Folosirea inteligenței artificiale în mediul enterprise a explodat în ultimii doi ani, însă noile date publicate de către LayerX Security în raportul „State of AI Usage Report 2026” arată că organizațiile înțeleg încă foarte puțin cum este folosită AI-ul în interiorul companiilor — și, mai ales, unde apar cele mai mari riscuri.
Concluzia principală a cercetării este surprinzătoare: riscul asociat utilizării AI nu este distribuit uniform între angajați, ci este concentrat într-un grup foarte mic de utilizatori intensivi, denumiți „AI power users”. Acești utilizatori generează majoritatea interacțiunilor cu platformele AI și, implicit, cea mai mare expunere la scurgeri de date și probleme de conformitate.
Inteligența artificială a devenit prezentă în aproape toate organizațiile, însă utilizarea sa este departe de a fi uniformă.
Deși aproape jumătate dintre angajații companiilor au interacționat cu instrumente AI în ultimul an, doar aproximativ 18% folosesc aceste tehnologii săptămânal. La prima vedere, acest lucru ar putea părea liniștitor pentru echipele de securitate cibernetică, conformitate și protecția datelor.
Realitatea este însă mai complicată: raportul arată că cei mai activi 5% dintre utilizatori au generat de peste 10 ori mai multe conversații AI decât restul angajaților. Mai mult, aceștia folosesc simultan mai multe platforme, formulează prompturi complexe și poartă conversații mult mai lungi cu modelele AI.
Practic, într-o companie de câteva mii de angajați, un grup restrâns poate deveni responsabil pentru cea mai mare parte a expunerii organizației către sisteme externe de inteligență artificială.
ChatGPT domină încă piața enterprise
În ciuda investițiilor masive ale Microsoft în Copilot și a integrării AI în ecosistemele enterprise, ChatGPT rămâne platforma dominantă în companii.
Datele indică faptul că dintre utilizatorii enterprise:
– 36,19% folosesc ChatGPT;
– 29,57% folosesc Copilot M365;
– 13,02% folosesc Gemini;
– 11,09% folosesc Claude.
Microsoft Copilot crește rapid, în special datorită integrării în Microsoft 365, însă diferența dintre cele două modele de folosire este importantă.
Copilot funcționează de regulă în medii administrate și controlate de companie, unde există politici de securitate, audit și retenție a datelor. În schimb, multe utilizări ChatGPT, Gemini sau Claude au loc prin conturi personale, în afara infrastructurii oficiale a organizației.
Aici apare una dintre cele mai mari probleme de securitate din noua economie AI.
„Shadow AI” devine noul coșmar al companiilor
Conceptul de „Shadow IT” — aplicații utilizate fără aprobarea departamentului IT — evoluează rapid către ceea ce specialiștii numesc acum „Shadow AI”.
Angajații nu mai folosesc doar un chatbot online. Ei combină:
– extensii AI pentru browser;
– asistenți integrați în aplicații SaaS;
– motoare AI de căutare;
– coding copilots;
– conectoare AI către Slack, GitHub, SharePoint sau Google Workspace.
Multe dintre aceste instrumente funcționează complet în afara mecanismelor tradiționale de monitorizare și securitate.
Raportul estimează că aproximativ 30% dintre utilizatorii enterprise folosesc simultan mai multe platforme AI, iar utilizatorii avansați interacționează cu șase sau mai multe aplicații diferite.
Cu alte cuvinte, ecosistemul AI din companii devine din ce în ce mai fragmentat și mai greu de controlat.
Conturile personale — cea mai mare vulnerabilitate de securitate
Una dintre cele mai alarmante concluzii ale cercetării este că aproape jumătate dintre conversațiile AI din companii sunt realizate prin conturi personale și nu prin identități corporate administrate.
Asta înseamnă că:
– organizațiile nu știu unde ajung datele introduse;
– nu există control asupra retenției informațiilor;
– datele pot fi utilizate pentru antrenarea modelelor AI;
– auditarea activităților devine aproape imposibilă.
Mai grav, o parte dintre utilizatori folosesc adrese corporate împreună cu abonamente personale AI, ceea ce creează o zonă gri extrem de dificil de gestionat din perspectiva conformității și a protecției datelor.
Date sensibile ajung în sistemele AI
Cercetarea mai arată că peste 6% dintre conversațiile AI din companii conțin informații sensibile.
Cele mai frecvente categorii identificate:
– date personale;
– informații financiare;
– date IT și tehnice;
– documente interne;
– coduri sursă.
Anumite platforme prezintă niveluri de risc mai ridicate decât altele. DeepSeek și ChatGPT au înregistrat cele mai mari procente de conversații care conțin date sensibile, în timp ce platformele integrate enterprise, precum Copilot M365, au avut rate semnificativ mai mici.
Diferența vine în principal din nivelul de guvernanță și control implementat în mediile corporate.
