OWASP GenAI Data Security 2026: 21 ryzyk DSGAI plus framework AI-DSPM.
Co bierze polska kancelaria do swojej polityki AI.

OWASP GenAI Security Project publikuje w marcu 2026 dokument GenAI Data Security - Risks and Mitigations 2026, v1.0. Trzech głównych autorów (Scott Clinton, Kyriakos Lambros, Emmanuel Guilherme Junior), osiemnastu contributors, pięciu reviewers, vendor-neutral pod parasolem OWASP Foundation. Licencja CC BY-SA 4.0 - reuse i adaptacja komercyjna z atrybucją plus share-alike. Dokument enumeruje 21 ryzyk data security specyficznych dla GenAI i Agentic AI (DSGAI01-DSGAI21), z mitigations w trzech tierach i konkretnymi CVE w Microsoft 365 Copilot, Claude, Cursor. Dla polskiej kancelarii to operacyjna mapa do polityki AI - punktowo mapowalna na art. 32 RODO i art. 9 EU AI Act.

Z czerwonym długopisem na 21 ryzykach DSGAI i 13 kapabilitach AI-DSPM. Teza, którą polski compliance officer powinien wkleić na pierwszej stronie polityki AI: model jest untrusted intermediary, niezależnie od deklaracji dostawcy.

O czym jest ten dokument

OWASP GenAI Security Project to projekt OWASP Foundation. Trzech głównych autorów. Scott Clinton - Board Co-chair OWASP GenAI Security Project i jeden z dwóch co-founderów, odpowiada za strategię, operacje i marketing. Kyriakos "Rock" Lambros - Director of AI Standards and Governance w Zenity, firmie LegalTech-adjacent znanej z badań nad agentic AI security. Emmanuel Guilherme Junior - lead inicjatywy GenAI Data Security w OWASP.

Osiemnastu contributors to mix korporacyjny i konsultingowy - lead AI security researcherzy z Neuraltrust, security engineerzy z Tanium, SAP, ServiceNow, Cargill, architekci security z firm finansowych jak Société Générale, Donnelley Financial Solutions, plus konsultanci niezależni i vCISO. Pięciu reviewers w tym dwóch independent researcherów. Projekt finansowany przez listę kilkudziesięciu sponsorów obejmującą hyperscalerów (Microsoft, Google, AWS), dostawców cybersec (Palo Alto Networks, Snyk, Check Point, IBM, Cisco, Trellix), big four-adjacent (KPMG Germany), domeny finansowej (BBVA) i media (Comcast, Yahoo) - z polityką vendor-neutral i bez specjalnej governance dla sponsorów.

Dokument to v1.0 z marca 2026. Stanowi ewolucję wcześniejszego LLM and Gen AI Data Security Best Practices Guide z lutego 2025 - poprzedni materiał został rozbity na dwa dokumenty: enumeracja ryzyk i mitigacji (ten dokument, recenzowany) plus companion implementation guide (osobno).

Pozycjonowanie: dokument explicite nie zastępuje OWASP Top 10 dla LLM ani OWASP Data Security Top 10. To uzupełnienie - lens skoncentrowany na ryzykach data security specyficznych dla LLM, GenAI i Agentic AI applications. Mapping do OWASP Top 10 dla LLM i Agentic AI Top 10 jest explicite zachowany przez cross-references.

Licencja CC BY-SA 4.0 jest istotna operacyjnie. Wolno cytować, adaptować i przebudowywać komercyjnie, ale jest pułapka - share-alike znaczy że pochodne dzieła muszą być pod tą samą licencją. Recenzja MateMatic opiera się na prawie cytatu (art. 29 ustawy o prawie autorskim i prawach pokrewnych), co daje swobodę interpretacyjną niezależną od share-alike. Hosting oryginalnego PDF na matematic.co - bez modyfikacji, z atrybucją do OWASP GenAI Security Project i linkiem do licencji - mieści się w warunkach CC BY-SA 4.0.

