Apple Intelligence és OpenAI: a kényelmi funkció, amely megnyitja a hátsó kaput a céges adatok előtt
Boros Réka írása
Az operációs rendszer most már magától kérdezi meg a munkavállalótól, elküldheti-e a dokumentumot egy külső szerverre. A munkavállaló pedig fáradtan, a tizedik feladat közben rábök az „Engedélyezem” gombra. Ezzel a céges adat elhagyta a védett zónát — és a cégvezető erről nem fog értesülni. Ez a cikk a KKV-vezetőknek szól. Nem tilthatják be a technológiát, de nem is nézhetik tétlenül, ahogy kifolyik a kezükből a kontroll.
Mi történt valójában?
Az Apple beépítette a ChatGPT-t az operációs rendszereibe, az Apple Intelligence részeként. A Siri világismereti kérdéseknél átadja a szót a ChatGPT-nek, és ott van a Visual Intelligence meg a fogalmazást segítő funkciókban is.
2026 nyarára a kép bonyolultabb. Az Apple és az OpenAI viszonya megromlott — az OpenAI jogi lépéseket fontolgat a megállapodás alulteljesítése miatt —, az Apple pedig több szolgáltató felé nyit: a Siri mögé a Google Geminije kerül, a júniusi fejlesztői konferencián pedig megjelenik a modellválasztás (Gemini és az Anthropic Claude-ja a várható opciók). A céges adatvédelem szempontjából viszont mindegy, melyik logó van a gombon. A kérdés nem az, ki dolgozza fel az adatot, hanem az: melyik pillanatban hagyja el a védett eszközt.
Az Apple a saját, eszközön belüli (on-device) feldolgozást és a Private Cloud Compute biztonságát hangsúlyozza. A rendszer azonban bizonyos esetekben felajánlja az adat továbbítását egy külső szolgáltatóhoz. Ez a hibrid modell a lényeg: a könnyű feladat a telefonon marad, a nehéz átmegy egy harmadik félhez.
💡 On-device feldolgozás: az adat elemzése a felhasználó saját eszközén történik, így az információ nem utazik át egy külső cég központi szerverére. Az Apple Intelligence ennek az ellenkezőjét is tudja — és pont ott válik kockázattá.
Miért más ez, mint a korábbi AI-eszközök?
Eddig a fejlett nyelvi modell külön applikáció volt. Le kellett tölteni, be kellett jelentkezni, elő kellett fizetni — minden lépésnél volt egy döntési pont, ahol a céges szabályzat közbeszólhatott. Most a modell láthatatlanul ott ül az iPhone-ban és a MacBookban. Nincs külön app, nincs külön döntés.
A piaci hatás kettős. Egyrészt a hatékonyság mindenkié lesz: a munkavállaló másodpercek alatt összefoglal egy piaci jelentést vagy megfogalmaz egy idegen nyelvű üzleti levelet. Másrészt a hagyományos céges határvonal eltűnik. A tűzfal és az adatvédelmi szabályzat hatástalan, ha az adatkiáramlás az operációs rendszer szintjén történik — ott, ahová a szabályzat nem lát be.
A három pont, ahol a baj keletkezik
A kockázat nem technikai hibából fakad. Az Apple rendszere kér engedélyt, az OpenAI nem töri fel a telefont. A baj a felhasználói jóhiszeműségből és a rutinból jön.
| Kockázat | Mi történik | Kit érint először |
|---|---|---|
| Rutinszerű beleegyezés | A siető munkavállaló egy gombnyomással küld ki bizalmas adatot | Mindenki, aki napi 50 értesítést kattint el |
| Megfelelőségi sérülés | Ügyféladat vagy szellemi tulajdon kerül a modellhez | A cég, GDPR-bírság formájában |
| A kontroll elvesztése | A munkavállaló a saját ChatGPT-fiókjába lép be a rendszerben | A cég, mert ekkor a ChatGPT felhasználói szerződése lép életbe — tárolás és tanítás |
Az első a legalattomosabb. A digitális bennszülöttek azért gyorsak, mert nem olvassák el a felugró ablakokat. A harmadik a legárnyaltabb. Alapesetben az Apple névtelenít: a Private Cloud Compute-ba küldött adatot megfosztja az azonosítóktól, nem tárolja, és nem használja modelltanításra. A védelem ott szakad meg, ahol a munkavállaló a rendszerbeállításokban belép a saját ChatGPT-fiókjába — onnantól a ChatGPT felhasználói szerződése dönt, beleértve a megőrzést és a tanítást.
