AI-pracownik może dać firmie dużą przewagę operacyjną, ale może też stać się nowym kanałem wycieku danych. Problem nie polega tylko na modelu językowym. Problem polega na tym, jakie narzędzia, dane i prawa działania dostaje system.
Bezpieczeństwa nie da się dopisać na końcu. Trzeba je zaprojektować razem z zakresem pracy.
Najgroźniejsza furtka wygląda niewinnie
Firma wdraża AI-pracownika, bo chce mniej ręcznej pracy. Ma pomagać w dokumentach, ofertach, poczcie, statusach i analizie. Żeby był użyteczny, dostaje dostęp do folderów, skrzynki, prostego systemu zadań, arkuszy i raportów.
Na papierze brzmi rozsądnie. W praktyce właśnie powstał nowy punkt ryzyka.
Jeżeli AI-pracownik widzi za dużo, może niechcący użyć danych w złym kontekście. Jeżeli może pisać za dużo, może zmienić coś, czego nie powinien. Jeżeli może publikować bez zatwierdzenia, może wysłać poza firmę informację, która nigdy nie powinna opuścić organizacji.
Nie dawaj mu konta człowieka
Pierwsza zasada jest prosta: AI-pracownik nie powinien działać na koncie właściciela, prezesa, handlowca ani kierownika.
Jeżeli działa jako człowiek, firma traci widoczność. W historii systemu widać tylko, że „Grzegorz wysłał wiadomość” albo „Anna zmieniła dokument”, choć faktycznie zrobił to agent. Trudniej odtworzyć zdarzenia, trudniej ograniczyć uprawnienia i trudniej zrozumieć, gdzie kończy się decyzja człowieka, a zaczyna działanie systemu.
Osobne konto nie jest detalem technicznym. To granica zaufania.
Dzięki osobnemu kontu można jasno określić, które foldery są dostępne, gdzie wolno zapisywać pliki, jakich narzędzi wolno używać i które działania wymagają zatwierdzenia. Można też szybko wyłączyć dostęp bez naruszania pracy człowieka.
Ogranicz kierunki przepływu danych
Wiele firm myśli o bezpieczeństwie jako o liście danych: te dokumenty wolno widzieć, tych nie wolno. To dobry początek, ale za mało.
Trzeba też zapytać, dokąd te dane mogą popłynąć.
AI-pracownik może przeczytać wewnętrzny raport, żeby przygotować podsumowanie dla zarządu. To nie znaczy, że może wkleić fragmenty raportu do wiadomości do klienta. Może zobaczyć historyczne oferty, żeby przygotować nowy szkic. To nie znaczy, że może ujawnić marże, rabaty albo nazwiska osób decyzyjnych.
Bezpieczne wdrożenie opisuje nie tylko „co widzi”, ale też „gdzie może to wykorzystać”.
Oddziel obszar roboczy od źródła prawdy
AI-pracownik powinien mieć miejsce, w którym może pracować swobodniej: tworzyć szkice, kopie robocze, notatki, propozycje i wersje pośrednie. To nie powinno być to samo miejsce, w którym leży ostateczna dokumentacja firmy.
Jeżeli system ma przygotować ofertę, niech tworzy wersję roboczą. Jeżeli ma uzupełnić formularz, niech przygotuje plik do sprawdzenia. Jeżeli ma zaproponować zmianę w opisie procesu, niech doda komentarz albo propozycję, a nie nadpisuje obowiązującą instrukcję.
Ta separacja zmniejsza skutki błędu. AI-pracownik może się pomylić, ale jego pomyłka zostaje w miejscu roboczym, zanim trafi do właściwego obiegu.
Publikacja wymaga człowieka
Najważniejsza granica bezpieczeństwa przebiega między pracą wewnętrzną a działaniem na zewnątrz.
Wysyłka wiadomości, publikacja wpisu, przesłanie formularza, zatwierdzenie oferty, odpowiedź do klienta, przekazanie danych dostawcy: to są działania, które powinny wymagać zgody człowieka, przynajmniej na początku.
Nie chodzi o brak zaufania do technologii. Chodzi o odpowiedzialność. Jeżeli komunikat wychodzi poza firmę, skutków nie da się w pełni cofnąć.
Dobra zasada brzmi: AI-pracownik może przygotować, człowiek zatwierdza. Dopiero po zebraniu doświadczeń można dopuścić wąskie wyjątki, na przykład wysyłanie prostych przypomnień według zatwierdzonego szablonu.
Zadbaj o ślad działań i plan cofania zmian
Jeżeli AI-pracownik ma wykonywać pracę operacyjną, firma musi wiedzieć, co zrobił. Minimalny ślad powinien odpowiadać na kilka pytań: jakie dane były użyte, jaki plik powstał, jaki status został zmieniony, kto zatwierdził działanie, kiedy nastąpiła publikacja i gdzie można zobaczyć wynik.
Bez tego trudno odróżnić błąd systemu od błędu człowieka. Trudno też uczyć agenta lepszej pracy, bo nie wiadomo, co faktycznie wydarzyło się po drodze.
Bezpieczeństwo to także możliwość odtworzenia stanu po błędzie. Jeśli AI-pracownik ma instrukcje, pamięć, umiejętności i dostęp do narzędzi, trzeba wiedzieć, jak wrócić do poprzedniej wersji. Kopie zapasowe, wersjonowanie i próby odtworzenia nie są dodatkiem dla działu technicznego. To warunek spokojnej eksploatacji.
Bezpieczniejszy model jest prosty: osobne konto, ograniczone dane, wyznaczone miejsca zapisu, zatwierdzanie działań zewnętrznych, widoczny ślad pracy i możliwość cofnięcia zmian.