Recenzja właściwa

Centralna teza architektoniczna - jeden namespace bez kontroli dostępu

Autorzy stawiają tezę, która powinna trafić do każdej polityki AI w kancelarii. Cytuję wprost. Context window agreguje dane z wielu domen zaufania - system prompt, user input, RAG results, tool outputs, conversation history - do jednego płaskiego namespace bez wewnętrznej kontroli dostępu. Chunk RAG retrieved z poufnej bazy HR siedzi obok user inputu z taką samą wagą zaufania. Nie istnieje dziś mechanizm, który by oznaczył segment kontekstu jako "dostępny dla rozumowania, ale nie dla bezpośredniego output" albo "użyteczny dla decyzji, ale nie do przekazania innemu agentowi".

Konsekwencja - GenAI security musi przyjąć zero inherent trust w model. Model może zarazem leaknąć, regurgitate albo zrekonstruować dane przez memoryzację, inwersję albo output. Te trzy mechanizmy są wprost wymienione. Polski compliance officer dostaje formalnie sformułowaną podstawę, dlaczego DPIA dla narzędzia AI musi traktować model jako untrusted intermediary, niezależnie od tego, co mówi dostawca w karcie produktu.

21 ryzyk DSGAI - dlaczego nie 10

Dokument enumeruje 21 ryzyk DSGAI01-DSGAI21. Decyzja autorów - nie ograniczać do umownej dziesiątki - jest motywowana scope. To nie ranking top, to enumeracja domenowa data security w GenAI. Ryzyka pogrupowane operacyjnie:

Klaster	Ryzyka	Co pokrywa
Direct exposure	DSGAI01, DSGAI02, DSGAI03	Leakage modelu i RAG, NHI credentials, Shadow AI
Pipeline integrity	DSGAI04, DSGAI05, DSGAI06	Poisoning, validation, tool/plugin/agent exchange
Governance fundamentals	DSGAI07, DSGAI08	Lifecycle classification, compliance violations
GenAI-specific attack surfaces	DSGAI09-DSGAI13	Multimodal, synthetic data, conversation bleed, LLM-to-SQL, vector store
Operational infrastructure	DSGAI14-DSGAI17	Telemetry, context windows, endpoint overreach, availability
Model as artifact	DSGAI18-DSGAI21	Inference reconstruction, labeler overexposure, exfiltration, disinformation

Każde ryzyko ma sześcioelementową strukturę - jak atak się rozwija, capabilities napastnika, scenariusz ilustracyjny, impact, mitigations w trzech tierach (foundational/hardening/advanced) z anotacją scope (Buy/Build/Both) plus lista CVE.

Tierowanie mitigations to crawl/walk/run. Tier 1 - można shipnąć w jednym sprincie z istniejącym tooling. Tier 2 - wymaga zmian architektonicznych, nowych narzędzi, koordynacji między zespołami. Tier 3 - zakłada dojrzały program, red teaming, differential privacy, formal verification, custom detection models. Dla polskiej kancelarii to mapa drogowa - większość zespołów zaczyna od Tier 1, dochodzi do Tier 2 w roku-dwóch, Tier 3 to perspektywa dużej kancelarii z dedykowanym zespołem LegalTech-security.

Framework AI-DSPM - 13 kapabilities

AI-DSPM (Data Security Posture Management dla GenAI) jest framework rozbudowanym przez autorów. Trzynaście kapabilities w trzech grupach.

Traditional DSPM extended (1-4): GenAI data asset discovery & inventory; classification, labeling & policy binding; data flow mapping, lineage & "GenAI bill of materials" (DBOM); access governance & entitlement posture (RBAC/ABAC plus Just-in-Time Data Access plus per-agent identity).

GenAI specific (5-13): prompt/RAG/output-layer DLP; vector store & embedding security posture; data integrity, poisoning & tamper detection; observability, telemetry & log-retention posture; third-party, plugin/tool & connector governance; lifecycle management, erasure & compliance readiness; training governance & privacy-enhancing fine-tuning; resilience posture for GenAI data dependencies; human i shadow AI controls.

Kapabilita 11 (training governance & privacy-enhancing fine-tuning) wprowadza pojęcie "Hard De-identification" plus zastosowanie Differential Privacy (DP-SGD) i federated learning dla wrażliwych grup. Kapabilita 4 wprowadza Just-in-Time Data Access dla agentów - zamiast permanent credentials, agent dostaje token tylko dla konkretnego zadania, ze scope i TTL baked-in, revoked on completion. Te dwa elementy to bezpośredni operacyjny szablon dla wdrożenia AI w kancelarii zgodnego z RODO art. 32 (środki techniczne adekwatne do ryzyka).

