Tekoälyavustajat ovat luvanneet sen, mikä useimmilta yrityksiltä puuttuu: tehokkuutta ilman lisäkustannuksia.
Ne voivat tiivistää sähköpostinne, vastata puolestanne, päättää mitkä viestit vaativat päätöksiä, automatisoida kalenteritapahtumia, poimia tietoja asiakirjoistanne ja jopa järjestellä niitä.
Pienten tai keskisuurten yritysten perustajille tai johtajille, joiden tarpeet ylittävät resurssit, tämä voi tuntua juuri oikeaan aikaan toteutuneelta toiveelta. Se kuitenkin pyytää teiltä aivan kaikkea – pääsyä saapuneet-kansioonne, kalenteriinne, tiedostoihinne ja jopa luottamuksellisiin yritystietoihinne.
Jopa 69 % yrityksistä käyttää jo tekoälyavustajia, kuten ChatGPT:tä, Claudea ja Grammarlya – mutta 30 % on epävarmoja tai ei luota tekoäly-yrityksiin omistusoikeudellisten yritystietojensa suojaamisessa.
Kompromissi ei ole aluksi ilmeinen. Mutta sen, minkä pk-yritykset saavat tehokkuudessa, ne maksavat tietoturvassa.
Tehokkuuden hinta
Kun yhdistätte Gmail-tilinne, Google Driven tai kalenterinne Comet-työkalun kaltaiseen sovellukseen, myönnätte sille OAuth-oikeudet – usein laajemmat kuin pelkän lukuoikeuden. Pyydetyistä käyttöoikeuksista riippuen työkalu saattaa voida ladata yhteystietoja, hallita koko kalenterianne ja jopa kirjoittaa sähköposteja puolestanne.
Nämä käyttöoikeudet ilmoitetaan teknisesti valtuutusvaiheessa, mutta useimmat käyttäjät eivät täysin arvioi, mitä ne tarkoittavat käytännössä. Kun oikeudet on myönnetty, työkalu voi käyttää ja käsitellä arkaluonteisia yritystietoja laajassa mittakaavassa.
Sama malli soveltuu myös muihin tekoälyavustajien työnkulkuihin. Sisäisten tietopankkien indeksointi, omistusoikeudellisten asiakirjojen tiivistäminen tai yritystietojen kontekstualisointi laajentavat kaikki altistumistanne riskeille.
Kun ette tiedä, mitä käyttöoikeuksia olette myöntäneet, ette voi tarkasti arvioida aiheuttamaanne riskiä.
Kuinka paljon tekoälyavustajat ja selaimet voivat nähdä
Tiedätte varmasti, että Perplexity Cometin tai ChatGPT Atlasin(uusi ikkuna) kaltaiset tekoälyselaimet voivat lukea avoinna olevan sivunne, tiivistää sen ja kirjoittaa tekstiä uudelleen. Mutta tiesittekö, että ne voivat toimia puolestanne?
Koska tehokkuus riippuu syvästä integraatiosta, avustaja tarvitsee näkyvyyden selaustoimintoihinne ja saattaa pyytää pääsyä yhdistettyihin tileihin. Joissakin tapauksissa se voi käynnistää toimintoja pelkän tekstin luomisen sijaan.
Tämä on tekoälyagenttien arkkitehtuuri laajemmassa mittakaavassa. Ne on suunniteltu toimimaan yhdistetyissä järjestelmissä. Yksittäinen altistunut tai manipuloitu agentti voi käydä läpi sähköpostinne, kalenterinne, tiedostonne ja kirjautumistietonne järjestyksessä.
Tämä johtuu siitä, miten nämä työkalut on rakennettu. Se luo hyökkäyspinta-alan, jota tutkijat pyrkivät jo hyödyntämään.
Tietoturvatutkijat ovat jo osoittaneet, kuinka verkkosisältöön upotetut piilotetut ohjeet voivat manipuloida näitä järjestelmiä ei-toivotuilla tavoilla.
Yksi viimeaikainen haavoittuvuuden hyödyntäminen, ”CometJacking(uusi ikkuna)”, osoitti, kuinka URL-osoitteisiin upotetut ohjeet voivat manipuloida tekoälyä hankkimaan pääsyn henkilökohtaisiin tai yrityksen tietoihin tai suorittamaan haitallisia toimintoja käyttäjän tietämättä.
Toimittajat reagoivat nopeasti korjaustiedostoilla ja suojatoimilla. Tässä tapauksessa Perplexity vastasi neliportaisella suojausmenetelmällä. Tämä toimintamalli kuitenkin korostaa jotain perustavanlaatuisempaa: nämä työkalut on suunniteltu tulkitsemaan ja toimimaan.
Jopa Perplexity toteaa tietosuojakäytännössään(uusi ikkuna): ”Mitkään turvatoimet eivät ole läpäisemättömiä, emmekä voi taata ’täydellistä turvallisuutta’”. Kysymys ei ole siitä, onko työkalu turvallinen tällä hetkellä. Kyse on siitä, sopiiko teille se, kuinka paljon käyttöoikeuksia se vaatii.
