Umrežene platforme za upravljanje korisničkim iskustvom (CX) svake godine obrađuju milijarde nestrukturiranih poruka – od anketa i recenzija do transkripata pozivnih centara. Taj se tok automatski prelijeva u sustave za plaće, CRM-ove i platne servise. No sigurnosni timovi rijetko pregledavaju što umjetna inteligencija u tim alatima zapravo "jede" – a napadači su to već shvatili.
Najbolniji dokaz stigao je u kolovozu 2025. kada je kompromitiran razvojni repozitorij Saleslofta. Ukradeni OAuth tokeni Driftova chatbota otvorili su pristup Salesforce okruženjima u više od 700 organizacija, među kojima su Cloudflare, Palo Alto Networks i Zscaler. Bez ijednog malvera napadači su pretraživali ukradene podatke u potrazi za AWS ključevima, Snowflake tokenima i lozinkama u čistom tekstu.
Statistika potvrđuje da se prijetnja seli izvan klasičnih zaštitnih okvira:
• 98 % tvrtki ima program prevencije gubitka podataka (DLP), ali samo 6 % za njega izdvojeno osoblje, pokazuje izvješće Proofpointa „Voice of the CISO 2025”. • 81 % interaktivnih upada danas koristi legitimne, ukradene pristupe umjesto malvera, prema izvješću CrowdStrike Threat Hunting 2025. • U prvih šest mjeseci 2025. oblaku usmjereni napadi skočili su 136 %.
„Većina sigurnosnih timova CX alate još smatra ‘anketnim platformama’, u istoj rizni kategoriji kao i obični projektni softver. To je golema pogrešna procjena”, upozorava Assaf Keren, glavni direktor sigurnosti u Qualtricsu i bivši CISO PayPala. Qualtrics godišnje obradi oko 3,5 milijarde interakcija – dvostruko više nego 2023. – pa je, kaže, „kontrola ulaznih podataka obavezna čim AI ulazi u proces”.
Stručnjaci navode šest najčešćih “slijepih pjega” između sigurnosnog stoga i AI-motora CX platformi:
- DLP ne vidi nestrukturirane osjetljive podatke koji kroz API-je izlaze kao „običan” promet.
- OAuth tokeni starih kampanja ostaju aktivni mjesecima i nude otvorene putanje za bočno kretanje napadača.
- Javno dostupni kanali povratnih informacija nemaju zaštitu od botova prije nego podatke preuzme AI.
- Lateralno kretanje nakon kompromitacije odvija se kroz već odobrene API pozive, što klasični SIEM ne označava kao sumnjivo.
- Ne-tehnička odjeljenja često imaju administratorske ovlasti koje nitko ne provjerava, stvarajući „sjene” super-korisnika.
- Tekstualni unosi ulaze u bazu prije maskiranja PII-ja pa, u slučaju proboja, napadači dobivaju nešifrirane osobne podatke.
Daniel Bernard iz CrowdStrikea opisuje tipični scenarij: „Napadači ne provaljuju – oni se prijavljuju. Odjednom terabajti podataka odlaze na lokacije koje taj korisnik nikad nije posjećivao.” Bez stalnog nadzora konfiguracija i ponašanja unutar samih CX alata, sigurnosni timovi takve anomalije vide tek kada je šteta učinjena.
Rješenja se zasad krpaju postojećim alatima – proširenjem SSPM-a na CX, pregledom API tokova ili CASB-kontrolom administratorskih računa. No stručnjaci ističu da je za stvarnu zaštitu potrebno neprekidno praćenje pristupa iskustvenim podacima, brza detekcija pogrešnih konfiguracija i automatizirano provođenje politika.
„Kad AI pogrešno podeblja plaću ili odbije reklamaciju zbog otrovanih podataka, to nije samo sigurnosni incident – to je loša poslovna odluka provedena brzinom stroja”, upozorava Keren. Najbrži način da se zatvori rupa, kaže, jest započeti reviziju OAuth tokena svakih 30 dana: „Tamo počinju napadi razmjera Driftova slučaja.”