Konkretne CVE i znane exfil paths

Konkretne CVE wymienione z numerami, tytułami i okresem publikacji - od najstarszego do najnowszego, co daje czytelnikowi obraz akumulacji incydentów w ostatnich osiemnastu miesiącach.

CVE	Rok	System	Co
CVE-2024-5184	2024	EmailGPT	Prompt injection do system-prompt disclosure
CVE-2025-32711	2025	Microsoft 365 Copilot	Information Disclosure
CVE-2025-54794	2025	Claude AI	Prompt Injection ("The Jailbreak That Talked Back")
CVE-2026-0612	2026	The Librarian	Information leakage przez web_fetch tool
CVE-2026-22708	2026	Cursor	Terminal Tool Allowlist Bypass via Environment Variables

Pięć CVE rozłożonych na trzy lata - co nie jest historią, to ciągle aktywny pipeline luk w narzędziach najczęściej używanych w workflow kancelarii (Microsoft 365, Claude, Cursor). Plus confirmed exfil paths zidentyfikowane w 2025 przeciwko Microsoft Copilot, Google Gemini, Sourcegraph Amp i VS Code Continue. Mechanizm - markdown image rendering do external URLs i tool callbacks bez allowlist. Mitigation - blokuj markdown image rendering, sanitize tool callback targets, disable API-redirect channels w LLM output rendering.

Dla polskiej kancelarii to wprost. Każda kancelaria, która wdraża Microsoft 365 Copilot albo asystenta Claude w workflow obsługującym dane klientów, dostaje konkretną listę kontrolek do dokumentacji art. 32 RODO i dokumentacji zgodności z art. 9 EU AI Act (interpretacja MateMatic, nie stanowisko NRA ani KRRP).

Czego autorzy nie powiedzieli, a co musi powiedzieć polski compliance

Materiał OWASP jest US-centric w warstwie compliance. Cytuje GDPR/HIPAA/CCPA, ale nie schodzi w polski porządek prawny ani w europejski AI Act enforcement. Cztery białe plamy do wypełnienia przez polskiego compliance officera.

Pierwsza linia. Mapping DSGAI01 (Sensitive Data Leakage) na tajemnicę zawodową adwokacką i radcowską. Art. 6 prawa o adwokaturze i art. 6 ustawy o radcach prawnych stawiają wyższy standard niż RODO. Tajemnica zawodowa jest bezterminowa, nie podlega zwolnieniu przez klienta jednostronnie, a sąd może zwolnić wyłącznie w wyjątkowych przypadkach. Leakage przez model fine-tuned na sprawach klienta - nawet przypadkowy - to potencjalne naruszenie tajemnicy zawodowej, niezależnie od konsekwencji RODO. Tier 3 mitigation OWASP - Verifiable Erasure (cryptographic erasure, machine unlearning) - staje się dla polskiej kancelarii nie luksusem, tylko wymaganym standardem dochowania tajemnicy zawodowej, zwłaszcza w obliczu DSR (Data Subject Rights) klienta-osoby fizycznej (interpretacja MateMatic, nie stanowisko NRA ani KRRP).

Druga linia. DSGAI03 (Shadow AI) i ustawowa odpowiedzialność partnera zarządzającego. Associate, który korzysta z ChatGPT z prywatnego konta podczas analizy umowy klienta, generuje wprost ryzyko DSGAI03 - unsanctioned data flow. Kancelaria jako administrator danych odpowiada za środki organizacyjne (art. 32 RODO), partner zarządzający za nadzór. Polskie organy NRA i KRRP nie wydały dotąd wytycznych operacyjnych pod kątem Shadow AI. OWASP daje gotową listę kontrolek detective i preventive. Polski warsztat z policy AI w kancelarii powinien adresować Shadow AI jako pierwszy temat polityki, nie ostatni.

Trzecia linia. DSGAI11 (Cross-Context & Multi-User Conversation Bleed) i konflikt interesów. Cross-context bleed w modelu używanym do obsługi dwóch klientów z konkurencyjnymi interesami - nawet jeśli formalnie nie ma technicznej eksfiltracji - może naruszyć obowiązek bezstronności adwokackiej. Per-user/per-task memory isolation z mitigacji Tier 2 OWASP staje się dla kancelarii nie hardening, tylko fundamentem zgodności z etyką zawodu.

