудников копируют конфиденциальную информацию в поля промптов генеративных нейросетей, причём 82 % таких действий происходят через личные, неуправляемые ИТ-отделом аккаунты. В среднем каждый работник совершает 14 подобных действий в день, и как минимум 3 из них содержат чувствительные данные.

В 2023 году сотрудники Samsung отправили в ChatGPT исходный код и служебные материалы. Один специалист попросил нейросеть проверить исходный код полупроводникового оборудования, другой — оптимизировать код, третий — составить протокол встречи на основе клиентских данных. Во всех случаях корпоративная информация Samsung попала в базу данных ИИ.

 

Рисунок 2. Использование корпоративных и личных аккаунтов (Источник: LayerX Security)

 

Загрузка файлов. Многие сервисы позволяют прикреплять документы, изображения и аудио. Так в ИИ попадают презентации, отчёты, записи встреч, сканы договоров. Загрузки файлов чаще всего приводят к утечкам данных банковских карт, персональных данных и финансовой информации.

В 2025 году исследователи LayerX Security зафиксировали, что более 60 % PDF-файлов, загружаемых сотрудниками в чат-боты из браузера, содержат конфиденциальные данные. Среди них — номера банковских карт, платёжные сведения и личные сообщения.

RAG-инъекции. RAG-приложения (Retrieval-Augmented Generation) подключают языковую модель к внешней корпоративной базе знаний. Если злоумышленник подменит данные в этом источнике, модель начнёт выдавать изменённую информацию в ответах, и сотрудники будут работать с неконтролируемым, потенциально опасным контентом.

В 2025 году была обнаружена уязвимость в RAGFlow (CVE-2025-27135) — платформе для вопросно-ответного взаимодействия с документами. Ошибка позволяла обращаться к векторной базе напрямую, минуя проверку прав. Через неё можно было извлечь внутренние документы или подменить данные, которые модель использует при генерации ответов.

Агентные пайплайны. ИИ-агенты умеют читать файлы, переходить по ссылкам, работать с почтой и API. Если в процессе выполнения задач они встречают вредоносную инструкцию (специально сформированную команду), данные утекают автоматически.

Такую проблему обнаружили у ИИ-агента OpenClaw. Агент формировал ссылку, в которую попадали конфиденциальные данные из его окружения (токены, ключи доступа и др.). Когда такая ссылка отправлялась через Telegram или другой мессенджер, платформа активировала функцию предпросмотра. Мессенджер автоматически запрашивал содержимое по ссылке, и эти данные перехватывались злоумышленником через специально подготовленный сервер.

Промпт-инъекции. Скрытая инструкция в тексте (prompt injection) заставляет модель выполнять команды атакующего и обходить встроенные ограничения.

Уязвимость EchoLeak (CVE-2025-32711) показала, что одно письмо с подготовленным содержимым могло заставить ИИ-помощника Microsoft 365 Copilot автоматически отправлять на внешний сервер фрагменты переписки и вложения из Outlook.

Уязвимость GrafanaGhost позволяла обойти ИИ‑фильтры Grafana (платформа для визуализации данных и дашбордов) и извлекать данные из дашбордов через подменённые подсказки без аутентификации и без действий пользователя.

 

Рисунок 3. Схема атаки GrafanaGhost (Источник: Noma Security)

 

В 2025 году исследователи с помощью простой игры в угадайку добились от ChatGPT выдачи рабочих лицензионных ключей Windows. Модель следовала скрытой инструкции, встроенной в диалог.

В 2026 году была раскрыта уязвимость в OpenAI Codex. Достаточно было создать специально оформленную ветку в GitHub-репозитории. Агент Codex, обрабатывая эту ветку, выполнял команды атакующего и отправлял OAuth-токены разработчика на удалённый сервер. При этом в интерфейсе пользователь видел обычное название ветки, а вредоносный код незаметно подменялся. Любой, кто запускал Codex в таком репозитории, невольно передавал свои ключи атакующему.

 

Рисунок 4. Схема атаки Codex (Источник: BeyondTrust)

 

Нормативный контекст и регуляторные риски

Работа с ИИ в российских компаниях упирается не только в технические вопросы, но и в требования законодательства.

