הנתונים שלכם נשארים שלכם
אימוץ AI לא אמור להיות מסירת העסק שלכם לקופסה שחורה. הנה בדיוק איך אנחנו שומרים על הנתונים של החברה שלכם כשאנחנו משלבים AI בתהליכי העבודה, ומה אנחנו מעלים על הכתב.
איך אנחנו מבטיחים שהנתונים שלכם בטוחים
מה באמת קורה לנתונים שלכם
כשאנחנו משלבים AI בעבודה שלכם, הנתונים שלכם משמשים כדי לבצע את המשימה שלפניהם ולא יותר. הם אינם משמשים לאימון ה-AI, אינם משותפים, ואינם נשמרים בשום מקום שאינו זקוק להם. שאר העמוד הזה הוא איך אנחנו מוודאים את זה.
מזעור נתונים
נתונים רגישים נשארים מחוץ לכל שלב שאינו זקוק להם.
בידוד ברמת השורה
אבטחה ברמת השורה מונעת מחשבון אחד לקרוא שורות של אחר.
שכבות ללא אימון בלבד
רץ על שכבות עסקיות ו-API שלעולם לא מתאמנות על הקלט שלכם.
גישה מינימלית
כל תהליך עבודה מגיע רק לנתונים שהעבודה שלו באמת צריכה.
סודות נשארים בצד השרת
מפתחות וטוקנים נשארים בשרת, לעולם לא בדפדפן.
בדיקה אנושית
אדם מוגדר מאשר כל דבר בעל סיכון גבוה לפני שהוא יוצא.
התהליך שלנו
אנחנו עורכים ביקורת לפני שמשהו עולה לאוויר
לפני שתהליך עבודה נוגע בנתונים אמיתיים, אנחנו מריצים אותו דרך ביקורת אבטחה מובנית: אותה אחת שאנחנו מפרסמים כ-skill פתוח.
meirlabs security-audit --target production
- תשע עדשות עצמאיות, מסודות וניהול גישה ועד הזרקות, SSRF, והגדרות שגויות, כל אחת מורצת בנפרד.
- כל ממצא עובר אימות יריב. שניים עד שלושה בודקים עצמאיים מנסים להפריך אותו, מה שמסיר שליש עד חצי מהרעש של סריקה גולמית.
- כל הבדיקות הן לקריאה בלבד מול הייצור. אנחנו מוודאים אם דלת פתוחה. אנחנו לעולם לא עוברים דרכה ולא משנים את הנתונים שלכם.
הביקורת הושלמה. שום דבר לא מגיע לנתונים שלכם בלי אימות.
שאלות
שאלות נפוצות
האם ה-AI לומד את הסודות שלנו?
לא, לא בשכבות שאנחנו משתמשים בהן. מודל שמעבד את הבקשה שלכם אינו שומר את הנתונים לאחר מכן, ושכבות עסקיות ו-API אינן מתאמנות על הקלט שלכם. הפחד מתאר אימון, ואנחנו לעולם לא נותנים לנתונים שלכם לגעת בו.
לאן הנתונים שלנו באמת הולכים?
דרך שכבה עסקית או API ללא אימון כדי לענות על הבקשה, ואז לשום מקום. כשאנחנו שומרים נתונים, הם יושבים ב-Postgres עם אבטחה ברמת השורה, וסודות לעולם אינם מגיעים לדפדפן.
האם תחתמו על הסכם סודיות?
כן. אנחנו חותמים על הסכם סודיות הדדי לפני שאנחנו נוגעים במשהו רגיש, ועל הסכם עיבוד נתונים בכל מקום שבו מעורבים נתונים אישיים.
מה לגבי GDPR, SOC 2 או HIPAA?
תאימות עוסקת באופן שבו מטפלים בנתונים ובמידת המוכנות של הספק שלכם, לא בשאלה אם AI מותר בכלל. אנחנו בונים על שכבות תואמות ועוזרים לכם לחתום על הסכם עיבוד הנתונים ששומר נתונים מפוקחים על בסיס נכון.
האם ה-AI יכול לפעול לבד, למשל לשלוח מייל או למחוק רשומה?
לא בלי אישור אנושי. תהליכי עבודה מתחילים בקריאה בלבד, וכל דבר שכותב, שולח או מוחק עובר דרך אדם מוגדר שמאשר אותו לפני שהוא יוצא. שום דבר שפונה ללקוחות לא רץ על טייס אוטומטי.
מה אם יעבדו על ה-AI כדי שידליף נתונים?
הזרקת פרומפט היא איום אמיתי, והיא אחת מתשע העדשות בביקורת האבטחה שלנו לפני ההשקה. בנוסף אנחנו מגבילים מה כל תהליך עבודה יכול לראות ולעשות, כך שגם מודל שעבדו עליו מגיע רק לנתונים שהעבודה שלו הייתה צריכה מלכתחילה.
האם אפשר להגדיר נתונים מסוימים כמחוץ לתחום לחלוטין?
כן. אנחנו מסכמים על נתונים מחוץ לתחום כבר בשלב התכנון, ומזעור הנתונים אוכף את זה: נתונים שהוחרגו לעולם לא נכנסים לתהליך העבודה, כך שאין ל-AI מה להדליף.
האם זה לא מסוכן יותר ממה שהעובדים שלנו כבר עושים עם ChatGPT חינמי?
בדרך כלל ההפך. עובדים שמדביקים נתונים בצ'אטבוטים צרכניים חינמיים הם החשיפה האמיתית, כי שכבות צרכניות יכולות להתאמן על הקלט. מערך מנוהל מעביר את אותה עבודה לשכבות עסקיות ו-API ללא אימון, עם בקרות גישה מסביב.
בואו נתחיל
התחילו במקום שבו הסיכון נמוך
הדרך הבטוחה ביותר להוכיח את זה היא תהליך עבודה בעל סיכון נמוך תחילה, לא מערכת פונה-לקוח ביום הראשון. קבעו תוכנית AI חינם ונמצא אחד יחד.