OpenAI, YubiKey in kruta realnost: čas je, da pogovore z AI zaščitimo kot bančni račun

1. maj 2026
5 min branja
Varnostni ključ YubiKey ob odprtem zaslonu z vpisom v ChatGPT na prenosniku

1. Naslov in uvod

Napredna varnost, ki jo je OpenAI ravnokar predstavil za račune ChatGPT, je manj nova funkcija in bolj priznanje: v klepetih z AI danes pogosto ležijo enako občutljivi podatki kot v e‑pošti ali spletni banki. Če kdo prevzame vaš račun, ne izgubiš le dostopa do orodja, ampak tudi do mesecev strateških dokumentov, osnutkov pogodb in osebnih izpovedi.

V nadaljevanju pogledamo, kaj OpenAI dejansko uvaja, zakaj je partnerstvo z Yubicom pomembno, kako se to ujema s trendi v kibernetski varnosti in kaj pomeni za slovenska podjetja, javni sektor in posameznike, ki ChatGPT uporabljajo pri tveganem delu.

2. Novica na kratko

Kot poroča TechCrunch, je OpenAI uvedel paket Advanced Account Security (AAS) – nabor dodatnih zaščit za račune ChatGPT, namenjenih uporabnikom z višjim tveganjem, a na voljo vsem. Del tega programa je partnerstvo z varnostnim podjetjem Yubico, prek katerega sta podprta dva so‑znamčena varnostna ključa: YubiKey C NFC in YubiKey C Nano.

Gre za fizične ključe, ki se povežejo prek USB (in pri enem modelu prek NFC), na sebi hranijo kriptografski skrivni podatek in močno otežijo krajo računov prek phishinga ali prestreženih gesel.

Poteza prihaja v času, ko se napadi na uporabniške račune klepetalnih botov množijo, predvsem zaradi dragocenih osebnih in poslovnih informacij v zgodovini pogovorov. OpenAI je nedavno napovedal tudi širši okvir za »digitalno obrambo«, medtem ko je Anthropic predstavil svoj kibernetsko‑varnostni model Mythos. Ključna omejitev AAS: če uporabnik izgubi varnostni ključ, OpenAI dostopa do računa in pogovorov ne bo mogel obnoviti.

3. Zakaj je to pomembno

S tem korakom OpenAI v praksi priznava, da so računi ChatGPT postali cilj visoke vrednosti. V njih so:

  • izvorne kode in arhitekturni diagrami,
  • poslovne strategije, prodajni načrti, interni zapiski,
  • osnutki pogodb in kadrovskih dokumentov,
  • zaupne osebne zgodbe, zdravstvene in finančne informacije.

Do teh podatkov napadalcem ni treba priti prek vdora v OpenAI – dovolj je uspešen phishing za posamezen račun. Za izsiljevanje ali industrijsko vohunjenje je to več kot dovolj.

Kdo pridobi?

  • Novinarji, aktivisti, raziskovalci, politiki, ki so pogosto tarče nadzorovanih napadov, zdaj dobijo profesionalno rešitev, ne le improviziranih trikov.
  • Podjetja, ki že uporabljajo varnostne ključe za VPN in SSO, lahko enako raven zaščite razširijo na svoje AI delovne tokove.
  • Yubico, ki se neposredno poveže z najbolj prepoznavno AI‑platformo na trgu.

Kdo izgublja?

  • Klasnični napadalci, ki živijo od ponovne uporabe gesel in phishinga; varnostni ključi so eden redkih mehanizmov, ki jim resnično zaprejo vrata.
  • Uporabniki, ki želijo maksimalno varnost brez komplikacij; fizični ključ pomeni novo tveganje – izgubo ali nedostopnost –, ki ga moraš aktivno upravljati (rezervni ključi, varno shranjevanje).

Najbolj ostro pa bo verjetno sprejetje načela »brez povračila«. Za ljudi v resni nevarnosti je to dobrodošlo: niti ponudnik storitve ne sme imeti »stranske poti« do računa. Za povprečnega uporabnika pa je to dovolj zastrašujoče, da AAS sploh ne bo vklopil. Dilema med varnostjo in udobjem se s tem še zaostri.