Vulnerabilitatea Microsoft Copilot care a ridicat semne de întrebare
Temerile privind securitatea AI au fost amplificate recent după ce Microsoft a confirmat existența unei vulnerabilități în Microsoft 365 Copilot.
Problema a permis accesarea unor e-mailuri marcate drept „confidențiale”, chiar dacă organizațiile implementaseră politici de protecție și Data Loss Prevention (DLP).
Bug-ul afecta funcția Copilot Chat și putea analiza conținutul mesajelor din folderele Sent și Draft din Outlook.
Deși Microsoft a anunțat că problema a fost remediată printr-un patch global și că nu a existat o breșă externă, incidentul a evidențiat o problemă majoră: sistemele clasice de securitate nu au fost construite pentru modele AI capabile să analizeze, sintetizeze și reformuleze automat informații sensibile.
Experții în securitate avertizează că astfel de incidente ar putea deveni tot mai frecvente pe măsură ce AI-ul este integrat agresiv în aplicațiile enterprise și conectat direct la volume mari de date interne.
Extensiile AI pentru browser deschid un nou front de atac
Un alt fenomen aflat în plină expansiune este utilizarea extensiilor AI pentru browser.
Potrivit datelor publicate de LayerX:
– aproximativ 15% dintre angajați folosesc cel puțin o extensie AI;
– multe dintre aceste extensii solicită permisiuni critice;
– o parte dintre ele au deja vulnerabilități cunoscute.
Problema este că aceste extensii pot accesa:
– conținutul paginilor web;
– cookie-uri;
– date introduse în formulare;
– sesiuni autentificate;
– documente interne.
În practică, o extensie AI compromisă poate deveni o poartă directă către infrastructura unei companii.
Companiile trebuie să schimbe complet strategia de guvernanță AI
Mesajul principal al raportului este clar: modelele tradiționale de control IT nu mai sunt suficiente pentru era inteligenței artificiale.
Blocarea totală a AI nu funcționează. Angajații vor continua să utilizeze aceste instrumente pentru productivitate, chiar și prin metode neoficiale.
În schimb, specialiștii recomandă:
– definirea clară a tipurilor de date care pot fi introduse în platformele AI;
– utilizarea unor soluții enterprise administrate centralizat;
– limitarea folosirii conturilor personale pentru activități profesionale;
– auditarea extensiilor, plugin-urilor și conectoarelor AI;
– implementarea unor sisteme automate de prevenire a expunerii datelor sensibile;
– training pentru angajați privind utilizarea responsabilă a AI.
În Uniunea Europeană, monitorizarea directă a activității individuale a angajaților ridică probleme sensibile privind protecția datelor și viața privată, astfel că multe organizații încearcă să echilibreze nevoia de securitate cu respectarea cerințelor GDPR și a legislației muncii.
Tot mai multe organizații tratează inteligența artificială nu doar ca pe un instrument de eficientizare, ci și ca pe o sursă relevantă de riscuri operaționale, juridice și de protecție a datelor.
Inteligența artificială a intrat deja profund în fluxurile de lucru enterprise, însă viteza folosirii depășește capacitatea organizațiilor de a controla fenomenul.
Cea mai mare provocare nu mai este dacă angajații folosesc inteligența artificială – AI, ci:
– cât de mult o folosesc;
– prin ce platforme;
– cu ce date;
– și în ce condiții de securitate.
Raportul sugerează că riscul major nu provine din utilizarea ocazională a AI la scară largă, ci din activitatea unui număr redus de utilizatori avansați, care extind rapid suprafața de expunere a organizațiilor către platforme externe și fluxuri de date dificil de guvernat.
Accesează și:
– New AI Usage Report: Enterprise AI Risk Is Heavily Concentrated Among a Small Group of AI „Power users” – ”thehackernews.com”
– 17.05.2026: Securitate națională și AI: proiect legislativ pentru extinderea supravegherii digitale și riscurile juridico-instituționale în România – ”stiridigitale.ro”
– 22.02.2026: Microsoft admite o breșă în Copilot: emailuri confidențiale, accesate de AI – ”stiridigitale.ro”
– 12.02.2026: Arhitectura invizibilă a manipulării: Cum modelează AI percepția umană-Program DNSC – ”stiridigitale.ro”
– 18.08.2025: Siguranța datelor cu caracter personal și a informațiilor sensibile în interacțiunile cu platformele de Inteligență Artificială – ”stiridigtiale.ro”
– 17.06.2025: Directorul DNSC: ”Costul securităţii cibernetice va fi întotdeauna mai mic decât cel al remedierii unui incident major” – ”stiridigitale.ro”
– 17.05.2025: Majoritatea profesioniștilor HR folosesc instrumente de inteligență artificială în munca lor – ”stiridigitale.ro”
– Palantir Technologies: Arhitectura datelor în era digitală – ”stiridigitale.ro”
Foto: ”magnific.com”
