Praha, 17. prosince 2025 – Firmy investovaly do AI policies pro zaměstnance, nastavily pravidla pro práci s citlivými daty a školí lidi v odpovědném používání AI nástrojů. Přitom jejich IT dodavatelé při práci na produkčním kódu používají podobné nástroje často bez jasně definovaných pravidel a kontroly.
„Firmy dnes u svých zaměstnanců intenzivně řeší používání AI. Ale vidíme, že nástroje umělé inteligence ve vývojářských týmech dodavatelů jsou často mimo tento radar. Je to nová oblast, která se teprve začíná systematicky řešit,“ říká Tomáš Lodňan, CEO digitálního studia GoodRequest.
Podle letošního DORA Reportu od společnosti Google, který mapoval téměř 5 000 technologických expertů z celého světa, již devět z deseti vývojářů používá při své práci AI nástroje a více než 80 % věří, že zvyšují jejich produktivitu. Čeští IT dodavatelé, kteří denně pracují s citlivými daty svých klientů, nejsou výjimkou. Otevírá se tak zcela nová dimenze odpovědnosti na poli dodavatelských řetězců.
Propast mezi interní a externí kontrolou
Podle nedávné studie AWS využívá AI již 29 % všech českých podniků, což představuje přes 370 000 firem. Podle průzkumu SAP mezi 350 vedoucími pracovníky ale zároveň polovina firem vyjadřuje obavy o bezpečnost dat a jejich možné zneužití konkurencí nebo tvůrci AI řešení.
Paradox spočívá v tom, že zatímco firmy interně intenzivně řeší bezpečnostní opatření související s využíváním umělé inteligence, u dodavatelů toto téma většinou neotevírají. „Běžně se nesetkáváme s tím, že by AI usage bylo specificky zadefinované v rámci NDA. Většina klientů se nás na využívání těchto nástrojů při vývoji jejich aplikací nikdy nezeptala,“ vysvětluje Lodňan.
Co může uniknout
Hlavním rizikem je, že tyto nástroje potřebují na správné fungování znát kontext. Vývojáři tak do nich vkládají široké spektrum dat od kusů kódu přes konfigurační soubory až po business logiku.
Analýza společnosti GitGuardian přitom ukázala, že projekty, ve kterých vývojáři používají nástroje s umělou inteligencí pro psaní kódu, jako například GitHub Copilot, mají až o 40 % vyšší výskyt úniku citlivých informací, jako jsou hesla, přístupové kódy nebo identifikátory k online službám, než běžné softwarové projekty. Výzkum Veracode zjistil, že 45 % kódu generovaného AI obsahuje známé bezpečnostní zranitelnosti.
Nedávné bezpečnostní incidenty to potvrzují. V nástroji Cursor byla objevena zranitelnost, která umožňovala útočníkovi vzdálené spuštění kódu, a podobné chyby se našly i v dalších AI coding nástrojích, včetně Claude Code extensions.
Téma přitom zdaleka nekončí při coding asistentech. Nástroje umělé inteligence dokážou podat pomocnou ruku napříč projekty od úvodní analýzy přes tvorbu dokumentace až po fast prototyping.
Podle Lodňana se tak do velké míry mění způsob, jakým dnes IT firmy fungují: „Samotný kód dnes dokážete napsat násobně rychleji. V porovnání s minulostí se však zároveň násobně víc pozornosti a kapacit musí nasměrovat do governance a sledování kvality výstupů.“
Business licence jsou základ, ale nestačí
Jak tedy mohou IT dodavatelé tato rizika zmírnit? Řešení existují, i když nejsou samozřejmostí.
„Všechny nástroje, které používáme při vývoji, máme v business verzích s explicitním zákazem trénování na našich datech,“ vysvětluje Lodňan. „Přesto je důležité vyhýbat se sdílení citlivých informací, jako jsou hesla, soukromé klíče, obchodní tajemství nebo osobní údaje, protože vždy existuje riziko jejich úniku a následného zneužití.“
Placení extra licencí ale samo o sobě podle Lodňana nestačí a je potřeba více vrstev ochrany.
