Už s nástupom osobných počítačov a internetu, keď si zamestnanci začali inštalovať vlastný softvér bez vedomia IT oddelení, sa začal formovať fenomém „shadow IT“. Rozmach prišiel s nástupom cloudových služieb ako Dropbox či Google Drive, ktoré umožnili obchádzanie firemných pravidel. Bezpečnostné riziko výrazne narástlo počas pandémie, keď sa práca presunula do režimu na diaľku a s používaním vlastných zariadení.
Analytici predpokladajú, že v roku 2027 bude až 75 percent zamestnancov získavať technológie, upravovať ich či dokonca vytvárať riešenia mimo viditeľnosti IT oddelenia.
Shadow AI
K tieňovému IT sa pridáva nový fenomén – tieňová umelá inteligencia, teda používanie AI nástrojov a agentov mimo kontroly organizácie.
Podľa analýzy spoločnosti Gartner dnes väčšina zamestnancov využíva AI nástroje mimo oficiálne schváleného prostredia organizácie a firmy majú často o tom len minimálny prehľad.
Shadow AI sa preto už teraz radí medzi hlavné bezpečnostné riziká a do roku 2027 bude patriť k najkritickejším výzvam v riadení IT a kybernetickej bezpečnosti.
Bezpečnostný lapsus
Podstata kybernetickej hrozby v prípade shadow AI spočíva v strate kontroly. IT oddelenie nevie, aké nástroje zamestnanci používajú, kam odosielajú firemné dáta ani kto má k nim prístup.
Čiže ak iniciatívni zamestnanci do neschválených AI aplikácii natlačia zmluvy a osobné údaje, zdrojový kód alebo firemné know-how, tak faktor kybernetickej hrozby vyletí na škále naliehavosti až na úroveň 9 z desiatich.
Ohrozenie graduje
V prípade agentickej AI je situácia ešte závažnejšia, pretože nejde len o spracovanie dát, ale o rozhodovanie a vykonávanie úloh.
Klasická generatívna AI ako ChatGPT či Copilot vytvára odporúčania a text, ale nič nemení bez pokynov od človeka. Agentická AI funguje inak. AI agent plánuje kroky, rozhoduje sa, vykonáva viacstupňové akcie a prispôsobuje sa v reálnom čase.
AI agenti tak dokážu autonómne vykonávať úlohy, generovať odpovede zákazníkom či zasahovať do procesov. Ak sú nasadené bez dohľadu, môžu spôsobiť chyby s reálnym dopadom – od nesprávnych rozhodnutí až po narušenie prevádzky.
Prečo zapnúť alarm
Trend agentickej AI totiž opúšťa vývojársky svet. Na scénu prichádza generácia no‑code a low‑code platforiem, ktoré možňujú aj osobám bez programátorských znalostí vytvoriť plnohodnotného AI agenta.
Používateľ si vyberie šablónu, poskladá bloky vo vizuálnom editore a v prirodzenom jazyku napíše, čo má agent robiť, od správy e‑mailov až po prístup do CRM či cloudových úložísk. Nástroje cielia na bežného, problematiky neznalého používateľa. Laikovi tak stačí iba účet, pár minút času a nápad, čo chce automatizovať.
Ako vyzerá útok
V prípade útoku cez AI agenta už nestačí sledovať, či útočník ukradol jednotlivé údaje. Dôležitý je rozsah škôd, na ktoré agent dosiahne svojím prístupom. V tomto prípade úspešná prompt injekcia neznamená iba únik konkrétnej informácie.
Útočníkovi sa otvára cesta k automatizovanému pohybu v celej infraštruktúre. Agent, ktorý má povolenia k API rozhraniam, databázam a interným systémom, sa okamžite mení na nástroj útočníka.
Agentická AI má všetky znaky explozívneho rastu a zároveň krátkodobého chaosu. Vykazuje veľmi rýchly rast, či už ide o investície alebo adopciu ale zároveň aj vysokú mieru zlyhaní projektov. K tomu sa začína pridávať prebytok riešení na trhu, nehovoriac o tom, že často vznikajú s nižšou mierou alebo zanedbaním kybernetickej bezpečnosti.
Zákazy nefungujú
Firmy stoja pred zásadnou výzvou ako umožniť inovácie a zároveň si zachovať kontrolu a bezpečnosť. Jednoduché zákazy nefungujú, pretože zamestnanci si budú vždy hľadať cesty, ako si zjednodušiť prácu.
Kľúčom je zavedenie jasných pravidiel, riadeného používania AI a bezpečných nástrojov, ktoré budú dostupné oficiálne. Shadow IT a shadow AI totiž nevznikajú zo zlého úmyslu, ale z potreby pracovať rýchlejšie a efektívnejšie. Práve preto sa ich zvládnutie stáva jednou z najdôležitejších úloh v riadení kybernetickej bezpečnosti.
Analytický tím ALISON Slovakia