Zakázali jste AI? Vaši lidé ji používají dál. Jen o tom nevíte.

Kolem 80 % zaměstnanců používá na práci AI nástroje, které firma neschválila. Polovina z nich to dělá pravidelně. A 57 % vám o tom nikdy neřekne. Zákaz AI nevyřeší bezpečnostní riziko – jen ho přesune do stínu.

Proč firmy sahají po zákazu

Strach z úniku dat je pochopitelný. Samsung povolil ChatGPT v březnu 2023. Do tří týdnů zaměstnanci vložili do chatbotu zdrojový kód polovodičové databáze, interní program na identifikaci vadného vybavení a záznam z firemní porady. Kód skončil v trénovacích datech OpenAI. Samsung okamžitě zavedl plošný zákaz.

Podobně reagovaly JPMorgan, Goldman Sachs, Deutsche Bank, Wells Fargo nebo Verizon. Logika byla jednoduchá: co lidé nepoužívají, to nemůže uniknout.

Problém je v tom, že lidé AI používají dál. Jen vám o tom neříkají.

Zákaz nikdy nefunguje. Nikdy.

Studie z února 2026 ukazuje rozsah problému. 98 % organizací má zaměstnance, kteří používají neschválené aplikace včetně AI nástrojů. A nejde o výjimečné případy – polovina zaměstnanců přiznává pravidelné používání neschválených AI nástrojů.

Paradoxní je, že bezpečnostní specialisté jsou horší než zbytek firmy. 90 % z nich používá neschválené AI. Manažeři jsou na tom podobně. Lidé, kteří mají hlídat pravidla, je porušují nejčastěji.

Proč? Protože dobré nástroje se šíří samy.

Když ChatGPT ušetří hodinu práce denně, žádná směrnice to nezastaví. 85 % zaměstnanců, kteří mají přístup k firemním AI nástrojům, zároveň přiznává, že v posledním roce použili i ty neschválené.

Firemní nástroje totiž nesplňují jejich potřeby. Jen třetina zaměstnanců říká, že schválené nástroje jim pomáhají tam, kde nejvíce potřebují.

Co je shadow AI a proč byste se měli bát

Shadow AI je AI používaná mimo dohled IT a bezpečnostních týmů – bez logů, bez kontrol a bez pravidel pro práci s daty.

Konkrétní čísla z roku 2025:

38 % zaměstnanců přiznává, že sdílí citlivé firemní informace s AI nástroji bez vědomí zaměstnavatele
20 % všech úniků dat souvisí s incidenty shadow AI
Průměrná cena úniku dat souvisejícího s AI je o 670 000 dolarů vyšší než u běžného úniku
27 % dat, která zaměstnanci vkládají do AI, jsou citlivá – trojnásobek oproti roku 2023

Ve firmách s vysokou mírou shadow AI úniky zasáhly 65 % osobních údajů a 40 % duševního vlastnictví. Jste si jisti, že vaše firma patří mezi těch zbylých 35 %?

Vibe coding: když shadow AI píše kód vaší firmy

Shadow AI není jen o chatbotech na psaní e-mailů. Nová vlna rizik přichází s tzv. vibe codingem – programováním pomocí AI, kdy vývojář/ka zadává instrukce přirozeným jazykem a AI generuje kód. Je to rychlé, pohodlné a taky nebezpečné.

Případ Moltbot (později přejmenovaný na OpenClaw) ukazuje, kam to vede. Tento open-source AI asistent získal 85 000 GitHub stars za jediný týden. Umí ovládat e-mail, kalendář, WhatsApp, Telegram, prohlížeč i lokální soubory. Tvůrci otevřeně přiznávají, že většina kódu vznikla vibe codingem – a dokonce vybízejí přispěvatele, aby posílali vibe-coded pull requesty.

Výsledek? Bezpečnostní analýza OX Security našla v kódu příkaz eval() použitý stokrát, execSync devětkrát, nesanitizované HTML rendering a nebezpečné cesty pro spouštění příkazů. Credentials se ukládají v plaintextu v běžných adresářích. Malware jako RedLine, Lumma nebo Vidar už upravují své schopnosti, aby tyto adresáře cíleně prohledávaly.

