Základním stavebním kamenem tohoto přístupu je jasné vymezení hranic citlivých dat. Organizace musí přesně vědět, kde se kritické informace nacházejí, jak jsou klasifikovány a jak se mohou pohybovat mezi systémy. AI by nikdy neměla mít k dispozici více kontextu než je nezbytné pro splnění konkrétní úlohy. Tento princip „least context“ doplňuje tradiční „least privilege“ a reflektuje skutečnost, že i zdánlivě neškodné kombinace dat mohou vést k odhalení citlivých informací. V praxi to znamená zavedení kontrolních vrstev, přes které procházejí všechny požadavky AI na data a kde se uplatňují politiky filtrování, maskování a logování.
S tím úzce souvisí redakce a minimalizace dat. Moderní AI systémy často nepotřebují plné dokumenty ani identifikovatelná data; postačí abstraktní nebo anonymizovaný kontext. Automatická redakce osobních údajů, tokenizace citlivých prvků a dynamické transformace dat před jejich zpracováním výrazně snižují riziko úniku. Důležité je, aby tyto procesy probíhaly průběžně a nevytvářely nové trvalé kopie citlivých dat v méně zabezpečených prostředích.
Klíčovým pilířem důvěry je schopnost dohledat původ dat a rozhodnutí, tedy tzv. provenience. Každý výstup AI by měl být doplněn o metadata popisující zdroje dat, provedené transformace, verzi modelu a použité nástroje. Tyto záznamy musí být navrženy jako neměnné a odolné proti manipulaci, například pomocí append-only mechanismů nebo kryptografických podpisů. Bez této vrstvy jsou audit, řešení incidentů i splnění regulatorních požadavků prakticky nemožné.
Zvláštní pozornost je nutná ve chvíli, kdy AI přechází od doporučení k akci. V takových případech je nezbytné zavést schvalovací mechanismy odpovídající rizikovosti konkrétní operace. Přístup human-in-the-loop zajišťuje, že kritické kroky — například práce s finančními daty nebo export citlivých informací — podléhají lidskému schválení. Před samotným provedením by měl systém prezentovat záměr AI ve formě srozumitelného plánu: co chce udělat, proč a s jakými důsledky. Tím se kontrola posouvá z úrovně „co je povoleno“ na „co je v daném kontextu správné“.
Stejně důležité je oddělení prostředí. Míchání vývojových, testovacích a produkčních dat patří mezi časté příčiny bezpečnostních incidentů. AI systémy by měly fungovat v přísně oddělených prostředích, přičemž přístup k produkčním datům musí být důsledně kontrolován a v neprodukčních fázích nahrazen anonymizovanými nebo syntetickými daty. Nové funkce by měly být zaváděny postupně, například pomocí canary deploymentů nebo feature flags.
Samostatnou oblastí je správa tajemství. API klíče, tokeny a přihlašovací údaje nesmí být nikdy zpřístupněny AI modelům v čitelné podobě. Bezpečný přístup zahrnuje využití specializovaných úložišť tajemství, vydávání krátkodobých oprávnění „just-in-time“ a průběžnou detekci možných úniků, například analýzou výstupů modelu. I zdánlivě neškodná odpověď může obsahovat fragment citlivého údaje, pokud systém není správně navržen.
Nakonec je zásadní sledování toho, kdo — nebo co — provedlo konkrétní akci. AI agenti by měli mít vlastní identity a jasně definovaná oprávnění, nikoli fungovat pod sdílenými účty. Každý krok, od vstupu přes rozhodnutí až po akci, musí být zaznamenán v propojené auditní stopě. Takové end-to-end sledování umožňuje nejen analýzu incidentů, ale také budování důvěry v systémy, které by jinak mohly působit netransparentně.
Přechod od tradiční kontroly přístupu k bezpečnosti orientované na záměr představuje zásadní změnu paradigmatu. Už nestačí ptát se, zda má systém oprávnění jednat, ale zda jeho jednání odpovídá cílům a pravidlům organizace. Auditovatelnost není doplněk, ale základní princip návrhu. Organizace, které tento přístup přijmou, získají nejen vyšší úroveň ochrany, ale i schopnost škálovat AI s důvěrou. Bez ní totiž každá další automatizace naráží na stejnou bariéru: nejistotu, zda systém dělá správné věci správným způsobem — a zda to lze zpětně prokázat.