Czwarta linia. DSGAI16 (Endpoint & Browser Assistant Overreach) i Microsoft 365 Copilot w polskiej kancelarii. Kancelarie używające M365 z Copilotem mają w workspace asystenta z bardzo szerokim scope - dostęp do całej skrzynki mailowej, OneDrive, SharePoint, Teams, czasem do CRM. CVE-2025-32711 (M365 Copilot Information Disclosure) jest konkretnym przypadkiem. Mitigation Tier 1 OWASP - data minimization plus scope restriction - dla polskiej kancelarii powinno znaczyć segregację skrzynek (sprawy klientów wrażliwych poza scope Copilota) i jasną politykę kiedy assistant ma dostęp do akt klienta a kiedy nie.

Słabsze strony dokumentu

Trzy zarzuty uczciwie.

Pierwszy - mapping na compliance europejski jest słaby. Cytowanie GDPR pojawia się głównie w warstwie impact ("regulatory exposure"), bez schodzenia w konkrety art. 6, 9, 22, 32, 35. EU AI Act wspomniany w DSGAI08 i DSGAI21 ale bez identyfikacji konkretnych obowiązków deployerów art. 26 ani providerów art. 16. Polski compliance musi sam zrobić to mapping.

Drugi - inkonsystencja numeracji. We wstępie i w DSGAI21 są odniesienia do DSGAI24 i DSGAI25, których nie ma w spisie treści (dokument zawiera DSGAI01-21). Najprawdopodobniej ślad po wcześniejszych draftach, gdzie były dodatkowe ryzyka, które autorzy zwinęli w ramach editorial consolidation (notki o konsolidacji są w samym dokumencie). Drobiazg, ale dla czytelnika robiącego mapping ryzyk po identyfikatorach to zgrzyt do wyłapania ręcznie.

Trzeci - większość ilustracyjnych scenariuszy operuje na przykładach amerykańskich (customer support chatbot ze SSN, ticket fine-tuning, support documentation). Brakuje scenariuszy z domeny finansowej, medycznej, prawniczej, gdzie regulacja jest tłustsza niż w consumer-grade SaaS. Dla polskiej kancelarii to znaczy, że trzeba samodzielnie zbudować analogiczne scenariusze - assistant w outlooku partner-associate, RAG na bazie KRS, fine-tuning na zanonimizowanych orzeczeniach, DMS z agentem do automatycznej klasyfikacji pism.

Co z tego wynika

OWASP GenAI Data Security 2026 jest pierwszą publikacją, która daje polskiej kancelarii operacyjną mapę data security w GenAI w jednym dokumencie. Centralna teza architektoniczna - context window jako flat namespace bez kontroli dostępu - powinna trafić do każdej polityki AI jako założenie startowe. 21 ryzyk DSGAI z tiered mitigations daje konkretną listę kontrolek mapowalnych na art. 32 RODO i art. 9 EU AI Act. Framework AI-DSPM z trzynastoma kapabilities to gotowy szablon governance dla compliance officera. Konkretne CVE i confirmed exfil paths w Microsoft Copilot, Google Gemini, Cursor, Claude robi z dokumentu narzędzie audytowe - nie tylko teoretyczny framework, ale operacyjny baseline do oceny używanych narzędzi.

Materiał jest do przeczytania przez compliance officera kancelarii albo szefa LegalTech, nie przez zarząd. Zarząd dostaje sześciostronicowy executive summary z pierwszych trzech sekcji (Document Scope, What is Data Security in GenAI Context, AI-DSPM) plus mapa 21 ryzyk z tabelą priorytetów dla kancelarii.

Dla compliance officera w trzech zdaniach

OWASP daje pierwszą operacyjną mapę data security w GenAI - 21 ryzyk DSGAI z tiered mitigations (crawl/walk/run) plus framework AI-DSPM z trzynastoma kapabilities, plus konkretne CVE w Microsoft 365 Copilot, Cursor i Claude jako baseline audytowy. Centralna teza architektoniczna do polityki AI kancelarii: context window agreguje dane z różnych domen zaufania do flat namespace bez kontroli dostępu, więc model musi być traktowany jako untrusted intermediary niezależnie od deklaracji dostawcy. Cztery białe plamy do wypełnienia przez polskiego compliance: mapping DSGAI01 na tajemnicę zawodową, DSGAI03 Shadow AI jako pierwszy temat polityki, DSGAI11 cross-context bleed jako fundament etyki, DSGAI16 endpoint overreach jako konkretna kontrolka dla M365 Copilot (interpretacja MateMatic, nie stanowisko NRA ani KRRP).