Během několika dnů se objevila falešná VS Code extension ClawBot Agent, která instalovala trojského koně. Security researcher dokázal nahrát škodlivý skill do oficiálního registru MoltHub, uměle nafouknout počet stažení a sledovat, jak si ho vývojáři ze sedmi zemí stahují. Za osm hodin šestnáct obětí.

Token Security zjistila, že 22 % zaměstnanců ve firmách jejích zákazníků aktivně používá Clawdbot. Nástroj, který má plný přístup k systému, ukládá hesla v plaintextu a má stovky známých zranitelností, běží v produkčních prostředích bez vědomí IT oddělení.

Zpět k Samsungu aneb lekce, z které se málokdo poučil

Samsung zakázal generativní AI v květnu 2023. V roce 2025 zákaz zrušil – s novými bezpečnostními protokoly a omezeními. Firma pochopila, že plošný zákaz nefunguje. Místo toho zavedla kontroly nad tím, jaká data mohou zaměstnanci vkládat, a poskytla interní alternativu (Gauss AI).

To je klíčová změna myšlení: přejít od „nesmíte" k „můžete, ale takhle".

Co funguje místo zákazu

Přiznejte si realitu

Vaši lidé AI používají. Otázka není jestli, ale jakou a s jakými daty. Přestaňte předstírat nulové riziko a začněte mapovat skutečnost.

Definujte konkrétní use-casy: co je v pořádku (sumarizace veřejných informací, brainstorming, překlady), co vyžaduje schválení (práce s interními dokumenty), co je nepřijatelné (zdrojový kód, osobní údaje zákazníků, finanční data).

Dejte lidem bezpečnou alternativu

52 % firem poskytuje schválené AI nástroje. Ale jen třetina zaměstnanců říká, že tyto nástroje splňují jejich potřeby. To je důvod, proč shadow AI přetrvává.

Nabídněte tedy nástroje, které lidé chtějí používat. Enterprise verze ChatGPT, Claude nebo Copilot mají lepší bezpečnostní kontroly než osobní účty. Věděli jste, že 73,8 % účtů ChatGPT ve firmách jsou nekorporátní, tedy bez bezpečnostních a privátních kontrol enterprise verze?

Školte rozhodování, ne nástroje

Jen 7,5 % zaměstnanců dostalo rozsáhlé školení o AI. 23 % nedostalo žádné. A 51 % dostává protichůdné pokyny o tom, kdy a jak AI používat.

Neškolte lidi na konkrétní tlačítka – ty se mění každý měsíc. Učte je přemýšlet:

Jsou tato data veřejná, interní nebo citlivá?
Co se stane, když tato informace unikne?
Kdo je zodpovědný za výstup?

Zapojte byznys, ne jen IT a security

AI governance rozptýlená po firmě nefunguje. Většina organizací nemá jasné zásady pro AI, případně je proces governance příliš pomalý. A následkem toho ho lidé obcházejí.

Vytvořte cross-funkční tým – IT, právní, compliance, HR a hlavně zástupce byznysu, kteří AI skutečně používají. Zmapujete tak reálné use cases a pravidla nevzniknou v uzavřené bublině security oddělení.

Minimum, které byste měli udělat zítra

Zmapujte použití AI ve své firmě – anonymní průzkum, jaké AI nástroje lidé skutečně používají
Definujte tři kategorie dat – veřejná (volně do AI), interní (pouze schválené nástroje), citlivá (nikdy do externích AI)
Vyberte jeden schválený nástroj – a zajistěte, aby fungoval lépe než osobní ChatGPT
Napište pravidla na jednu stranu A4 – co lidé mohou, co nesmí, na koho se bezpečně obrátit
Řekněte to nahlas – místo zákazu ukažte, jak na AI bezpečně

Shadow AI zmizí jedině tehdy, když bude oficiální cesta jednodušší než ta stínová

Zákaz je iluze kontroly

Když zakážete AI, riziko stále púřetrvává, je se uchýlí to stínu a vy ho přestáváte vidět. Vaši lidé budou dál používat osobní účty, mobilní aplikace a nástroje, o kterých nevíte. A až dojde k úniku, nebudete mít žádné logy, žádnou stopu, žádnou možnost zjistit, co se stalo.

Zajímá vás, jak AI využívá v ARTINu CFO nebo třeba marketingový tým? Přečtěte si o tom na našem blogu zde a zde.

Hodláte AI zavést bezpečně do firmy a chcete se poradit?

Spojte se s našimi experty