Mit tegyen a cégvezető? Négy lépés
A tiltás versenyhátrány. Aki betiltja az AI-t, lassabb lesz a versenytársánál. Az egyetlen járható út a tudatos menedzsment.
Húzd meg a határvonalat írásban. Nyilvános adat, sablon e-mail, idegen nyelvű levél finomítása: zöld út. Belső pénzügyi riport, jogi stratégia, ügyféladat: tilos. Ezt egy egyoldalas szabályzat rögzítse, nem a vezető fejében legyen.
Kapcsold ki központilag, ahol kell. Az iOS 18.2 és a macOS 15.2 óta két MDM-kulcs (Mobile Device Management — mobileszköz-kezelés) a tét: az
allowIntelligencemagát az Apple Intelligence szolgáltatást kapcsolja le, azallowChatGPTIntegrationpedig megakadályozza, hogy a Siri a ChatGPT-hez forduljon. A Microsoft Intune és a Jamf is kezeli ezeket eszközcsoportonként. A pénzügyes és a jogász gépén legyen letiltva, az értékesítőén maradhat.Képezd a munkavállalót, ne csak tiltsd. Egy 30 perces belső tájékoztató, amely megmutatja, hogyan néz ki a felugró engedélykérő ablak, többet ér minden szabályzatnál. A munkavállaló akkor áll meg a gomb előtt, ha tudja, mi van mögötte.
Frissítsd az adatkezelési tájékoztatót. Ha a céges eszközön AI-funkció fut, az adatkezelési folyamat megváltozott. A GDPR 30. cikke szerint vezetett adatkezelési nyilvántartásban ennek meg kell jelennie.
Ördög Ügyvédje: az engedélykérés nem mentőöv
Az Apple védekezése egyszerű: a rendszer engedélyt kér, mielőtt elküldi az adatot. A munkavállaló dönt, tehát a felelősség is az övé.
Gondoljuk végig. Ha a védelem egyetlen kattintáson múlik, akkor a védelem ereje pontosan akkora, mint a leghanyagabb munkavállaló figyelme egy fárasztó kedd délután. Egy adatvédelmi incidensnél a NAIH (Nemzeti Adatvédelmi és Információszabadság Hatóság) nem azt nézi, ki kattintott. Azt nézi, az adatkezelő — vagyis a cég — megtett-e minden ésszerű szervezési és technikai intézkedést. Az „a dolgozóm engedélyezte” nem védekezés, hanem beismerés: a céges rendszerben benne maradt egy gomb, amely kiviszi az ügyféladatot.
És van egy második rés. Az Apple a Private Cloud Compute-ot az egyéni felhasználó magánéletére tervezte, nem a céges átláthatóságra. Nincs vállalati API, amin a cég követhetné, ki mit küldött ki, és nincs SIEM-integráció (a biztonsági naplózó rendszerek csatlakozása). A cég tehát nemcsak a kattintást nem tudja megállítani — azt sem látja, megtörtént-e.
A beleegyezés így nem hárítja a felelősséget a cégről. Áthelyezi a leggyengébb pontra — és ott hagyja.
A verdikt
A technológiai integráció kényelme megkerülhetetlen, és ez rendben van. Nem az eszközt kell betiltani, hanem a szabályzatot és az MDM-beállításokat kell a 2026-os valósághoz igazítani. A GDPR szerinti bírság a globális éves árbevétel 4 százalékáig vagy 20 millió euróig terjedhet — amelyik magasabb. Egy KKV-nál ez nem elméleti tétel.
Az a cég, amely most nem hangolja be az operációs rendszer szintű AI-funkciókat és nem tájékoztatja a munkavállalóit, önként hagyja nyitva a hátsó kaput. A versenytárs ugyanazt a technológiát használja — csak ő előbb meghúzta a határvonalat.
Források:
- GDPR — Általános Adatvédelmi Rendelet, teljes szöveg (EUR-Lex)
- NAIH — Nemzeti Adatvédelmi és Információszabadság Hatóság
- Apple — Private Cloud Compute biztonsági leírás
- TechTarget — Security pros grade Apple Intelligence data privacy measures
- SimpleMDM — How secure is Private Cloud Compute for enterprise?
- ManageEngine — Managing Apple Intelligence restrictions in MDM
- SiliconANGLE — OpenAI mulls taking Apple to court over ChatGPT's Siri integration