To Part 5 - finalna synteza pięcioczęściowego cyklu. Wcześniejsze deliverable: Part 1 to taksonomia AI (Strauka et al. 2025), Part 2 to mapping current adoption w sektorach EU (Martinaitis et al. 2026a), Part 3 to forward-looking analysis (Martinaitis et al. 2026b), Part 4 to scenarios i opportunities (Cuhls et al. 2026). Part 5, który recenzujemy, to skrót i strategiczna synteza dla policymakerów.

Metodologicznie raport idzie od evidence przez futures do strategic orientation. Evidence: mapping AI development trends, analiza sektorowa adoption EU oparta na Eurostat ICT Survey, PATSTAT (dane patentowe), Crunchbase (startupy AI), OECD AI Policy Observatory, European Working Conditions Survey, ekspercka ankieta VA z maja 2025 (N=427) i wywiady jakościowe. Futures: trzy scenariusze 2040 wytworzone w Scenario Sprint Cuhls, analizowane frameworkiem TOSA. Orientation: sense-making workshop z policy officers EC w Brukseli 10 lutego 2026, z którego wyszło sześć klastrów rekomendacji.

Licencja jest istotna operacyjnie. Decision 2011/833/EU pozwala na reuse z poszanowaniem oryginalnego znaczenia - cytowanie, adaptację i przebudowę pod własne potrzeby strategiczne (komercyjne i niekomercyjne), pod warunkiem podania źródła i niezniekształcania przekazu. MateMatic hostuje kopię oryginalnego PDF zgodnie z tą licencją (button "Pobierz oryginał" powyżej). Logos scenariuszy generowane przez Azure OpenAI ImageGen i ilustracje Heyko Stöbera mają osobne reżimy autorskie (nie hostujemy).

Recenzja właściwa

Trzy scenariusze AI 2040 - co dokładnie mówią

Scenariusz A: EU przyczepione do globalnych sieci AGI i ASI. W 2040 technologia AI jest wysoce zaawansowana - AGI (sztuczna inteligencja ogólna) i ASI (superinteligencja) poza ludzkim rozumieniem i kontrolą. Kilka globalnych firm i sieci technologicznych kapitalizuje value generowane przez AI. EU czyni się atrakcyjne, żeby otrzymać usługi tych transnarodowych sieci AGI/ASI z korzyścią dla swojej gospodarki i społeczeństwa. To scenariusz integracji-w-pozycji-klienta. Europa nie produkuje rdzeniowej AI, kupuje dostęp. Polską soczewką do tej dynamiki jest TOM RAND - AGI Forecasting (rozkład prawdopodobieństw timeline AGI) plus TOM Kuśmierek - Polska wobec AGI (krajowa pozycja w globalnej dynamice).

Scenariusz B: Europa prowadzi unikalną rewolucję AI. W 2040 technologia AI w EU jest bardziej innowacyjna i użyteczna niż w innych regionach. Inne potęgi AI - USA i Chiny - wciąż uwięzione w niewystarczających zwrotach z gigantycznych inwestycji w LLM. EU korzysta gospodarczo i społecznie z masywnych inwestycji w edukację, tworząc nowe paradygmaty AI, które nie zostały jeszcze nazwane, bo postęp jest tak szybki. To scenariusz suwerenności technologicznej zbudowanej na innym fundamencie - humanistycznym, edukacyjnym, instytucjonalnym.

Scenariusz C: Global AI Winter. W 2040 boom AI z lat 2020 jest skończony. Wcześniejsze błyszczące obietnice nie zmaterializowały się jako mierzalne zwroty gospodarcze i benefity społeczne. AI jest mniej więcej tak zdolne jak piętnaście lat wcześniej. Wielkie inwestycje zatrzymały się pod koniec lat 2020. Przemysł AI jest dojrzały z coraz mniejszymi korzyściami. Rozwój AI trwa wolno, eksplorując nowe zdolności ostrożnie. To scenariusz korekty - bańka pęka, hype wygasa.