4. Širša slika

Napoved se lepo ujema z vsaj tremi večjimi trendi.

1. AI kot delovno okolje, ne le iskalnik
ChatGPT in podobna orodja se premikajo od enkratnih poizvedb k stalnim delovnim okoljem: deljenim »workspaceom«, integracijam z e‑pošto, koledarji, dokumentnimi sistemi. To jih funkcionalno približuje paketom, kot sta Google Workspace in Microsoft 365 – in s tem tudi njihovi privlačnosti za napadalce.

Če v takem okolju še vedno slonimo na geslih in SMS‑kodah, je vprašanje časa, kdaj bo prišlo do serije odmevnih incidentov.

2. Varnost kot konkurenčna prednost AI‑ponudnikov
Anthropic pozicionira Mythos kot orodje za kibernetsko obrambo, OpenAI gradi svoj narativ »digitalne zaščite«. V ozadju so predvsem poslovne stranke, ki bodo od ponudnikov AI pričakovale enak varnostni standard kot od drugih kritičnih SaaS platform.

Pri prihodnjih razpisih o uporabi generativne AI ne bo dovolj odgovor »podatki so šifrirani«. Ključna vprašanja bodo:

  • Podpirate strojne ključe (FIDO2/WebAuthn)?
  • Ali lahko skrbniki prisilno uveljavijo močno avtentikacijo?
  • Kako zaščitite privilegirane račune in občutljive projekte?

3. Identiteta v dobi avtonomnih agentov
Ko bo AI začela ne le generirati besedil, ampak tudi izvajati dejanja – podpisovati dokumente, sprožati plačila, spreminjati konfiguracije v oblakih –, bo vprašanje »kdo je to odobril?« postalo ključno.

Današnja integracija YubiKeyev je ozko usmerjena na prijavo v ChatGPT. A nakazuje prihodnost, kjer bodo:

  • določena dejanja možna samo z »potrditvijo na ključ«,
  • dostop do agentov, ki delujejo v produkciji, vezan na strojno zasidrano identiteto,
  • regulatorji zahtevali fizično potrjeno identiteto za AI v kritični infrastrukturi.

OpenAI in Yubico si tukaj zgodaj rezervirata mesto v tej identitetni verigi.

5. Evropski in slovenski vidik

Evropski okvir je specifičen: poleg tehničnih pričakovanj imamo še stroge pravne obveznosti.

Po GDPR (in slovenskem ZVOP‑2) morajo organizacije, ki v ChatGPT obdelujejo osebne podatke, dokazati »ustrezne tehnične in organizacijske ukrepe«. Močnejša avtentikacija prek FIDO ključev je jasen plus pri vsakem notranjem ali inšpekcijskem pregledu.

Prihajajoča Uredba EU o AI in že veljavni Akt o digitalnih storitvah (DSA) dodatno pritiskata na večje platforme, da zagotovijo varnost in robustnost. ChatGPT sicer (za zdaj) najverjetneje ne bo med »visoko tveganimi« sistemi, a podjetja, ki nanj gradijo lastne storitve, bodo pogosto v bolj zahtevnih kategorijah – in bodo zato še bolj občutljiva na varnost dostopa.

Za slovenska podjetja in javni sektor je to predvsem priložnost, da uredijo lastno hišo. Marsikatero ministrstvo, občina ali javni zavod že eksperimentira z uporabo generativne AI za osnutke dopisov, analize ali povzetke. Če se to počne s službenih računov brez močne avtentikacije, je tveganje realno.

Za domači startup ekosistem (Ljubljana, Maribor, Nova Gorica) pa velja jasno sporočilo: če gradite B2B‑rešitve na vrhu ChatGPT, bo podpora za močno avtentikacijo – vključno z varnostnimi ključi – kmalu nujna lastnost, ne le »lepa dodatna možnost«.