Персональные данные россиян нельзя передавать в зарубежные сервисы без их согласия и соблюдения ряда условий (закон 152‑ФЗ «О персональных данных»). Отправить в ChatGPT ФИО, паспортные данные, адрес, переписку или запись встречи — значит нарушить закон. Ответственность за выбор провайдера и соблюдение требований лежит на компании.

Даже если данные не относятся к персональным, их передача в публичную нейросеть может считаться утечкой коммерческой тайны или нарушением требований 187‑ФЗ о безопасности КИИ. Код, финансовые отчёты, внутренние документы — всё это подпадает под регулирование.

В 2026 году ФСТЭК впервые официально признала риски, связанные с ИИ, отдельной категорией угроз. В перечень вошли манипуляции промптами, вмешательство в обучение моделей и другие сценарии, которые раньше не учитывались.

Регуляторы прямо указывают, что компании отвечают за то, где и как обрабатываются данные. Если ИИ‑сервис использует зарубежную инфраструктуру, оператор данных несёт ответственность за возможные утечки и нарушения.

За утечки персональных данных предусмотрены оборотные штрафы, а в тяжёлых случаях — ответственность по ст. 272.1 УК РФ (незаконный оборот ПДн). Это касается и ситуаций, когда данные ушли в ИИ‑сервис по ошибке.

По оценкам аналитиков, рынок решений для защиты ИИ в России вырастет с 3–4 млрд рублей в 2026 году до 25–30 млрд рублей к 2030‑му. Это отражает реальный спрос: без специализированных мер защитить данные уже невозможно.

Технические меры, которые работают

Только запретами порядок не навести. Сотрудники найдут способ пользоваться удобными инструментами — через личные аккаунты, браузерные расширения и любые обходные пути. Значит, защиту нужно встраивать в реальные рабочие процессы.

1. Видимость. Первый шаг — увидеть сам факт использования внешних ИИ-сервисов. Обычно достаточно анализа сетевого трафика, активности браузера, фиксации обращений к публичным LLM, отслеживания загрузок файлов и понимания, какие внутренние инструменты уже используют ИИ.
2. Контроль промптов и вложений. Когда видимость есть, важно контролировать содержание запросов. Помогают AI-aware DLP-системы, которые анализируют текст запросов и вложений. Они могут автоматически скрывать персональные данные и ключи, блокировать передачу исходного кода или финансовых документов, контролировать загрузку файлов.
3. Прокси для ИИ-трафика. Чтобы промпты и файлы не уходили напрямую, их пропускают через прокси-шлюз. Он проверяет содержимое запросов, применяет правила безопасности, ведёт аудит, может ограничивать доступ к конкретным моделям.
4. Безопасная архитектура RAG. Если компания создаёт свои ИИ-приложения, нужно защитить контур вокруг модели. Помогают retrieval-прокси (модель получает только нужные фрагменты, а не весь документ), удаление персональных данных до попадания в модель, шифрование векторных баз и проверка входящих данных. Так ниже риск, что модель начнёт выдавать внутренние данные в ответах.
5. Контроль ИИ-агентов. Агенты могут работать с файлами, ссылками, почтой и API — и именно здесь часто возникают неожиданные утечки. Чтобы снизить риски, агентам нужно выдавать минимум прав, запрещать автоматическую отправку данных наружу, проверять ссылки, которые они формируют, и вести журнал действий.
6. Защита от prompt injection. Чтобы модель не выполняла скрытые инструкции, нужно фильтровать входящие данные, разделять системные инструкции и пользовательский ввод, ограничивать автоматические действия модели, проверять ответы перед выполнением.
7. Логи и аудит. Чтобы понять, работает ли защита, нужно смотреть на динамику. Логи показывают, какие ИИ-сервисы используют сотрудники, какие запросы блокируются, какие данные пытаются отправить и что делают агенты.

Вот измеримые признаки работающей защиты:

• снижается число DLP-инцидентов;
• растёт доля трафика, проходящего через контролируемые сервисы;
• блокировки опасных запросов держатся на стабильном уровне;
• нет утечек через промпты и файлы;
• корпоративные ИИ-инструменты ведут себя предсказуемо.

