Spółka zgłosiła się do nas z problemem, który dziś ma wiele firm technologicznych, choć rzadko mówi o tym głośno. Zespół już od kilku miesięcy korzystał z publicznych narzędzi AI do pisania kodu, analizy dokumentów i przygotowywania ofert. Robił to na własną rękę, bez wiedzy zarządu i bez żadnych zasad. To klasyczne shadow AI: efektywne w krótkim okresie, ale groźne, gdy do publicznego modelu trafia fragment kodu produktu albo dane klienta.
Sytuacja na wejściu
Infrastruktura firmy działała częściowo lokalnie, częściowo w rozproszonych usługach chmurowych, bez wspólnego nadzoru nad kosztami i dostępem. Rachunki rosły, a nikt nie potrafił jednoznacznie powiedzieć, które zasoby są jeszcze potrzebne. Równolegle programiści i dział handlowy używali darmowych i płatnych narzędzi AI, wklejając do nich to, co akurat mieli pod ręką. Nie było klasyfikacji danych ani odpowiedzi na proste pytanie: czego do tych narzędzi nie wolno wprowadzać.
Dlaczego to było pilne
Dla firmy, której produktem jest oprogramowanie, kod źródłowy i dane klientów to najcenniejsze aktywa. Wysłanie ich do zewnętrznego modelu może oznaczać utratę kontroli nad tym, gdzie i jak długo są przetwarzane. Do tego dochodziły konkretne obowiązki: RODO w zakresie danych osobowych oraz AI Act, który zaczyna porządkować sposób korzystania z systemów AI w firmach. Zarząd zdawał sobie sprawę, że jeden nieostrożny wklejony fragment może kosztować kontrakt albo zaufanie klienta.
Jak poprowadziliśmy wdrożenie
Zaczęliśmy od infrastruktury, bo bez uporządkowanego środowiska trudno mówić o bezpiecznym AI. Przenieśliśmy zasoby do Azure dla firm, wprowadzając podział na subskrypcje, budżety, alerty kosztowe i dostęp oparty na rolach. Dzięki temu firma odzyskała kontrolę nad tym, co działa i ile kosztuje.
Następnie uruchomiliśmy firmowego asystenta AI działającego w granicach środowiska Azure klienta. Asystent korzysta z dokumentacji i wiedzy firmy, ale nie wysyła wrażliwych danych ani kodu do publicznych modeli. To pozwoliło zespołowi zachować tempo pracy, którego oczekiwał po narzędziach AI, bez ryzyka, że wewnętrzne informacje trafią poza organizację.
Na końcu, a w praktyce równolegle, przygotowaliśmy politykę AI zgodną z AI Act. Nie jest to dokument dla samego dokumentu. Opisuje konkretnie, z jakich narzędzi wolno korzystać, jakie kategorie danych są dozwolone, a jakie zakazane, oraz jak klasyfikować informacje przed skorzystaniem z modelu. Zasady powstały razem z zespołem, więc nie są martwym regulaminem, tylko czymś, co ludzie rozumieją i akceptują.
Co się zmieniło
Najważniejsza zmiana jest kulturowa. Zamiast ukrywanego korzystania z przypadkowych narzędzi firma ma jedno bezpieczne miejsce do pracy z AI i jasne granice. Zespół oszczędza czas na powtarzalnych zadaniach, takich jak przygotowanie dokumentacji, analiza wymagań czy wstępne wersje ofert, a robi to bez ryzyka wycieku.
Po stronie technicznej środowisko w Azure jest przewidywalne kosztowo, a dostęp do zasobów kontrolowany. Zarząd nie dostaje już rachunków, których nie potrafi wyjaśnić. Firma ma też spisane zasady korzystania z AI, które można pokazać klientowi pytającemu o bezpieczeństwo albo audytorowi weryfikującemu zgodność z AI Act i RODO.
Efekt nie polega na tym, że firma zaczęła używać AI. Ona używała go już wcześniej, tylko w sposób ryzykowny. Efekt polega na tym, że robi to teraz świadomie, bezpiecznie i zgodnie z prawem, nie tracąc przy tym korzyści, dla których po AI sięgnięto.