Борьба с теневым ИИ на корпоративных устройствах

Неконтролируемый ИИ в корпоративной среде — это быстро растущий канал утечки данных и других инцидентов ИБ. Зачастую сотрудники используют внешние чат-боты для работы с конфиденциальной корпоративной информацией или самовольно устанавливают автономные ИИ-агенты, выдавая им лишние права. Мы уже рассматривали классификацию нежелательных ИИ-систем в одной из предыдущих статей, а также давали советы по отключению ИИ, встроенного в крупные платформы. В этом посте мы переходим к конкретике: разбираем, как отключить или ограничить несанкционируемое использование популярных «помощников» от ChatGPT до Grammarly и тому подобных решений.

Как выявить и ограничить использование ChatGPT

Это самый крупный (в мировом масштабе) способ несанкционированного использования ИИ, но стоит учитывать, что его блокировка приводит лишь к тому, что пользователи начинают искать сомнительные сайты или чат-боты в мессенджерах, дающие доступ к тому же сервису. Поэтому крайне желательно все же перед блокировкой предоставлять санкционированную альтернативу.

Детектирование: анализ на NGFW или веб-фильтре трафика к chat.openai.com, chatgpt.com, oaistatic.com, oaiusercontent.com, cdn.oaistatic.com. Дополнительно имеет смысл анализировать историю браузера и установленные приложения и расширения через инструменты EDR/EPP.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов OpenAI, с помощью политик браузера заблокировать различные браузерные расширения, дающие доступ к ChatGPT (или вообще все расширения, кроме одобренных). На уровне контроля приложений и EPP/EDR заблокировать установку фирменного приложения (ChatGPT.exe, com.openai.chat).

Как выявить и ограничить использование Claude и Claude Code

Детектирование: анализ на NGFW или веб-фильтре трафика к claude.ai, anthropic.com, *.anthropic.com, api.anthropic.com. Проверка наличия на хосте приложения Claude (claude.exe) с помощью EDR/EPP/средств контроля приложений.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов Anthropic, с помощью политик браузера заблокировать различные расширения, дающие доступ к Claude. На уровне контроля приложений и EPP/EDR заблокировать установку приложения.

Как выявить и ограничить использование Perplexity AI

Детектирование: анализ на NGFW или веб-фильтре трафика к *.perplexity.ai, pplx.ai.

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов.

На уровне браузера можно заблокировать установку сторонних расширений. Если в компании используется Firefox, в последние версии встроен доступ к Perplexity, но есть и централизованные политики, позволяющие отключить ИИ-функции, в данном случае SidebarChatbot = blocked (полный список в документации).

Как выявить и ограничить использование DeepSeek

Детектирование: анализ на NGFW или веб-фильтре трафика к deepseek.com, chat.deepseek.com, api.deepseek.com, platform.deepseek.com. Для более эффективного покрытия нужно анализировать SNI (Server Name Identification) в TLS-запросах. На мобильных устройствах дополнительно детектировать наличие приложения (com.deepseek.chat).

Защита: на уровне NGFW/веб-фильтра заблокировать доступ к категории «ИИ-сервисы», на уровне DNS перенаправить трафик вышеуказанных доменов DeepSeek. На уровне браузера можно заблокировать установку сторонних расширений, а через MDM/EMM ограничить использование приложения DeepSeek.

Как выявить и ограничить использование Mistral, xAI Grok, Character.ai

Общий подход к этим приложениям и веб-сервисам идентичен с DeepSeek, поэтому просто перечислим домены для детектирования и возможной блокировки: chat.mistral.ai, mistral.ai, console.mistral.ai, grok.com, x.ai, api.x.ai, character.ai, beta.character.ai, c.ai.

Нужно учесть, что Grok встроен прямо в бывший Twitter (x.com), поэтому блокировка этого вектора доступа заодно блокирует доступ к крупной соцсети.

Как выявить и ограничить использование Slack AI

Детектирование: в панели управления пространством Slack: Analytics → Slack AI usage. В подробных журналах Slack (на корпоративных тарифах) также доступны события с префиксом «ai_».

Блокировка с помощью политик: в настройках организации в разделе Workspace settings → Roles & permissions → Feature access выбрать no one. Подробности описаны в инструкции Slack.

Защита: сложно реализуема, но возможна при наличии тонко настроенных решений класса CASB. Также напомним, что важно блокировать неучтенные интеграции и доступ к самому Slack со стороны внешних ИИ-сервисов. Как ограничить это на уровне OAuth, описано в одной из предыдущих статей.

