Wyobraź sobie biuro, w którym każdy pracownik ma klucze do każdego pokoju. Do gabinetu prezesa. Do serwerowni. Do archiwum z umowami. Brzmi absurdalnie – a jednak tak właśnie wyglądają niektóre wdrożenia AI w firmach.
Zasada minimalnego dostępu (least privilege) to podstawa bezpieczeństwa IT od 30 lat. W świecie AI większość platform o niej zapomina. W Ragen zbudowaliśmy wokół niej cały system.
Co dokładnie zna każdy asystent
Asystent HR zna regulamin pracy, politykę urlopową, procedury onboardingowe, dokumenty rekrutacyjne, opisy stanowisk, procesy ewaluacji. Pytasz go o dzień wolny na święto – odpowiada. O zasady pracy zdalnej – odpowiada. O to, ile przysługuje Ci urlopu – odpowiada. O kogo zaprosić na spotkanie projektowe – odpowiada, bo zna strukturę organizacyjną. O marżę na produkcie X? „Nie mam takich informacji”. Bo naprawdę nie ma.
Asystent sprzedaży zna cenniki, materiały marketingowe, playbooki prowadzenia rozmów, case studies, dokumentację produktową, historię kontaktów z klientami, skrypty zbijania obiekcji. Pomaga pisać oferty – bo zna cennik. Podpowiada argumenty – bo zna materiały marketingowe. Szuka w dokumentacji produktowej – bo ma do niej dostęp. Do akt osobowych, do wynagrodzeń, do polityki HR – nawet nie próbuje się dostać.
Asystent dla klientów na stronie widzi tylko to, co publiczne. FAQ, karty produktów, regulamin zwrotów, politykę prywatności. Nic poza tym. Nawet jeśli klient sprytnie zapyta „jaka jest wewnętrzna marża na tym produkcie?” – asystent odpowie zgodnie z prawdą: „Nie mam takich informacji”. Bo nie ma.
Asystent compliance zna akty prawne, polityki wewnętrzne, historię audytów, decyzje organów nadzoru. Pomaga zespołom prawnym nawigować po zmieniających się regulacjach.
Jeden panel, jedna logika, zero ryzyka
Wszystko konfigurujesz z jednego panelu. Przypisujesz dokumenty do asystentów, użytkowników do ról, role do asystentów. Gdy ktoś pyta – system sprawdza, co pytający może zobaczyć, co asystent ma w swojej bazie, i odpowiada tylko na przecięciu tych zbiorów.
Dla dyrektora IT to koniec nocnych zmartwień. Nie musisz sprawdzać, czy przypadkiem któryś z pracowników nie wyciąga z AI rzeczy, do których nie ma dostępu. System tego po prostu nie pozwoli.
Dla compliance to historia, która pisze się sama. Audytor pyta: „Jak zapewniacie, że dane osobowe nie wyciekają przez AI?”. Odpowiedź: „Asystent, który mógłby ich dotknąć, nie ma do nich dostępu na poziomie infrastruktury”. Koniec dyskusji.
Czego nie robimy, a co robi konkurencja
Większość platform AI stosuje „filtry wyjścia” – AI ma dostęp do wszystkiego, ale potem cenzuruje odpowiedź. To jest iluzja bezpieczeństwa. Filtr można obejść sprytnym prompt engineeringiem, wykryć można to dopiero po fakcie, a gdy już nastąpi wyciek – dane są out.
U nas nie ma filtrów. Jest izolacja. Asystent, który nie ma dokumentu, nie zwróci go, bo go nie ma. Nie ma czego cenzurować. Nie ma co obchodzić. Prostsze, bezpieczniejsze, audytowalne.
Dla kogo to jest must-have
Dla każdej firmy, w której RODO jest realnym, nie tylko papierowym obowiązkiem. Dla każdej firmy z polityką klasyfikacji informacji (confidential, internal, public). Dla każdej firmy, w której wyciek danych oznacza nie tylko karę, ale utratę klientów i reputacji. Czyli – dla praktycznie każdej firmy powyżej 50 osób.