Месяц назад безопасник одного крупного финтеха гордо показывал мне чистые логи корпоративного шлюза с наглухо заблокированными доменами OpenAI, Anthropic и Midjourney. А через десять минут мы нашли их свежий биллинг-алгоритм вместе с боевыми токенами в публичном индексе стороннего ИИ-сервиса, потому что мидл-разработчик просто раздал интернет с личного айфона, чтобы быстро отрефакторить код.
В Morana Labs мы строим индустриальный ИИ. Тянем edge-вычисления, high-load инференс и reinforcement learning строго на железе клиента, выстраивая архитектуру так, чтобы ни один байт не покинул защищенный периметр. Ко мне регулярно приходят с запросом «построить локальную систему, потому что публичные сервисы мы запретили приказом и закрыли файрволом, теперь нужна замена». Проблема в том, что приказ не меняет физику процесса.
Главный миф корпоративной безопасности сегодня звучит так: мы обновили политики DLP, порезали трафик по спискам доменов и теперь контролируем ситуацию. Это откровенная ложь.
Дырявая стена: почему списки блокировок мертвы
Пытаться отфильтровать ИИ-трафик классическими методами — это пытаться носить воду в решете. Shadow AI в 2026: посчитали, сколько корп-данных утекает в публичные нейросети мимо приказа о запрете, и цифры выглядят отвратительно. Вы думаете, что остановили утечку, но на самом деле вы просто выключили свет в комнате, где вас грабят.
Каждую неделю появляются десятки новых ИИ-сервисов, легковесных обёрток, API-шлюзов и телеграм-ботов. Ваш DLP-агент может перехватывать буфер обмена на рабочем ноутбуке, но он абсолютно слеп, когда юрист фотографирует экран со сложным контрактом, прогоняет через OCR на смартфоне и скармливает публичной нейросети через сотовую сеть для «быстрой выжимки рисков».
Рядовой сотрудник не хочет воровать коммерческую тайну. Он просто хочет уйти домой в шесть вечера. Если публичная языковая модель сводит сводный отчет за пятнадцать минут вместо четырех часов рутины, этот человек найдет способ обойти корпоративный VPN. Он поставит левое браузерное расширение, поднимет собственный прокси за доллар в месяц или воспользуется домашним компьютером. Запрет ChatGPT на работе без предоставления адекватной альтернативы не уничтожает потребность — он криминализирует эффективный инструмент. Трафик уходит в глубокую тень.
Анатомия теневого ИИ: что именно утекает в промпты
Мы проанализировали обезличенную статистику сетевых аномалий и косвенных утечек на нескольких контурах, где формально действовал режим «нулевой терпимости» к внешним LLM. Доля теневого ИИ-трафика составляет катастрофические величины от всего объема текстовых данных, отправляемых во внешнюю среду нестандартными путями. И содержимое этих промптов вызывает холодный пот.
Во-первых, уходит исходный код. Разработчики без малейших сомнений отправляют в публичные чаты проприетарные алгоритмы, архитектурные схемы и куски легаси-кода. Хуже того, вместе с кодом улетают ключи доступа к базам данных и API-токены, захардкоженные разработчиком «только для тестов». Эти данные оседают в логах сторонних серверов и могут стать частью обучающей выборки следующей версии модели.
Во-вторых, юридические документы. Договоры с контрагентами, содержащие коммерческую тайну, NDA, параметры будущих сделок и финансовые условия M&A. Юристы и менеджеры по продажам массово используют внешние LLM для проверки формулировок и перевода, сливая корпоративную стратегию прямо в облако.
В-третьих, персональные данные. Клиентские базы, полные выгрузки из CRM, скоринговые профили, резюме кандидатов с номерами телефонов, адресами и паспортами. Маркетолог загружает эксель-таблицу с тысячей VIP-клиентов в бесплатного ИИ-бота, чтобы сгенерировать персонализированную рассылку.
По закону 152-ФЗ и требованиям ФСТЭК каждый такой слив ПДн — это официальный инцидент. Экономика инцидента бьет наотмашь: оборотные штрафы, проверки регуляторов и репутационные иски. Утечка исходников или базы клиентов через теневой ИИ может стоить бизнесу десятки миллионов рублей прямого убытка. А руководство при этом продолжает смотреть на зеленые графики заблокированного трафика.
Внутренний контур как единственное решение
Загонять утечку в слепую зону запретами — это управленческая импотенция. Вы не можете отучить людей от экскаватора, предлагая им лопату под угрозой депремирования. Единственный инженерно грамотный способ убить shadow AI — это каннибализировать его собственным, легитимным решением.
Речь идет про санкционированный внутренний ИИ. Развертывание on-prem LLM и корпоративных RAG-ассистентов внутри закрытого контура предприятия решает проблему на фундаментальном уровне. Вы даете сотрудникам тот же уровень комфорта: возможность писать код, суммаризировать договоры и анализировать сырые данные, но физически замыкаете инференс на своих серверах без доступа в интернет.
Как только в компании появляется быстрый, не задающий лишних вопросов внутренний ассистент с нормальным интерфейсом, необходимость тащить данные на личный телефон отпадает сама собой. Контроль остаточного ИИ-трафика становится тривиальной задачей для ИБ, потому что легитимный сценарий теперь удобнее и легальнее обходного.
Метрики вытеснения: как посчитать успех
Внедрение внутреннего ИИ требует жестких цифр, а не радостных отчетов об инновациях. Как мерить вытеснение shadow AI из корпоративной среды? Главная метрика — это не количество запросов к вашей on-prem модели само по себе. Это корреляция роста внутреннего трафика с падением попыток обхода DLP-систем.
Вы смотрите на долю задач, окончательно ушедших во внутренний контур. Если за месяц внутренний корпоративный RAG обработал двести тысяч запросов от отдела продаж, HR и юристов, а количество алертов безопасности на использование анонимайзеров и нестандартных браузерных расширений упало на восемьдесят процентов — система работает. Вы только что предотвратили двести тысяч потенциальных сливов в публичные сети. Это не гипотетическая кибербезопасность. Это конкретные деньги, сохраненные для бизнеса, и измеримый KPI перехода от имитации защиты к реальному контролю над данными.