Если эти показатели в порядке — значит, политика работает, трафик под контролем, а попытки обхода фиксируются и пресекаются.

Организационные меры

Ниже — меры, которые помогают выстроить нормальную практику работы с искусственным интеллектом.

Понятные правила

Сотрудникам нужно чётко понимать, что можно отправлять во внешние сервисы, а что — нет. Рабочий минимум:

• запрет на передачу персональных данных, исходного кода, финансовых документов и внутренней переписки в публичные модели;
• список одобренных инструментов и сценариев, где их можно использовать;
• простые примеры «можно / нельзя» для разных ролей.

Правила должны быть короткими и написанными понятным языком.

Регистрация и аудит ИИ-инструментов

Если в компании появляется новый сервис, ИТ-отдел и служба безопасности должны знать об этом. Введите простой процесс регистрации: кто внедряет инструмент, зачем и какие данные он обрабатывает. Периодически проверяйте уже используемые сервисы.

Если используются внешние ИИ-сервисы, необходимо выяснить, где и как хранятся данные, используются ли они для обучения, как долго сохраняются, можно ли ограничить регион обработки. Эти требования нужно закреплять в договорах и SLA.

Обучение сотрудников

Большинство утечек происходит не из-за злого умысла, а из-за незнания. Людям нужно объяснить, почему вставка PDF в ИИ-помощник — это передача данных наружу, какие данные нельзя копировать в промпты и что делать, если документ всё-таки ушёл. Короткие примеры из практики работают лучше длинных лекций.

Распределение ответственности

Чтобы ИИ-инициативы не превращались в хаос, определите роли: ИТ отвечает за инфраструктуру, ИБ — за риски и контроль данных, бизнес-подразделения — за то, как ИИ используется в работе, юристы — за требования регуляторов и договоры с поставщиками. Тогда каждый отдел не будет внедрять ИИ по-своему.

Полезно иметь короткую инструкцию «что делать при утечке», ответственных за первичную оценку и правила фиксации инцидента.

Безопасные альтернативы

Если компания не даёт сотрудникам удобных инструментов, они находят свои — и это теневой ИИ. Предложите одобренные сервисы для типовых задач, встройте ИИ в корпоративные процессы, объясните, почему эти инструменты безопаснее.

Как выглядит архитектура защиты от Shadow AI

Вот как должна быть организована сквозная защита данных на пути от пользователя к нейросети.

1. Пользователь — источник большинства угроз. Он копирует текст, вставляет фрагменты документов, загружает файлы, использует личные аккаунты. Если человек не понимает рисков, никакая технология не поможет, поэтому нужны обучение и понятные правила.
2. Браузер — точка входа, через которую уходят промпты и файлы. Здесь важно понимать, какие страницы открывает сотрудник и что он копирует в запросы.
3. Корпоративный прокси перехватывает все запросы к публичным ИИ-сервисам. Он видит, что именно отправляется в промпте или файле, и применяет правила безопасности.
4. AI-aware DLP анализирует текст запроса и вложения. Система блокирует передачу исходного кода, персональных данных, ключей доступа, финансовых документов и других материалов. Работает в связке с прокси.
5. Контролируемый ИИ-сервис — одобренный публичный сервис с усиленными политиками, корпоративный шлюз или локальная модель, позволяющие использовать ИИ безопасно и не выносить данные наружу.

Такой контур не запрещает ИИ, а делает его использование контролируемым.

Выводы

Использование ИИ-помощников в компаниях уже стало повседневностью. Сотрудники выбирают инструменты, которые помогают работать быстрее, и, если безопасных вариантов нет, они уходят в публичные сервисы. Так появляется теневой ИИ и вместе с ним — утечки данных.

Искусственный интеллект нельзя запретить или игнорировать. Его нужно встроить в бизнес-процессы так, чтобы и сотрудникам было удобно работать, и данные оставались под контролем. Видимость трафика, фильтрация промптов и вложений, прокси для ИИ-запросов, безопасная архитектура собственных ИИ-приложений и управление агентами — это базовый набор, который снижает риски.