I en tid der AI-verktøy blir mer og mer utbredt, er det viktig å forstå hvordan organisasjonen faktisk bruker disse verktøyene, hvilke data som deles, og hva som kan gå galt. Dette assessmentet gir et praktisk overblikk over risikopunkter og hva som kan forbedres.
Prompt injection og nettleserbaserte AI-verktøy
Når ansatte eller IT lar en AI-agent lese e-post, nettsider eller dokumenter på vegne av brukeren, behandles innhold som ikke alltid er pålitelig. Skjulte instruksjoner i det agenten leser – prompt injection – kan i verste fall få agenten til å gjøre noe annet enn det som ble bedt om, for eksempel videresende sensitive data eller utføre uønskede handlinger i nettleseren.
Assessmentet tar ikke stilling til ett bestemt produkt, men til om organisasjonen kjenner risikoen, om slike verktøy er i bruk, og om det finnes rimelige rammer rundt tilgang og data.
Innhold
- Dataflyt og deling i praksis – Hvordan data faktisk flyter i organisasjonen, hva som deles med eksterne verktøy, og hvilke typer data som håndteres
- Tilganger, roller og intern kontroll – Hvem har tilgang til hva, hvordan styres tilganger, og er det tilstrekkelig kontroll
- Bruk av eksterne verktøy og leverandører – Hvilke AI-verktøy brukes, hva slags data sendes til eksterne tjenester, og hva er avtalevilkårene
- AI-agenter og nettleserbruk – Om nettleserutvidelser eller lignende verktøy er i bruk, hva de får tilgang til, og om risiko knyttet til prompt injection er vurdert
- Grunnleggende tiltak som reduserer risiko – Hva kan gjøres enkelt og praktisk for å redusere risiko uten å stoppe bruken av nyttige verktøy