„IT dodavatelé by měli kombinovat business licence s dalšími mechanismy,“ vysvětluje. „Data masking citlivých údajů před jejich vložením do AI nástrojů, segregace vývojových a produkčních prostředí, jasně definovaná interní politika pro práci s AI a především povinné lidské ověření všech AI výstupů.“
AI consent jako nový standard
V reakci na aktuální situaci nyní v GoodRequestu pracují na AI consent frameworku – dokumentu, který má nastavit transparentní pravidla pro používání umělé inteligence v projektech klientů.
„Není to o tom zakázat AI,“ vysvětluje Lodňan. „Je to o nastavení pravidel hry. Klienti by měli vědět, jaké nástroje jejich dodavatel používá, jaká data do nich vkládá a jak jsou chráněna. A měli by mít možnost to ovlivnit.“
AI consent framework má podle Lodňana pokrýt klíčové oblasti: jasně definovat účel a rozsah používání AI, typy povolených a zakázaných dat či promptů nebo závazek povinného lidského ověření všech AI výstupů, včetně úpravy odpovědnosti a licenčních náležitostí.
„Transparentnost je v našich hodnotách hluboce zakořeněná,“ říká Lodňan. „Uvědomujeme si přidanou hodnotu, kterou AI dokáže přinést při vývoji, a zároveň chápeme možné obavy. Proto se nám nastavení konkrétního rámce používání AI a samotného souhlasu klienta jeví jako další přirozený krok.“
Co by měly firmy dělat
Lodňan firmám doporučuje, aby začaly s dodavateli aktivně komunikovat o AI usage. „Klienti by se měli ptát, jak budou jejich data zpracovávána, jak jsou chráněny citlivé informace a zda se používají mechanismy jako anonymizace nebo segregace prostředí,“ radí. Samozřejmostí podle jeho slov zůstávají mezinárodně uznávané bezpečnostní certifikace, které zavazují k systematickému řízení informační bezpečnosti.
„Firmy už v minulosti aktualizovaly smlouvy s dodavateli kvůli GDPR, dnes to dělají kvůli NIS2 i dalším regulacím. Přichází čas updatovat je i kvůli AI nástrojům,“ uzavírá Lodňan. „Každých šest minut zavede AI další český podnik. Kontrolní mechanismy musí dohnat tempo adopce, jinak se začne prohlubovat propast mezi interní a externí kontrolou.“
DORA Report 2025:
- Zdroj: Google Cloud, „2025 DORA Report: State of AI-assisted Software Development“
- Link: https://cloud.google.com/blog/products/ai-machine-learning/announcing-the-2025-dora-report
AWS Studie o českém trhu:
- Zdroj: Amazon Web Services, „Unlocking The Czech Republic’s AI Potential 2025“
- Link: https://www.itbiz.cz/ceske-firmy-ai-rychle-adoptuji-ale-zustavaji-u-zakladnich-funkci/
SAP Průzkum o AI v českých a slovenských firmách:
- Zdroj: SAP, září 2025
- Link: https://news.sap.com/cz/2025/10/ceske-firmy-vyuzivaji-ai-mene-nez-slovenske-vetsina-ji-ale-povazuje-za-strategickou-prioritu/
GitGuardian – State of Secrets Sprawl 2025:
- Zdroj: GitGuardian
- Link: https://www.gitguardian.com/state-of-secrets-sprawl-report-2025
Veracode – 2025 GenAI Code Security Report:
- Zdroj: Veracode
- Link: https://www.veracode.com/blog/genai-code-security-report/
- Alternativní link: https://www.businesswire.com/news/home/20250730694951/en/
CVE zranitelnosti v AI coding nástrojích:
- CVE-2025-54135 (Cursor): https://nvd.nist.gov/vuln/detail/CVE-2025-54135
- CVE-2025-52882 (Claude Code IDE extensions): https://nvd.nist.gov/vuln/detail/CVE-2025-52882
- Podrobný rozbor: https://securitylabs.datadoghq.com/articles/claude-mcp-cve-2025-52882/
O GoodRequest
GoodRequest je digitální studio, které vzniklo v roce 2013. Tvoří ho tým zkušených designérů a vývojářů, kteří ve spolupráci s inovativními partnery vytvářejí digitální řešení zaměřená na uživatele. Působí jako strategický technologický partner pro uznávané značky s globálním přesahem. Společnost navrhuje a vyvíjí aplikace, webová řešení a informační systémy v oblastech, jako jsou finance, obchod, zdravotnictví, sport nebo elektromobilita.
