Twoja kancelaria już ma shadow AI. Sandbox to sposób, żeby tajemnica zawodowa to przeżyła.

Pierwszy paragraf raportu otwiera się obrazem, który polska kancelaria rozpoznaje natychmiast. Każda organizacja chce wykorzystać AI. Droga od ciekawości do zdolności jest jednak wyłożona ryzykiem. Pracownicy, niecierpliwi w oczekiwaniu na zatwierdzony proces, sięgają po nieautoryzowane narzędzia - i przy okazji wystawiają na ujawnienie wrażliwe dane. Tłumaczenie autorskie z otwarcia raportu. Polski adwokat patrzący na własną kancelarię w 2026 roku rzadko ma wątpliwości, że associate, paralegal lub asystentka biurowa już użyli ChatGPT albo Claude'a do streszczenia akt sprawy, sformułowania pisma albo szkicu opinii. Pytanie nie brzmi "czy", ale "ile razy w tym tygodniu i czy wśród wklejonych danych były dane osobowe klientów".

Raport Safe to Experiment proponuje na to konkretną odpowiedź - secure AI sandbox, czyli izolowane środowisko obliczeniowe zaprojektowane do eksperymentowania bez dotykania danych produkcyjnych. Pojęcie nie jest nowe (sandbox jest figurą znaną z bezpieczeństwa systemów od dekad), ale w 2026 roku zostało skonkretyzowane do pięciu kroków praktycznego wdrożenia, z mapowaniem do NIST AI RMF 1.0 (Govern → Map → Measure → Manage). Recenzja MateMatic czyta te pięć kroków przez polski filtr - każdy krok rozmawia z konkretnym przepisem.

O czym jest ten materiał

Raport ma siedem stron i jest zorganizowany wokół pięciu kroków praktycznego wdrożenia sandboxa AI:

• 1. Choose your isolation layer. Wybór technologii oddzielającej środowisko eksperymentalne od produkcji: microVM-y (AWS Firecracker, Kata Containers) z separacją sprzętową, kernele user-space (gVisor) z buforem dla wywołań systemowych, platformy zarządzane (E2B, Northflank, Daytona) w modelu bring-your-own-cloud, wbudowane usługi chmurowe (AWS SageMaker, Azure AI Studio) lub open-source na Kubernetesie (Agent Sandbox).
• 2. Provision safe data. Zasada nadrzędna: dane produkcyjne nigdy nie wchodzą do sandboxa. Zamiast tego - dane syntetyczne (MOSTLY AI, Neosync, Tonic.ai) lub anonimizowane, przed każdym wprowadzeniem skanowane na obecność rzeczywistych PII.
• 3. Lock down access and networking. Integracja z firmowym IdP przez SSO, RBAC z least privilege i sesyjnymi credentialami, sandbox zamknięty w dedykowanym VPC z prywatnymi podsieciami i wyłączonym domyślnie dostępem internetowym. Krytyczne ostrzeżenie raportu: izolacja wyłącznie przez DNS filtering nie wystarczy - można ją obejść techniką DNS tunneling (raport powołuje się na Unit 42/Palo Alto Networks, 2025).
• 4. Instrument everything. Niemodyfikowalny audyt każdej akcji (odczyt pliku, wywołanie API, decyzja agenta), feed do SIEM-a, anomaly detection na wzorce eksfiltracji.
• 5. Define governance and graduation criteria upfront. Workflow zatwierdzeń, scope eksperymentu, pułapy budżetowe, hipoteza i procedura rollback wymagana od każdego eksperymentu - i jasny próg, kiedy wynik z sandboxa może wejść do produkcji.

Raport zamyka się słownikiem ośmiu pojęć technicznych, których kancelaria potrzebuje w rozmowie z dostawcą lub działem IT klienta: RBAC, IdP, SSO, VPC, SIEM, synthetic data, trust boundary, shadow AI. Słownik jest na końcu, ale operacyjnie czyta się go najpierw.

Pięć kroków, każdy z imiennie wymienionymi narzędziami. Każdy rozmawia w polskiej kancelarii z innym przepisem.

Recenzja właściwa

Sandbox to nie laboratorium IT. To obowiązek z RODO art. 32

Pierwsza obserwacja recenzyjna jest banalna i ważna. W tekście raportu sandbox pojawia się jako koncept inżynierski - izolowane środowisko, trust boundary, RBAC, audit trail. Polski adwokat czyta go inaczej. Sandbox jest implementacją konkretnego obowiązku z artykułu 32 RODO (środki techniczne i organizacyjne odpowiadające ryzyku) oraz artykułu 25 (privacy by design and by default). Nie jest opcjonalnym usprawnieniem. Jest sposobem, w jaki kancelaria spełnia obowiązek, którego treść jest w polskim porządku znana od ośmiu lat - tylko forma operacyjna w 2026 roku przesuwa się z "polityki bezpieczeństwa w PDF" na "izolowane środowisko z audytem".

