Skip to main content

This article is not available in your language. Showing English version.

2 min read

Bezpečnost dat v právních AI aplikacích: hrozby, kontroly a auditovatelnost

Navrhněte právní AI systémy, které chrání důvěrnost a prokazují compliance. Popisujeme hrozbový model, klíčové kontroly, bezpečné RAG vzory a požadavky na auditovatelnost.

Abstract AI technology visualization

Bezpečnost dat v právních AI aplikacích: hrozby, kontroly a auditovatelnost

Právní AI musí splňovat nejvyšší laťku pro důvěrnost a integritu. Tento tutoriál poskytuje pragmatický bezpečnostní plán pro AI v právu—od klasifikace dat po bezpečné RAG a auditovatelný provoz.

Hrozbový model pro právní AI

- Únik dat: Exfiltrace přes prompt (prompt injection, obejití „datových diod"), Retence dat u poskytovatele modelu nebo trénink na zaslaných datech, Špatně nastavené logy či cache unikající PII/PHI/privilegovaný obsah - Rizika integrity: Otrávené zdrojové obsahy nebo manipulované indexy, Adversariální prompty obcházející politiky, Supply‑chain rizika v modelech, embeddingách a pluginech - Zneužití přístupu: Příliš široká servisní oprávnění, staré tokeny, excesivní privilegia, Laterální pohyb přes kompromitované add‑iny či konektory - Dostupnost a odolnost: Výpadky modelů/API, vyčerpání kvót, rate limiting, Denial‑of‑wallet přes drahé prompt floodování

Bezpečnostní kontroly: jak vypadá „dobře"

1) Klasifikace a minimalizace dat - Tagování citlivosti (klientsky důvěrné, privilegované, omezené) a směrování dle politik - Do modelů posílat jen nezbytné úryvky; redakce/tokenizace PII/privilegovaného textu - Oddělení klientských matterů (logická izolace tenantů)

2) Identita a přístup - SSO s MFA; RBAC/ABAC s oprávněními na úrovni matterů a časově omezeným přístupem - Just‑in‑time elevace se schválením; least‑privilege servisní účty a scoped API klíče - Podepsané, skopované download URL a pre‑signed uploady s kontrolou content‑type

3) Šifrování a správa klíčů - KMS envelope šifrování v klidu; TLS 1.2+ v přenosu - Oddělené klíče per tenant/praxe; rotace a revokace - Kryptografické hashe a kontroly integrity pro dokumentová úložiště a indexy

Jak pomáhá BASAD: BASAD implementuje „security by design" pro právní AI: bezpečné content pipeline, ACL na úrovni chunků a policy enforcement points, privátní nebo regionálně fixované model endpointy se smluvním „no‑training" a silnou KMS izolací, evaluation a safety harnessy, logovací pipeline a neměnné audit stopy.