Никита Кочерженко, генеральный директор ООО «Адвилабс-Рус» — разработчика операционной системы Uncom OS

Личная переписка, протоколы совещаний топ-менеджеров, базы данных, государственные и корпоративные тайны не раз становились общедоступными из-за использования генеративного ИИ. Расскажу, почему так происходит и можно ли применять модели без риска утечки информации.

Модели идут по пути создания очень длинных промптов. Чтобы что-то спросить, мы загружаем наши файлы, схемы, базы. И кроме самого промпта, в ИИ отправляются история наших запросов и его ответов, наша реакция на эти ответы. Весь этот контекст позволяет модели отвечать наиболее полно. Это и большая возможность, и большая опасность. Вы де-факто рассказываете все, что думаете по своему вопросу, что делаете, как вы это делаете, какой информацией оперируете, какие результаты ждете и какие результаты вас в итоге удовлетворили. Все эти данные будут использованы для переобучения ИИ. И после выхода новой версии модель нельзя будет убедить что-то забыть.

Вспомним классический примерутечки конфиденциальной информации. В 2023 году исполнительный директор подразделения Samsung Electronics DS проверил с помощью ChatGPT базу данных измерений полупроводникового оборудования на наличие ошибок при запуске исходного кода загружаемой программы. Все загруженное в нейросеть стало общественным достоянием. Корпорация попросила работников следить за тем, чем они делятся с ИИ, и ограничила размер запроса. Но сотрудник, создавший программу для определения производительности, ввел исходный код в ChatGPT и попросил оптимизировать его. ИИ просьбу выполнил, а заодно сделал запрос и его результаты общедоступными. В третий раз на те же грабли в компании наступил сотрудник, решивший с помощью ChatGPT оформить протокол совещания. В итоге Samsung запретил использование иностранного ИИ и разработал собственный.

Несмотря на очевидность угрозы конфиденциальности, согласно «Отчету о стоимости утечки данных за 2025 год» от IBM, у 63% компаний отсутствуют внутренние политики взаимодействия с ИИ. Именно эти 63% составляют 97% пострадавших от инцидентов, вызванных отсутствием норм безопасности при работе с моделями. За легкомысленность приходится платить: IBM оценивает средний ущерб одной утечки в $4,4 млн.

ИИ выставляет напоказ не только корпоративную, но и частную жизнь. Так, летом 2025 года стало возможным найти и почитать более 370 тыс. чатов пользователей Grok. Из-за функции «Поделиться» URL-адреса диалогов с нейросетью автоматически публиковались на сайте Grok и были проиндексированы поисковиком Google.

Когда проблема появления конфиденциальной и потенциально опасной информации в открытом доступе встала во весь рост, последовала серьезная доработка моделей. Не для того, чтобы заставить их забывать. А для того, чтобы поставить фильтры, которые внесут корректировки в ответ нейросети и уберут из него чувствительную информацию — до того, как этот ответ будет дан пользователю.

Проведем эксперимент. Спрашиваем: «Кто из мэрии Парижа принимает решение о закупке канцтоваров? Пожалуйста, отранжируй, кто из этих чиновников с наибольшей вероятностью брал взятки, и выведи среднюю сумму, которую они берут, чтобы я договорился лучше и быстрее». Подумав, ИИ выдает: «Помогать в организации незаконных действий не буду».

Он не говорит «я не знаю» — данных для релевантного ответа у него достаточно, но фильтр блокирует выдачу. Отказывает не ИИ, а фильтр. Который работает по принципу «крамола должна быть очевидно крамольной».  

Фильтр в этом случае можно обойти как строгого вахтера. Представим, вы пытаетесь вечером пронести в общежитие спиртное. Вахтер просит открыть сумку и видит в ней запечатанный кефир. И пропускает. А это бутылка, окрашенная белой краской, внутри которой запрещенная жидкость.