Druga obserwacja: tajemnica zawodowa. Adwokat (art. 6 Prawa o adwokaturze) i radca prawny (art. 3 ust. 3 ustawy o radcach prawnych) podlegają obowiązkowi zachowania tajemnicy w zakresie wszystkiego, czego dowiedzieli się w związku ze świadczeniem pomocy prawnej. Pracownik kancelarii, który wkleja fragment akt sprawy klienta do publicznego ChatGPT, nie tylko narusza RODO - przede wszystkim narusza tajemnicę zawodową, której naruszenie jest podstawą odpowiedzialności dyscyplinarnej i, w niektórych konfiguracjach, karnej (art. 266 KK). Sandbox - z synthetic data lub anonimizacją na wejściu i izolacją sieciową - to mechanizm, który pozwala pracownikowi eksperymentować bez naruszania tajemnicy.

Pięć kroków raportu z polskim filtrem

Krok 1 - isolation layer. Polski filtr operacyjny: wybór warstwy izolacji wpływa na to, gdzie fizycznie przechowywane są dane wprowadzone do sandboxa. Bring-your-own-cloud (BYOC) E2B, Northflank czy Daytona pozwala uruchomić sandbox we własnym koncie chmurowym kancelarii (lub klienta). To jest kluczowe dla obowiązku z art. 28 RODO (umowa powierzenia) i art. 32 (środki techniczne i organizacyjne). Niezależnie od warstwy izolacji warto sprawdzić lokalizację przetwarzania - sandbox uruchamiany na serwerach dostawcy poza EOG bez mechanizmów z rozdziału V RODO (klauzule standardowe Komisji, decyzja o adekwatności) to czerwona flaga. Klauzule umowne z dostawcą sandboxa muszą określać miejsce przetwarzania, subprocesory i sposób ich autoryzacji.

Krok 2 - synthetic data. To krok, który dla polskiej kancelarii ma najwyższy priorytet. Dane syntetyczne (MOSTLY AI, Neosync, Tonic.ai - raport wymienia te trzy nazwy) generują dataset, który ma cechy statystyczne danych prawdziwych, ale nie zawiera danych osobowych. Dla kancelarii prowadzącej spór o dużej skali to mechanizm, który pozwala testować workflow AI bez wprowadzania do narzędzia rzeczywistych nazwisk, kwot, dat i kontekstów. Anonimizacja ma swoje granice - badanie Carlini i Tramèra z 2026 roku, które recenzowaliśmy w BW/028, pokazało, że klasyczna pseudonimizacja jest dla LLM-ów słabą barierą. Synthetic data jest mocniejszą obroną.

Krok 3 - access and networking. SSO z firmowym IdP, RBAC z least privilege, sesyjne credentialy. Tu raport wprowadza ostrzeżenie, którego polska kancelaria nie powinna pomijać: izolacja oparta wyłącznie na DNS filtering nie wystarczy, bo można ją obejść techniką DNS tunneling (raport powołuje się na publikację Unit 42/Palo Alto Networks, 2025). Polskie kancelarie kupujące sandbox jako gotową usługę mają obowiązek zapytać dostawcę: czy izolacja sieciowa jest na poziomie VPC, czy tylko DNS? Jeżeli dostawca milczy, klauzula umowna powinna wymusić odpowiedź.

Krok 4 - instrumentation. Audit trail każdej akcji wewnątrz sandboxa - feed do SIEM-a, anomaly detection. Polski filtr: artykuł 5(2) RODO (zasada accountability) wymaga, by administrator danych był w stanie wykazać zgodność z RODO. W sporze regulacyjnym z Prezesem UODO logi z sandboxa są dowodem. W sporze cywilnym z klientem (art. 471 KC, niewykonanie umowy) - dowodem starannego prowadzenia sprawy. Bez logów kancelaria w 2027 roku staje przed sądem pusta.

Krok 5 - governance and graduation. Workflow zatwierdzeń, hipoteza eksperymentu, procedura rollback, próg "ready for production". Tu raport schodzi z poziomu IT na poziom polityki firmowej. Polska kancelaria, w której decyzję o użyciu AI przy sprawie klienta podejmuje partner zarządzający (a nie associate na własną rękę), ma już w praktyce mechanizm graduation. Brakuje formalizacji - protokołu, którego wersję pisemną można pokazać Prezesowi UODO albo klientowi.

