Profesionáli varujú: Adopcia AI rastie rýchlejšie ako schopnosť organizácií zaviesť kontrolu a dohľad nad jej používaním
Používanie nástrojov umelej inteligencie sa stáva súčasťou práce. Zamestnanci však často pracujú s AI nástrojmi mimo dohľadu IT oddelení. Môže sa stať, že do verejných AI služieb vkladajú zákaznícke údaje, interné dokumenty, zdrojové kódy alebo obchodne citlivé informácie.
Podľa správy* spoločnosti LayerX takmer polovica podnikových AI konverzácií prebieha prostredníctvom osobných účtov namiesto firemne spravovaných identít. Viac ako šesť percent podnikových interakcií s generatívnou AI obsahuje citlivé firemné údaje a až 22 percent obsahu vkladaného do AI nástrojov zahŕňa údaje o platobných kartách alebo osobné údaje. Používanie je často prostredníctvom nespravovaných osobných účtov alebo nezabezpečených AI rozšírení prehliadača, čo výrazne zvyšuje riziko úniku citlivých firemných informácií.
„Umelá inteligencia je nový vektor útoku. Firmy a inštitúcie by mali venovať rovnakú pozornosť bezpečnosti AI ako bezpečnosti aplikácií, cloudových služieb alebo infraštruktúry,“ varuje Matúš Mihok, riaditeľ spoločnosti Remediata.
Penetrační testeri aktuálne čoraz častejšie identifikujú používanie neschválených AI nástrojov a služieb alebo dokonca neoprávnené AI integrácie. Relevantný bezpečnostný test tak okrem tradičných oblastí zahŕňa aj identifikáciu používania AI nástrojov v organizácii a preverenie, ako sa dodržiavajú AI governance mechanizmy. Pentesteri overujú ochranu dát pri práci s AI, testujú AI aplikácií a chatboty a robia analýzu rizík spojených s AI generovaným kódom.
Tradičný pentest sa zameriava na servery, infraštruktúru a webové aplikácie. Dnes však vznikol nový typ útočnej plochy – AI nástroje, AI asistenti, AI pluginy a podnikové chatboty. Organizácie, ktoré tieto oblasti netestujú, môžu mať významné slepé miesta v bezpečnostnom programe. Moderné bezpečnostné testovanie by malo preverovať odolnosť systémov a organizácií voči útokom ako prompt injection, neoprávnený prístup k dátam, obchádzanie oprávnení používateľov, únik systémových inštrukcií modelov a zneužitie AI konektorov a integrácií.
V závere Matúš Mihok upozorňuje, že od 2. augusta 2026 budú musieť vysokorizikové AI systémy v EÚ preukázať súlad s nariadením AI Act prostredníctvom posúdenia zhody.
Preukázanie kybernetickej odolnosti a robustnosti AI systémov bude v praxi vyžadovať technické overenie bezpečnostných vlastností. Penetračné a špecializované AI bezpečnostné testy, napríklad testovanie odolnosti voči prompt injection, adversarial útokom či modelovým manipuláciám, budú jeden zo spôsobov, ako tieto požiadavky preukázať počas posudzovania zhody.
* Stanford University, AI Index Report 2026 – Public Opinion and AI Adoption:
* LayerX, State of AI Usage Report 2026:
Spoločnosť Remediata tvorí medzinárodný sedemčlenný tím, prevažne seniorní odborníci a každý tester má viacero všeobecne akceptovaných certifikácií z ofenzívnej bezpečnosti. Vznikla v roku 2023, zakladateľom a riaditeľom je Matúš Mihok a pôsobí v Európe v rôznych segmentoch.