Çeyrek 2025’te Harmonic, 300’den fazla Genai ve AI ile çalışan SaaS uygulamalarında 1 milyon genai istemini ve 20.000 yüklenen dosyayı gözden geçirdi ve bulgular, hassas verilerin genai araçları aracılığıyla maruz kaldığını, birçok güvenlik liderinden korktuğunu ancak ölçülmeyi zor bulduğunu doğrulamaktadır.
Çeyrek 2025’te Genai Araçlarına Yüklenen Dosya Türlerinin Dağıtımı (Kaynak: Harmonik Güvenlik)
İşletmeler ortalama çeyrek başına 23 yeni genai aracı kullanıyor
Bu sayıların% 22’si ve istemlerin% 4,37’si hassas bilgiler içerir, bu kaynak kodu, erişim kimlik bilgileri, tescilli algoritmalar, birleşme ve satın alma belgeleri, müşteri veya çalışan kayıtları ve dahili finansal veriler içerir.
Sadece 2. çeyrekte, ortalama bir işletme, çalışanları tarafından yeni kullanılan daha önce bilinmeyen 23 Genai araçını gördü ve her bir aracın düzgün bir şekilde denetlenmesini ve gözden geçirilmesini sağlaması gereken güvenlik ekiplerini gerdi. AI kullanımının yüksek bir kısmı, onaylanamayan ve / veya güvence altına alınmayan kişisel hesaplardan gelir. Hassas yüklemelerin% 47,42’si, standart (girişim dışı) hesapları olan kullanıcılardan kaynaklanmaktadır, ancak bu rakamlar% 26.3’ün kişisel hesaplar üzerinden olduğu ChatGPT ve Google Gemini’nin sadece% 15’i kişisel hesaplar aracılığıyla kullanılır.
İşletmeler aylık 1GB’lık dosya yüklüyor
Çeyrekte analiz edilen tüm hassas istemlerin% 72.6’sı ChatGPT’den kaynaklandı, ardından Microsoft Copilot, Google Gemini, Claude, Poe ve şaşkınlık izledi. Baskın bir trend göze çarpıyor: Kod sızıntısı, Genai araçlarına gönderilen en yaygın hassas veri türüydü ve özellikle Chatgpt, Claude, Deepseek ve Baidu Chat’de yaygındı.
Ortalama bir işletme, PDF’lerin yarısını oluşturan ilk çeyrekte 1.32GB dosya yükledi. Bununla birlikte, bu dosyaların tam% 21,86’sı, hızlı verilere kıyasla orantısız hassas ve stratejik içerik konsantrasyonuna sahip hassas veriler içeriyordu. Örneğin, dosyalar, depolanan tüm kredi kartı maruziyetlerinin% 79,7’si, müşteri profili sızıntılarının% 75,3’ü ve çalışan PII olaylarının% 68,8’inin yüksek düzenleyici veya itibar riski olan tüm kategorilerdi. Her iki kanalın da aktif olduğu finansal projeksiyonlarda bile, dosyalar toplam pozlama hacminin% 52,6’sı ile istenmişti.
Yaygın SaaS uygulamaları hassas içeriği genai’ye nasıl maruz bırakıyor?
Tüm Genai riski bariz sohbet botlarından gelmez. Büyüyen bir pay artık LLM’leri sessizce yerleştiren ve çoğu kurumsal kontrol tarafından Genai araçları olarak işaretlenmeyen kullanıcı içeriğine antrenman yapan günlük SaaS araçlarından kaynaklanıyor. Yine de genellikle hassas içerik alırlar. Örneğin, Canva yasal strateji, birleşme ve satın alma planlaması ve müşteri verileri içeren belgeler oluşturmak için kullanıldı. Repit ve Lovable.dev, sözleşmeleri, müşteri e -postalarını ve dahili yasal dilleri düzenlemek için gramer ve quillbot kullanılırken tescilli kod ve erişim tuşlarını ele aldı.
Çalışanlar, onaylanmamış Çin genai araçlarına hassas verileri yüklüyor
Çin genai araçları Batılı şirketlerde popüler hale geliyor. Bu platformlar çoğunlukla onaylanmamış olsa da, geliştiriciler bunları hızlı, etkili ve özgür oldukları için kullanırlar.
Araştırmalar, birçok çalışanın bu araçları kaynak kodu, finansal veriler ve kişisel kayıtlar dahil olmak üzere hassas bilgileri yüklemek için kullandığını bulmuştur. Her araç kendi benzersiz risklerini taşır, örneğin, Baidu sohbet genellikle yasal ve ödeme belgeleri sızdırılırken, Deepseek maruz kalan kredi kartı ve çalışan bilgileri.
Bu Genai platformları genellikle çok az şeffaflık veya kontrol sunar, ancak çalışanlar bunları çok az dirençle kullanmaya devam eder.