AI-verktøy tas i bruk raskere enn regelverket rekker å følge med. Det betyr ikke at du skal la være, men at du må vite hva verktøyene faktisk gjør hos deg – hvilke data de ser, hvem som har tilgang, og hva som kan gå galt. Dette assessmentet gir deg det overblikket, og dokumentasjon på hvor du står.
Prompt injection og nettleserbaserte AI-verktøy
Når ansatte eller IT lar en AI-agent lese e-post, nettsider eller dokumenter på vegne av brukeren, behandles innhold som ikke alltid er pålitelig. Skjulte instruksjoner i det agenten leser – prompt injection – kan i verste fall få agenten til å gjøre noe annet enn det som ble bedt om, for eksempel videresende sensitive data eller utføre uønskede handlinger i nettleseren.
Assessmentet tar ikke stilling til ett bestemt produkt, men til om organisasjonen kjenner risikoen, om slike verktøy er i bruk, og om det finnes rimelige rammer rundt tilgang og data.
Innhold
- Dataflyt og deling i praksis – Hvordan data faktisk flyter i organisasjonen, hva som deles med eksterne verktøy, og hvilke typer data som håndteres
- Tilganger, roller og intern kontroll – Hvem har tilgang til hva, hvordan styres tilganger, og er det tilstrekkelig kontroll
- Bruk av eksterne verktøy og leverandører – Hvilke AI-verktøy brukes, hva slags data sendes til eksterne tjenester, og hva er avtalevilkårene
- AI-agenter og nettleserbruk – Om nettleserutvidelser eller lignende verktøy er i bruk, hva de får tilgang til, og om risiko knyttet til prompt injection er vurdert
- Grunnleggende tiltak som reduserer risiko – Hva kan gjøres enkelt og praktisk for å redusere risiko uten å stoppe bruken av nyttige verktøy