LayerX Security prati poslovni AI do male skupine najrizičnijih korisnika
Mali broj intenzivnih korisnika može nositi velik dio poslovne AI izloženosti.📷 AI-generated image / TECH&SPACE
- ★LayerX Security tvrdi da poslovni AI rizik nije ravnomjerno raspoređen po korisnicima ni platformama.
- ★Najveća izloženost dolazi od male skupine AI power usera koji intenzivno koriste alate.
- ★Izvješće naglašava vidljivost, upravljanje i compliance kao glavne slabosti u poslovnoj AI upotrebi.
Novo izvješće LayerX Securityja, predstavljeno kroz tekst The Hacker Newsa, otvara nezgodno pitanje za tvrtke koje su već pustile generativni AI u svakodnevni rad: znaju li uopće gdje im nastaje stvarni rizik? Prema sažetku izvješća State of AI Usage Report 2026, odgovor je često slabiji nego što bi sigurnosni timovi željeli priznati.
Ključna tvrdnja nije da je svaki zaposlenik jednako opasan korisnik AI-ja. Upravo suprotno. LayerX opisuje obrazac u kojem se poslovna AI izloženost ne raspoređuje ravnomjerno ni po korisnicima ni po platformama. Najveći dio rizika koncentriran je oko male skupine intenzivnih korisnika, takozvanih AI power usera, koji alate koriste češće, šire i u osjetljivijim radnim kontekstima.
To mijenja način na koji treba gledati na AI sigurnost. Ako organizacija upravlja AI-jem samo kroz opće zabrane, popise dopuštenih aplikacija ili povremene ankete zaposlenika, propušta stvarnu operativnu sliku. Rizik nije apstraktna kategorija na razini cijele tvrtke; on nastaje u konkretnim radnim tokovima, u pregledniku, u unosima podataka, u prijenosu dokumenata i u navici da se AI alat koristi kao brzi vanjski suradnik.
Izvješće LayerX Securityja za 2026. upozorava da većina organizacija još nema stvarnu vidljivost nad time tko, gdje i kako koristi AI alate.
Stvarni rizik nastaje u konkretnim unosima, dokumentima i pregledničkim tokovima.📷 AI-generated image / TECH&SPACE
Problem vidljivosti zato postaje prvi sloj obrane. U kontekstu okvira poput NIST AI Risk Management Frameworka, organizacije ne mogu ozbiljno procjenjivati rizik ako ne znaju tko koristi AI, koje servise koristi i kakav se sadržaj šalje izvan kontroliranog okruženja. Isto vrijedi i za sigurnosne smjernice oko aplikacija temeljenih na velikim jezičnim modelima, uključujući OWASP Top 10 for Large Language Model Applications, gdje se izloženost podataka i nekontrolirana integracija modela tretiraju kao praktični, a ne teorijski problemi.
Za uredsku svakodnevicu to znači da se AI governance ne može svesti na pravni dokument koji stoji u intranetu. Ako mala skupina power usera generira većinu izloženosti, sigurnosni timovi moraju ih moći razlikovati od povremenih korisnika, razumjeti obrasce korištenja i postaviti kontrole koje ne guše produktivnost, ali jasno ograničavaju unos povjerljivih, reguliranih ili poslovno kritičnih podataka.
Izvješće je važno i zato što razbija udobnu pretpostavku da se AI rizik može pratiti po platformi. Organizacija može znati da netko koristi popularan AI alat, ali to ne znači da razumije sadržaj interakcije, učestalost, kontekst ili potencijalni compliance učinak. U praksi je razlika između benignog sažimanja javnog teksta i slanja internih dokumenata golem sigurnosni jaz.
Zaključak je hladan, ali koristan: poslovni AI nije samo pitanje usvajanja, nego pitanje koncentracije rizika. Tvrtke koje žele ozbiljno upravljati tom tehnologijom moraju prestati mjeriti samo broj korisnika i početi gledati obrasce ponašanja, intenzitet upotrebe i točke na kojima podaci napuštaju nadzirani prostor.