Как выявить и ограничить использование Zoom AI Companion

Детектирование: для пользователей корпоративных подписок Zoom — Центр администрирования → Reports → AI Companion usage. Детектировать участие ИИ в бесплатном или чужом рабочем пространстве Zoom сложно, но можно настроить поиск в почтовом трафике ИИ-резюме со встреч (строки Meeting summary, Meeting assets).

Блокировка с помощью политик: в корпоративной подписке Zoom: Центр управления → Account Management → Account Settings → Meeting → AI Companion → OFF для всех.

Защита: компаньон трудноотделим от Zoom, можно только блокировать встречи в Zoom целиком.

Как выявить и ограничить использование Grammarly

Невинный сервис проверки орфографии является одним из самых популярных каналов утечки рабочих данных.

Детектирование: журналы NGFW или веб-фильтра по доменам grammarly.com, *.grammarly.com, gnar.grammarly.com. С помощью EDR и EMM/MDM можно обнаружить и полноценные приложения: Grammarly Desktop.exe, приложение для macOS, а также браузерное расширение Grammarly.

Защита: блокировка вышеуказанных доменов на средствах сетевого контроля, ограничение установки фирменного приложения, расширений браузеров, расширений Word/Excel через EPP/EDR.

Как выявить и ограничить использование помощников для встреч: Fireflies, Read AI, Tactiq, Fathom, Granola

Обширная категория сторонних SaaS-решений, анализирующих встречи, создает серьезные риски утечек. Проблема в том, что «привести» их на встречу могут внешние контрагенты, а не только сотрудники.

Детектирование: аудит календарных приглашений. В них нужно искать участников-ботов (адреса в доменах @fireflies.ai, @read.ai, @tactiq.io, @fathom.video, granola.ai). Также можно провести анализ внешних участников встреч с помощью журналов Zoom/Teams/Meet.

Защита: блокировка с помощью политик сводится к ограничению возможностей участников встречи. Возможные варианты: ограничение для пользователей на выдачу OAuth-разрешений на подключение бота к встрече, ограничение для пользователей на приглашение внешних участников, ограничение доступа к записи встречи для внешних участников. Последний вариант наиболее безболезненный.

Как выявить и ограничить использование сред разработки: Cursor, Windsurf и подобных

Детектирование: с помощью средств EDR/EPP выявление файлов (cursor.exe, Windsurf.exe), контроль трафика к доменам cursor.com, windsurf.com и трафика к API-провайдерам ИИ-моделей. Тут потребуется длинный список возможных хостов API, поскольку эти среды не привязаны к конкретному поставщику.

Блокировка с помощью политик: ограничение установки приложений с фильтрацией по именам в сертификате цифровой подписи производителя или переход к закрытому списку доверенных приложений.

Защита: детектирование и блокировка с помощью EPP/EDR.

Как выявить и ограничить использование локально работающих ИИ: Ollama, LM Studio, GPT4All

Эта категория, с одной стороны, несет меньше рисков, поскольку ИИ-модели запускаются и работают локально, с другой стороны, возникают новые риски атак на сами эти приложения и сервисы, которые не всегда достаточно защищены. Плюс, конечно, появляются риски от некорректного применения моделей и несанкционированных видов обработки данных.

Детектирование: основная надежда на средства EPP/EDR. С их помощью можно обнаружить файлы этих ИИ-приложений: ollama.exe, ollama serve, lmstudio.exe, LM Studio.app, jan.exe, gpt4all.exe. Сетевыми средствами обнаружения можно также детектировать открытые на локальном устройстве порты: 1234 для Ollama и LM Studio, 8080 для WebUI (с дополнительной сверкой отпечатка в ответе сервера). Сильным сигналом также является наличие на компьютере крупных (до нескольких гигабайтов) файлов с весами языковой модели (обычно это файлы .gguf и .bin, реже .safetensors).

Защита: блокировка установки приложений по списку или через allowlist при помощи EPP/EDR/AppLocker.

Как выявить и ограничить использование автономных агентов: OpenClaw, NemoClaw, NanoClaw

Одна из самых опасных категорий ИИ, сочетающая широкую автономию с доступом к недоверенным данным.

Детектирование: с помощью EPP/EDR можно детектировать процессы openclaw, nanoclaw, nemoclaw, clawdbot, а также наличие на устройстве Node.js и запуск из него bash, python и подобных сервисов. Еще одним признаком является появление служебных папок ~/openclaw, ~/nanoclaw, ~/.claw*, ~/clawhub. На сетевом уровне можно контролировать доступ к вышеупомянутым API языковых моделей, а также доступ к серверам openclaw.ai, nanoclaw.dev, clawhub.*.

Защита: ограничение запуска недоверенных приложений (application whitelisting) либо точечная блокировка известных приложений из списка выше. Дополнительно можно ограничить установку Node.js и Docker, которые, как правило, не нужны на компьютерах сотрудников.