Autorzy explicite zastrzegają, że scenariusze są "think pieces" - nie prognozy, nie ranking prawdopodobieństwa, nie preferencje. To narzędzia do otwierania perspektyw i stress-testu strategii. Tu leży pierwsza wartość metodologiczna dla polskiej kancelarii. Większość materiałów strategicznych, które trafiają na biurka partnerów, próbuje przewidzieć przyszłość. FORESIGHT robi inaczej - kreśli trzy radykalnie różne przyszłości i pyta, co byłoby zrobione dziś, żeby przetrwać każdą z nich.

TOSA zamiast SWOT - dlaczego to ma znaczenie

Framework TOSA - Threats, Opportunities, Stakes, Actions - wygląda jak kosmetyczna mutacja SWOT. Nie jest. Różnica jest w trzeciej literze. SWOT pyta o Strengths i Weaknesses - atrybuty obiektu analizy. TOSA pyta o Stakes - co jest stawką, kto wygrywa i kto traci, co jest do obronienia i co do zdobycia. To przesunięcie z analizy statycznej ("jakie mamy siły i słabości") do analizy politycznej ("kto ma jakie interesy, co jest wystawione na ryzyko").

Dla polskiej kancelarii rozważającej własną strategię AI to jest bezpośrednia wartość operacyjna. Nie pytasz "jakie są nasze silne strony w AI". Pytasz "co jest stawką dla partnerów, dla associates, dla klientów korporacyjnych, dla klientów retail, dla NRA i KRRP" w każdym z trzech scenariuszy. Inny aparat. Inne wnioski.

Twarda liczba - 13,48 procent

AI uptake w przedsiębiorstwach EU to 13,48 procent w 2024 (Eurostat). Wzrost z 8 procent w 2023, ale wciąż niski. Globalnie 55 procent organizacji używa AI w co najmniej jednej funkcji (McKinsey 2023). EU jest w tej kwestii znacząco z tyłu. Distribution sektorowa jest jeszcze ostrzejsza - wysokie uptake w ICT i professional services, niskie w manufacturing, construction, utilities. Liczba bazowa konsystentna z TOM European AI Report 2026 i TOM Stanford HAI AI Index 2026, które recenzowaliśmy wcześniej.

Trzy funkcjonalne profile adopcji wyróżnione przez autorów, z komentarzem co znaczą operacyjnie dla polskiego rynku.

Profil	Sektory	Trajektoria 2030	Co to znaczy dla polskiego rynku
Innovation-led	ICT, professional services, healthcare, education	Deep integration, unified platforms	Kancelarie prawnicze tu - czyli oczekiwany kierunek to AI wbudowane w core operations, nie wsparcie
Operational core	Manufacturing, energy, transport, finance, construction	Incremental, nie disruptive	Klienci korporacyjni kancelarii - powolne, regulowane wdrożenia, długie cykle inwestycyjne, twarde wymogi compliance
Service envelope	Wholesale, retail, hospitality, admin, arts	Supplementary, przez SaaS	AI dociera przez gotowe SaaS, bez własnej infrastruktury, niski próg wejścia ale i niska różnicowalność

Polskie kancelarie prawnicze są w kategorii professional services - innovation-led. To znaczy, że projekcja autorów dla professional services to deep integration AI w core operations do 2030. Nie wsparcie. Nie wspomaganie. Deep integration. Pięć lat. Polskie kancelarie, które dziś wciąż traktują asystenta AI jako "ciekawy gadżet", a nie infrastrukturalną zależność, są poza krzywą projekcji KE. Polski baseline kancelaryjny komentowaliśmy w TOM SuPESU Raport rynku prawniczego 2025-2026 i TOM Bifurcation of BigLaw - bifurcation rynku jest już widoczny, FORESIGHT KE go przyspiesza.

Bariery, które autorzy identyfikują dla EU - fragmentacja rynku, dominacja SME (99 procent firm), brak globalnych platform digital, lingwistyczna diversity (kluczowe dla NLP), human capital shortage, fragmented investment, ethical/security/trust concerns. Wszystkie obowiązują polski rynek prawniczy. Lingwistyczna diversity to dla polskiej kancelarii nie problem - to barierka konkurencyjna chroniąca przed dominacją anglojęzycznych narzędzi. Ale ta sama bariera spowalnia adaptację globalnych modeli do polskiego kontekstu prawnego.

