A inteligência artificial tornou -se o maior canal não controlado para a exfiltração de dados corporativos, superando o shadow SaaS e o compartilhamento de arquivos não gerenciados, de acordo com um novo relatório da empresa de segurança de IA e navegador Layerx. A pesquisa, baseada na telemetria de navegação corporativa do mundo real, indica que o risco primário da IA na empresa não é uma ameaça futura, mas uma realidade atual se desenrola nos fluxos de trabalho cotidianos. Os dados corporativos sensíveis já estão fluindo para ferramentas generativas de IA como ChatGPT, Claude e Copilot a taxas altas, principalmente por meio de contas pessoais não gerenciadas e a função de cópia e cola.
A adoção rápida e não governada de IA
As ferramentas de IA alcançaram um nível de adoção em apenas dois anos que levaram outras tecnologias décadas para alcançar. Quase metade de todos os funcionários corporativos (45%) já usam IA generativa, com o ChatGPT sozinho atingindo 43% de penetração. A IA agora representa 11% de toda a atividade de aplicativos corporativos, rivalizando com o compartilhamento de arquivos e aplicativos de produtividade do escritório. Esse crescimento ocorreu em grande parte sem a governança correspondente. O relatório constatou que 67% do uso de IA ocorre através de contas pessoais não gerenciadas, deixando as equipes de segurança sem visibilidade nos quais os funcionários estão usando quais ferramentas ou quais dados estão sendo compartilhados.
Dados sensíveis estão vazando através de arquivos e colar
A pesquisa descobriu tendências alarmantes sobre como os dados sensíveis estão sendo tratados com as plataformas de IA.
- Uploads de arquivo: 40% dos arquivos enviados em ferramentas generativas de IA contêm dados de informações de identificação pessoal (PII) ou dados da indústria de cartões de pagamento (PCI). Quase quatro em cada dez desses uploads são feitos usando contas pessoais.
- Copiar e colar: O canal principal para vazamento de dados é a função de cola de cópia. 77% dos funcionários colam dados em ferramentas generativas de IA e 82% dessa atividade vem de contas pessoais não gerenciadas. Em média, os funcionários colam dados confidenciais nessas ferramentas por meio de contas pessoais pelo menos três vezes por dia.
O relatório identifica copiar e colar na IA generativa como o vetor número um para dados corporativos que deixam o controle corporativo. Os programas de segurança tradicionais focados em digitalizar anexos de arquivos e bloquear uploads não autorizados estão perdendo completamente essa ameaça.
Outros grandes pontos cegos de segurança
O relatório destaca duas outras áreas críticas em que os dados corporativos estão em risco.
- Logins não federados: Mesmo quando os funcionários usam credenciais corporativas para plataformas de alto risco, como o CRM e o ERP Systems, eles ignoram esmagadoramente o sinal único (SSO). 71% dos logins do CRM e 83% dos logins do ERP não são fiberados, tornando um login corporativo funcionalmente o mesmo que pessoal do ponto de vista da visibilidade de segurança.
- Mensagens instantâneas: 87% do uso de bate -papo corporativo ocorre através de contas pessoais não gerenciadas e 62% dos usuários colam dados PII ou PCI neles.
Recomendações para segurança corporativa na era da IA
O relatório oferece várias recomendações claras para os líderes de segurança.
- Trate a segurança da IA como uma categoria corporativa principal, não uma emergente, com o monitoramento de uploads, avisos e fluxos de pasta de cópia.
- Mude de um modelo de segurança centrado no arquivo para um centrado em ação que representa métodos sem arquivo, como copiar e chat.
- Restringir o uso de contas pessoais não gerenciadas e aplicar logins federados para todos os aplicativos corporativos.
- Priorize as categorias de aplicativos de maior risco para os controles mais apertados: IA, bate-papo e armazenamento de arquivos.
As descobertas pintam uma imagem clara: o perímetro de segurança corporativo mudou para o navegador, onde os funcionários movem fluidamente dados sensíveis entre ferramentas sancionadas e não autorizadas. O relatório conclui que, se as equipes de segurança não se adaptarem a essa nova realidade, a IA não apenas moldará o futuro do trabalho, mas também o futuro das violações de dados.
