Корпоративные политики безопасности превратились в тыкву в тот день, когда топ-менеджмент распробовал ИИ. В Morana Labs мы строим индустриальный искусственный интеллект: хардкорный on-premise, edge-вычисления, инференс нейросетей строго на железе клиента без выхода в сеть. Нас зовут, когда данные не имеют права покидать периметр физически. Месяц назад нас позвали разгребать последствия чужой веры в маркетинговый булшит.
Крупный финтех купил enterprise-подписку на популярную облачную LLM для своих разработчиков и аналитиков. Вендор клялся кровью: zero data retention, полный opt-out из обучения моделей, железобетонная приватность. ИБ-директор подписал бумагу, бизнес выдохнул и начал загружать в чаты логи транзакций, куски базы данных и куски проприетарного кода. Через три недели фрагменты их внутреннего регламента аутентификации всплыли в ответах стороннего сервиса. Они думали, что у них завелась крыса. Мы поставили mitmproxy, завернули трафик и перехватили трафик 5 облачных ИИ-ассистентов: что реально уходит наружу помимо промпта и почему это статья 152-ФЗ — сейчас покажу на разобранных пакетах.
Анатомия перехваченного пакета: иллюзия приватности
Большинство безопасников до сих пор мыслит категориями формы ввода. Пользователь напечатал текст, нажал Enter — текст ушёл на сервер. Это ложь. Современный облачный ИИ-ассистент, будь то веб-версия или плагин для IDE, работает как пылесос непрерывного действия. Мы расшифровали TLS-трафик пяти ведущих платформ и посмотрели на реальную полезную нагрузку.
Промпт — это дай бог десять процентов от того, что летит на сервер. Остальное — системный контекст и метаданные сессии. ИИ-ассистент собирает отпечаток устройства, версии ОС, список активных фоновых процессов. Но самое страшное — теневая загрузка файлов. Если сотрудник просто перетащил PDF-документ или CSV-файл с персональными данными в окно браузера, но передумал и не нажал кнопку отправки — файл уже улетел. Frontend-скрипты нарезают документ на чанки и фоном пушат их на S3-совместимые хранилища вендора для «ускорения последующей обработки». Вы отменили запрос, а медкарты ваших клиентов уже лежат на чужом сервере.
{
"type": "message_create",
"payload": {
"text": "Проверь этот SQL-запрос на ошибки",
"context_window": [
"SELECT * FROM users WHERE passport_data IS NOT NULL"
],
"telemetry": {
"ide_version": "1.85.1",
"os_fingerprint": "darwin-arm64",
"clipboard_hash": "7f83b1657ff1fc534eca4120fa5e56d3",
"active_bg_processes": ["terminal", "dbeaver", "telegram"]
},
"shadow_attachments": [
"s3://vendor-staging-bucket/temp_upload_991_fintech_export.csv"
]
}
}В дампе выше — реальный, лишь слегка анонимизированный кусок перехваченного POST-запроса из популярного плагина для разработчиков. Помимо самого SQL-запроса, плагин любезно прихватил хэш буфера обмена и отправил телеметрию SDK. Если разработчик скопировал ключ доступа к проду, но вставил в чат только безобидный код — хэш ключа всё равно ушёл наружу.
Трансграничная передача и рулетка балансировщиков
Вторая проблема — маршрутизация. В privacy policy вендор может обещать обработку данных строго в европейском контуре. Бумага стерпит всё. Пакеты терпят меньше. В часы пиковой нагрузки на европейские дата-центры балансировщики трафика безжалостно перекидывают запросы на свободные ноды в US-East-1 или дата-центры в Азии. Мы видели это своими глазами: сессия начинается с IP-адресов во Франкфурте, а инференс тяжелого контекста внезапно обрабатывается в Вирджинии.
Для российского бизнеса это приговор. Заливая в такой чат данные клиентов, вы осуществляете неконтролируемую трансграничную передачу персональных данных в недружественные юрисдикции. Вы не контролируете маршрут. Вы не знаете, на каком физическом диске осядет кэш оперативной памяти GPU после завершения генерации. Обещание «не использовать для обучения» означает лишь то, что веса модели не обновятся на ваших данных. Но данные физически покинут ваш периметр, пройдут через десятки транзитных узлов и запишутся в логи балансировщиков балансировщиков.
Уголовный кодекс и оборотные штрафы 2026 года
Теперь о последствиях. Бизнес часто оценивает риски утечки промптов как гипотетические. Подумаешь, кто-то узнает, какой код мы пишем. Проблема в том, что регулятор мыслит иначе. Законодательство 152-ФЗ стремительно закручивает гайки. Впереди 2026 год и перспектива оборотных штрафов за повторные утечки ПДн. Если вы загрузили в облачный LLM базу клиентов для анализа тональности, и этот датасет всплыл на стороне — это не просто инцидент ИБ. Это оборотный штраф.
Еще хуже дела обстоят с субъектами КИИ. Для значимых объектов критической информационной инфраструктуры передача технологических данных, схем сетей или конфигураций оборудования на сторонние серверы — это прямая дорога к уголовному преследованию. Никакой enterprise-тариф с галочкой opt-out не освобождает вас от ответственности за то, что вы своими руками отдали чертежи или телеметрию АСУ ТП зарубежному облачному провайдеру.
Нулевой остаточный риск живёт только в изоляции
Магического патча для облачных API не существует. Как только TCP-соединение устанавливается с внешним хостом, остаточный риск перестает быть нулевым. Чтобы принимать архитектурные решения без иллюзий, мы в Morana Labs используем жесткую матрицу оценки по шести классам данных. Ниже приведена дельта рисков между облачным инференсом и локальным развертыванием.
| Класс данных | Риск облачного API | Риск On-Premise (Air-gapped) |
|---|---|---|
| Публичные маркетинговые тексты | Допустимый (потеря конфиденциальности не критична) | Нулевой |
| Обезличенный код без секретов | Высокий (риск кражи архитектурных паттернов) | Нулевой |
| Внутренняя документация | Критический (утечка бизнес-логики) | Нулевой |
| Исходный код с IP и секретами | Фатальный (полная компрометация продукта) | Нулевой |
| Персональные данные (152-ФЗ) | Фатальный (оборотные штрафы, уголовная ответственность) | Нулевой |
| КИИ, гостайна, медкарты | Тюремный срок | Нулевой |
Порог перехода на on-premise решения наступает ровно в тот момент, когда в ваших данных появляются ПДн, исходники или коммерческая тайна. Полумеры не работают. Вы не можете отфильтровать весь конфиденциальный контекст регулярными выражениями перед отправкой в облако — разработчик всегда найдет способ протащить дамп базы в чат, чтобы «быстро сгенерировать миграцию». Аналитик всегда закинет сырой CSV с номерами телефонов, чтобы ИИ построил красивый график.
Болезнь лечится только ампутацией внешнего канала связи. Инференс должен происходить внутри вашего контура безопасности. Железо стоит в вашей серверной. Модель крутится в вашей оперативной памяти. Внешний кабель перерезан физически. Это то, что мы называем on-prem RAG-ассистентом: система получает доступ к внутренней базе знаний компании, но не имеет физической возможности отдать наружу ни единого байта. Вы получаете скорость работы и качество ответов на уровне лучших мировых моделей, но спите спокойно, зная, что ваши данные принадлежат только вам. Без вариантов.