6. Pogled naprej

V naslednjih letih lahko pričakujemo več razvoja na treh frontah.

1. Od »napredne« do privzete varnosti
Danes je AAS predstavljen kot opcija za posebne primere. A ko bodo večje evropske banke, zavarovalnice in javne ustanove začele podpisovati večmilijonske pogodbe za rabo AI, bo to postalo privzeta zahteva.

Verjetno bomo videli:

  • poslovne pakete, kjer brez strojnih ključev sploh ne bo mogoče ustvariti administratorskega računa;
  • integracije z obstoječimi identitetnimi sistemi (Azure AD, Okta …), ki že uporabljajo YubiKeye;
  • ponudbe »ključ + storitev« pri večjih uvajanjih AI v podjetjih.

2. Uporabniška izkušnja kot ozko grlo
Nekaj zelo javnih zgodb o izgubljenih ključih in neobnovljivih pogovorih bo povzročilo odpor. OpenAI bo moral:

  • uporabnike že ob vklopu AAS prisiliti k registraciji vsaj dveh ključev;
  • jasno in razumljivo razložiti, kaj pomeni, da podporna služba res ne more pomagati;
  • postopoma premostiti prepad med fizičnimi ključi in passkeyi, ki so prijaznejši za množično uporabo na telefonih in prenosnikih.

3. Varnost kot del razpisnih pogojev
V javnih naročilih v Sloveniji in EU se bo začelo pojavljati konkretno vprašanje: »Ali rešitev podpira strojno zasidrano avtentikacijo (FIDO2/WebAuthn)?« Tisti ponudniki AI, ki na to ne bodo imeli dobrega odgovora, bodo na razpisih preprosto odpadli.

Odprto ostaja, ali bo OpenAI razširil AAS v smer finozrnatih varnostnih politik – recimo, da se ključi zahtevajo samo za posebej občutljive »workspacove« ali za dostop do določenih naborov podatkov. Prav to bodo zahtevale večje organizacije z zelo raznolikimi uporabniki.

7. Spodnja črta

Partnerstvo OpenAI–Yubico je logičen in potreben korak: ChatGPT računi so postali preveč dragoceni, da bi jih še vedno ščitili s šibkimi gesli. Hkrati pa razgalja, kako krhko je dejstvo, da toliko kritičnih informacij vezujemo na en sam račun. Vprašanje za slovenske uporabnike in organizacije ni, ali je AAS »preveč«, ampak kdaj boste svoje klepete z AI začeli obravnavati vsaj tako resno kot spletno banko ali davčni portal eDavki.

Komentarji

Pustite komentar

Še ni komentarjev. Bodite prvi!

Povezani članki

Oseba v Indiji na pametnem telefonu ustvarja barvite AI-generirane slike
UI

Zakaj je ChatGPT Images 2.0 eksplodiral v Indiji, v Evropi pa komaj opazno premaknil iglo

ChatGPT Images 2.0 je hit v Indiji, v Evropi pa le zmeren uspeh. Analiziramo, kaj to pomeni za OpenAI, EU regulativo in slovenske uporabnike.

5 min branja
Velik podatkovni center in električni daljnovodi ob kmetijskem polju
UI

Ko se umetna inteligenca zaleti v njive: kaj nam pove ameriški upor podatkovnim centrom

Ameriški upor proti podeželskim podatkovnim centrom za AI je svarilo Evropi in Sloveniji: o zemlji, vodi in omrežju bo treba odločati veliko bolj premišljeno.

5 min branja
Razvijalec pred prenosnikom, na zaslonu graf porabe in cene GitHub Copilot
UI

GitHub Copilot dobi števec: konec pavšalnega AI kodiranja

GitHub Copilot uvaja obračun po porabi. Analiza, kaj to pomeni za razvijalce, stroške AI in evropske ter slovenske ekipe.

5 min branja

Ostani na tekočem

Prejemaj najnovejše novice iz sveta AI in tehnologije.