Sześć klastrów rekomendacji ze sense-making workshop

Workshop 10 lutego 2026 w Brukseli z policy officers EC wyprodukował sześć klastrów rekomendacji robust across all three scenarios. To znaczy - działania, które są wskazane niezależnie od tego, który z trzech scenariuszy się zmaterializuje.

Klaster	Rdzeń rekomendacji
Rethinking Education	Critical thinking ponad technical skills, AI literacy na wszystkich poziomach, talent retention
Global Tech Strategies	Tech diplomacy, digital sovereignty, modelowanie responsible AI governance globalnie
Regulatory Enforcement	Implementation challenge AI Act, distributed oversight, funded enforcement capacity
Green AI	Energy-efficient AI, alignment z climate, sustainable AI i AI for sustainability
European AI Ecosystem	Integrated public-private stack, data sovereignty, certified trustworthy AI
Cultivating AI Innovation	Research-to-market pathways, sandboxes regulatory, cultural sectors jako driver

Dla polskiej kancelarii operacyjnie najistotniejsze są dwa klastry. Regulatory Enforcement - autorzy explicite mówią, że AI Act ma ambitny framework, ale wykonanie pozostaje wyzwaniem. Dla compliance officera w kancelarii to bezpośrednia implikacja - w najbliższych latach interpretacja AI Act będzie się kształtować w praktyce, nie w doktrynie. Kancelaria, która buduje compliance pod AI Act dziś, kształtuje praktykę enforcement na lata. Praktyczny przewodnik po obowiązkach z AI Act zalecam czytać przez TOM AI Act Guide Bird & Bird, a baseline DPIA przez TOM EDPB DPIA Template. European AI Ecosystem - certyfikacja trustworthy AI z human oversight. To dokładnie miejsce, gdzie polski rynek LegalTech ma szansę zbudować segment przewagi (zaufanie plus tajemnica zawodowa plus RODO).

Czego autorzy nie powiedzieli, a co musi powiedzieć polski compliance

Siedmioro autorów pisze z perspektywy europejskiej R&I policy, nie z perspektywy polskiej kancelarii. Cztery białe plamy, które polski compliance musi wypełnić sam.

Pierwsza linia. Trzy scenariusze AI 2040 jako wejście do strategii kancelarii. Każdy z trzech scenariuszy ma inne implikacje operacyjne dla kancelarii prawnej. W scenariuszu A (AGI/ASI Networks) kancelaria działa w środowisku, w którym najpoważniejsze decyzje prawne są wspierane przez systemy, których nie projektuje ani nie kontroluje. Pytanie strategiczne - jak utrzymać tajemnicę zawodową i niezależność prawnika, kiedy infrastruktura AI jest poza EU. W scenariuszu B (EU Leadership) kancelaria działa w środowisku, w którym europejskie modele suwerennej AI są dominujące i tańsze niż zagraniczne. Pytanie - jak zbudować przewagę kompetencyjną na narzędziach, które konkurencja też będzie miała. W scenariuszu C (AI Winter) kancelaria działa w środowisku, w którym AI jest mniej więcej tak zdolne jak dziś, hype wygasł, klientom wraca konserwatyzm. Pytanie - co z inwestycjami w LegalTech zrobionymi w latach 2024-2028. Wszystkie trzy pytania warto sobie zadać dziś.

Druga linia. Anticipatory governance i art. 9 EU AI Act. Autorzy wprost piszą, że regulatory ambition alone is insufficient without corresponding implementation and enforcement capabilities. Polska wersja tej myśli - sam KSC (Krajowy System Cyberbezpieczeństwa) i polski AI Act enforcement bez kompetencji organów nadzoru nie zadziała. Dla kancelarii oznacza to, że klient z sektorów wysokiego ryzyka (medycyna, finanse, edukacja, infrastruktura krytyczna) musi budować własną dokumentację zgodności z art. 9 AI Act bez liczenia na ścisłe ramki interpretacyjne organów (interpretacja MateMatic, nie stanowisko NRA ani KRRP). Anticipatory governance w autorskim ujęciu Cuhls to monitorowanie, foresight i adaptacja - czyli mechanizmy operacyjne, nie tylko polityki.