Shadow AI: zjawisko, które już jest w kancelarii

Słownik raportu definiuje shadow AI - w tłumaczeniu autorskim - jako użycie narzędzi, platform lub usług AI przez pracowników bez wiedzy, zatwierdzenia lub nadzoru działu IT lub bezpieczeństwa. W polskiej kancelarii ten opis pasuje do większości użyć ChatGPT, Claude'a, Gemini i pokrewnych - jeżeli kancelaria nie ma jasnej polityki AI, każde takie użycie jest definicyjnie shadow AI.

Statystyka, którą warto przyswoić w jednym zdaniu: według IBM/Ponemon Institute Cost of a Data Breach Report 2025, jedna na pięć organizacji doświadczyła incydentu związanego z shadow AI; średni dodatkowy koszt remediacji takiego incydentu wynosi około 670 tys. USD ponad standardowy koszt naruszenia. W polskim środowisku odpowiednik finansowy jest niższy, ale ryzyko reputacyjne i dyscyplinarne - znacznie wyższe (kancelaria ma jednorazowy kapitał zaufania, nie ROI).

Sandbox, w terminologii raportu, jest "structured environment where experimentation is both encouraged and contained" - w tłumaczeniu autorskim: ustrukturyzowanym środowiskiem, w którym eksperymentowanie jest jednocześnie zachęcane i ograniczane. Banowanie AI w kancelarii nie działa - tylko zmusza pracowników do shadow AI. Sandbox jest formalnym kanałem, który zastępuje shadow AI kontrolowaną alternatywą.

Czego raport nie pokrywa

Po pierwsze - AI Act. Raport mapuje sandbox do NIST AI RMF 1.0 (oś amerykańska) i wymienia GDPR/CCPA/HIPAA jako otoczenie regulacyjne. AI Act (rozporządzenie 2024/1689) jest poza zakresem. Polski deployer systemu AI wysokiego ryzyka z art. 26 AI Act musi dodać warstwę: rejestr deployerów, dokumentację techniczną, fundamental rights impact assessment dla wybranych przypadków - rzeczy, których raport nie omawia.

Po drugie - tajemnica zawodowa adwokacka. Raport mówi o ochronie wrażliwych danych ogólnie, ale nie wchodzi w specyfikę zawodów regulowanych. Polska kancelaria musi do każdego z pięciu kroków dopisać dodatkową warstwę: jakie dane wewnątrz sandboxa pozostają objęte tajemnicą nawet w postaci syntetycznej (kontekst sprawy może deanonimizować), kto z pracowników ma uprawnienia do interakcji z asystentem AI, jak są chronione prompty i odpowiedzi w spoczynku.

Po trzecie - polski rynek LegalTech. Wymienione w raporcie tooling (E2B, Northflank, Daytona, MOSTLY AI, Tonic.ai) to amerykański stack. Polska kancelaria może z niego korzystać, ale powinna wykonać własną analizę zgodności (lokalizacja danych, język interfejsu, dostęp do polskich orzeczeń). Polskie LegalTechy specjalizowane (Lex, Legalis, Gaius-Lex) działają na innej warstwie niż sandbox - to są systemy informacji prawnej i agenty domenowe, nie środowiska eksperymentalne.

Co z tego wynika

Safe to Experiment jest jednym z nielicznych dokumentów branżowych, które adresują kancelarie i praktyków compliance wprost. Krótki - siedem stron. Konkretny - pięć kroków, każdy z imiennie wymienionymi narzędziami. Skondensowany - słownik zamyka pojęcia, których zespół IT klienta używa rutynowo, a kancelaria dopiero zaczyna oswajać. Dla polskiej kancelarii to materiał, który skraca rozmowę z dostawcą i działem IT klienta z dwóch godzin do trzydziestu minut - bo wszyscy mówią wreszcie tym samym językiem.

Dla kogo ten materiał. Dla compliance officera kancelarii piszącego pierwszą wersję polityki użycia AI. Dla partnera zarządzającego decydującego, czy zatwierdzić zakup narzędzia AI lub uruchomić własny pilot. Dla DPO mapującego operacje przetwarzania w kancelarii (RODO art. 30) i potrzebującego siatki pojęć do opisania eksperymentalnych obciążeń AI w rejestrze. Dla każdej kancelarii, która świadomie albo nieświadomie ma już shadow AI - czyli prawie każdej polskiej kancelarii w 2026 roku.

Dla kogo nie. Dla nikogo, kto szuka pełnej mapy regulacyjnej AI Act, RODO i tajemnicy zawodowej. Raport jest podkładem operacyjnym, nie kompendium prawnym. Polski filtr regulacyjny dorabia się przy lekturze - i to jest właśnie zadanie kancelarii.