Kenellä on vastuu yksityisyydestä
Tekoälytoimittajat korostavat yksityisyyden hallintatyökaluja ja kieltäytymismahdollisuuksia. Esimerkiksi Perplexityn Comet Assistant vakuuttaa käyttäjille, että ”Comet Assistant antaa hallinnan teille”.
Nämä hallintatyökalut kuitenkin olettavat virheellisesti jotain: että käyttäjät ymmärtävät, miten heidän tietojaan käsitellään, määrittävät aktiivisesti asiaankuuluvat asetukset ja seuraavat käytäntöjen kehittymistä ajan myötä.
Käytännössä useimmat eivät tee niin. Protonin vuoden 2026 pk-yritysten kyberturvallisuusraportin mukaan 43 % pk-yrityksistä sanoo, etteivät ne pysty itsenäisesti varmistamaan palveluntarjoajan yksityisyydensuojaa, ja 35 % ei ymmärrä lainkaan, miten palveluntarjoajat käsittelevät heidän tietojaan.
Osa tiedoista voidaan jättää mallin koulutuksen ulkopuolelle. Muita tietoja voidaan säilyttää personoinnin parantamiseksi. Käytännöt voivat vaihdella eri ominaisuuksien välillä ja muuttua tuotteiden kehittyessä. Tiettyjen toimintojen poistaminen käytöstä saattaa rajoittaa juuri niitä ominaisuuksia, jotka tekevät työkalusta houkuttelevan.
Tällaisessa ympäristössä yksityisyys ei ole enää staattinen tuotelupaus. Siitä tulee jatkuva toiminnallinen vastuu.
Vastuu siirtyy teille, käyttäjälle. Teidän on päätettävä, mitä tietoja voidaan jakaa, seurattava käytäntöpäivityksiä, määritettävä asetukset asianmukaisesti ja arvioitava riskejä uudelleen tuotteen kehittyessä.
Tälle sivulle on koottu käytännön oppaita ja selityksiä tekoälyn yksityisyydestä ja tietoturvasta(uusi ikkuna), jotta tiedätte tarkalleen, minkä kanssa työskentelette.
Yksityisen tekoälyavustajan tai tekoälyä hyödyntävän selaimen ominaisuudet
Tiiminne pitäisi voida käyttää tekoälyavustajaa ilman huolta siitä, että jokainen vuorovaikutustapahtuma tallennetaan, profiloidaan tai käytetään mallin seuraavan version kouluttamiseen.
- Ei tietojen keräämistä. Oletusarvoisesti. Tiiminne pitäisi voida käyttää tekoälyavustajaa tai -agenttia ilman huolta siitä, että jokainen vuorovaikutustapahtuma tallennetaan, profiloidaan tai kaupallistetaan. Jos työkalu luo ”muistoja” tai ”asetuksia”, teidän tulisi kysyä: Kuka hallitsee näitä tietoja? Onko toiminto todella oletusarvoisesti poissa käytöstä vai onko se piilotettu asetuksiin? Ja jos otan sen pois käytöstä, mitä tuotteen ominaisuuksia menetän?
- Ei mallien kouluttamista yritystienne tiedoilla. Yritysasiakirjoja, kumppanitietoja, raportteja tai suunnitelmia ei koskaan pitäisi käyttää tekoälymallien kouluttamiseen. Tämä ei ole vain oikeudenmukaisuuskysymys vaan myös tietoturva-asia, sillä tiedot voivat nousta uudelleen esiin vaaratilanteissa, joita ette voi hallita.
- Todellinen läpinäkyvyys. Läpinäkyvyys rakentaa luottamusta, mutta vain jos se on todellista. This tarkoittaa, että teidän pitäisi voida ymmärtää jokaisessa vaiheessa, miten tietojanne käsitellään ja mitkä periaatteet ohjaavat tuotetta. Jos teidän on käytettävä kaksi tuntia sellaisten käyttöehtojen jäsentämiseen, jotka ovat ristiriidassa työkalun todellisen käyttökokemuksen kanssa, kyse ei ole läpinäkyvyydestä. Se on vain iskulause.
- Zero-access-salaus. Zero-access-salauksella tietonne suojataan avaimilla, joita vain te hallitsette – edes palveluntarjoaja ei voi lukea niitä. Tämä poistaa tarpeen luottaa käytäntöihin tai lupauksiin, koska arkkitehtuuri tekee väärinkäytöstä teknisesti mahdotonta.
Useimmat tekoälytyökalut hyötyvät niitä käyttävistä yrityksistä. Keskustelunne, asiakirjanne ja tiedostonne ruokkivat mallien koulutusta, yleisön profilointia ja joissakin tapauksissa viranomaisten tietopyyntöjä – yleensä ilman merkittävää tiedonantoa tai suostumusta. Toisin on Lumon kohdalla.
Lumo on tekoälyavustaja, joka on rakennettu yrityksille, joilla ei ole varaa luovuttaa tietojaan mukavuuden vuoksi. Siinä on zero-access-salaus, se ei kerää tietoja, eikä yritystienne tietoja käytetä mallien kouluttamiseen.