Trzecia linia. Hype Assessment jako element foresight. Autorzy wprowadzają jako czwarty obszar działania w anticipatory governance hype assessment - systematyczną analizę narracji, które kształtują finansowanie i regulację AI. To rzadkie u policy paperów. Dla polskiej kancelarii, która dostaje codziennie informacje o "rewolucyjnych" nowych narzędziach LegalTech, hype assessment jest praktyczną kompetencją - odróżnianie strategicznej przesady od ugruntowanego rozwoju. NRA i KRRP, które rekomendowałyby konkretne narzędzia AI dla członków, nie mają jeszcze takiej metodologii.

Czwarta linia. Vertical AI dla professional services. Autorzy rekomendują vertical AI - AI dostosowane do specyfiki sektorów, nie generic. Dla professional services to znaczy nie generic LLM, tylko LLM domain-tuned na polskim prawie i polskich realiach kancelaryjnych. To kontynuacja wątku z TOM 057 LEGIT - fine-tuning open-weight modelu z rubric reward na polskich drzewach argumentów. FORESIGHT KE dorzuca strategiczne uzasadnienie - vertical AI to nie nisza, to europejska droga konkurencyjna.

Słabsze strony raportu

Trzy zarzuty uczciwie.

Pierwszy - brak twardych danych dla Polski i CEE. Wszystkie liczby agregowane EU, czasem ze split na duże i małe gospodarki. Dla polskiej kancelarii to znaczy, że trzeba sięgnąć do polskiego baseline (GUS, PARP, raport SuPESU, raporty NRA), żeby wkleić scenariusze w lokalny kontekst.

Drugi - scenariusze są świadomie spekulatywne i autorzy nie przypisują im prawdopodobieństw ani rankingu. To metodologiczna decyzja, którą szanuję - foresight uczciwy jest takim, który nie udaje prognozy. Ale dla zarządu kancelarii, który musi alokować budżet na LegalTech w 2026, brak rankingu oznacza więcej pracy w przekładaniu scenariusza na konkretną decyzję inwestycyjną. Trzeba samodzielnie przypisać scenariuszom subiektywne wagi prawdopodobieństw, choćby intuicyjne, i alokować pod nie kapitał.

Trzeci - promise "gaining time" przez AI, które autorzy sami poddają w wątpliwość (strona 26), jest poddany krytyce słusznie, ale bez metryk. Nie podają jak zmierzyliby empirycznie, czy AI rzeczywiście "wyzwala czas" w professional services. To luka, której framework TOSA nie wypełnia. Dla kancelarii rozważającej ROI z AI to znaczy, że trzeba sobie metrykę zbudować samodzielnie (godziny billable per matter, time-to-first-draft, etc.).

Co z tego wynika

FORESIGHT KE jest dokumentem strategicznym o jednej centralnej tezie - przyszłość AI nie da się prognozować, ale można i trzeba zbudować zdolność działania pod niepewnością. Trzy scenariusze 2040 nie mają mówić, co się stanie. Mają mówić, jaki zestaw zdolności (instytucjonalnych, kompetencyjnych, technologicznych) jest robust across futures. Cztery linie operacyjne dla kancelarii rozpisałem powyżej - tu nie powtarzam.

Jedyne, co dodaję na koniec, to obserwacja meta. Autorzy zamknęli manuskrypt w kwietniu 2026. Sense-making workshop odbył się w lutym. Ankieta ekspercka w maju 2025. To znaczy, że twarde dane w raporcie mają już rok, a niektóre półtora. W tempie obecnej dynamiki AI to długo. Polska kancelaria, która bierze FORESIGHT KE jako baseline strategiczny, musi zbudować własny mechanizm aktualizacji - cykl półroczny minimum, ewentualnie kwartalny - bo żaden raport instytucjonalny, łącznie z tym, nie nadąża za rzeczywistym tempem zmian.

Raport jest do przeczytania jeden raz przez zarząd kancelarii w pełnym składzie, z agendą dedykowanego posiedzenia po lekturze. Nie do delegowania na compliance officera ani szefa IT. Materia jest strategiczna, decyzje też muszą być.