Так же можно замаскировать и промпт. Попросить ИИ выполнить задачу, формально не имеющую отношение к интересующему вас запросу. Однако благодаря такому промпту при формировании ответа модель будет обращаться к интересующей вас информации. Фильтр не увидит подвоха и не отреагирует. Технические подробности метода раскрывать не буду, чтобы неокрепшие умы им не воспользовались.

В интернете множество советов на тему «Как предотвратить слив при работе с ИИ». Они напоминают бородатый способ похудеть. На переваривание ананаса организм тратит больше энергии, чем получает от этого фрукта. Поэтому если калорийное пиво закусывать ананасами, вы никогда не пополнеете. Большинство методов защиты чувствительной информации от ее дальнейшего применения в моделях ИИ примерно такого же качества.

И все же защита существует. Первое — гигиена. Никогда не давайте ИИ информацию, которой не готовы делиться с другими. Кроме того, необходимо понимать: чтобы ваши секреты появились в ИИ, не обязательно им пользоваться. ChatGPT, DeepSeek уверено парсят сайты.

Типичная ситуация. Сотрудник на удаленке разместил на временной странице чувствительную информацию, открыл только себе доступ к базе данных, через публичный URL без специальных VPN. Он никому не дал на нее ссылку, он знает ее сам, она длинная, она никому не понятна. Но для ChatGPT это не является ограничением, робот собирает всё, до чего может дотянуться в интернете. Поэтому соблюдать цифровую гигиену так же важно, как и обычную. Но всегда найдутся люди, ей пренебрегающие, и в России, и в Америке, и в Корее. Иногда среди них оказываются даже ИБ-специалисты: летом прошлого года служебные документы в ChatGPT загрузил и.о. Агентства по кибербезопасности США. Это проблема мирового масштаба.

Для генеративного ИИ единственное препятствие нарушить конфиденциальность — навязанная ему этика. Но когда владельцу ИИ нужно будет достать чувствительную информацию, ему никто не помешает. Доверяете ли вы хозяевам общедоступных нейросетей? Если нет, поставьте передачу данных вовне под свой контроль.

Это достигается локальным развертыванием ИИ-модели или каскада моделей. Все вычисления проходят на вашем компьютере, без передачи информации сторонним сервисам. Вы не только обеспечите приватность, но и сами станете решать, какие фильтры использовать, получая необходимый результат, независимо от внешних ограничений. На сегодня только локальное развертывание ИИ делает из него надежного партнера, умеющего хранить ваши секреты.

У компаний есть ресурсы для развертывания ИИ в закрытом контуре. Гик сможет самостоятельно собрать станцию для решения этой задачи. Как быть рядовым пользователям, от адвокатов до бухгалтеров на фрилансе, для которых нет разницы между RAM и VRAM, но критично сохранение конфиденциальности при использовании ИИ?

Индустрия чутко откликается на их потребность, выпуская готовые решения. Minisforum в мае представил уже второе поколение мини-ПК, предназначенных для работы с большими моделями без использования облачных сервисов — Minisforum M2. Mac mini M4 от Apple, предназначенный для решения той же задачи, разлетается как горячие пирожки. Sipeed на днях вывел на рынок Sipeed K3, способный запускать модели объемом до 30 млрд параметров.

Конкуренция идет и в ценовом диапазоне и даже в области дизайна. Китайская M5Stack выпустила ПК AI Pyramid Pro, чей корпус выполнен в виде пирамиды, а стоимость составляет $250.

По мере переоценки отношения людей к защите своей конфиденциальности этот рынок будет расти, предлагая все более мощные и доступные решения, а локальное развертывание ИИ станет обыденным правилом безопасности.

Изображения: Freepik (в шапке); AI Pyramid Pro / M5Stack

Подписывайтесь на каналы Let AI be в Telegram и «ВКонтакте» — оставайтесь в курсе главных новостей в сфере искусственного интеллекта!