Bijna 90% van de beveiligingsprofessionals gebruikt niet-goedgekeurde AI-tools op het werk. De mensen die zich het meest bewust zijn van de risico's, zijn degenen die ze nemen. Niet omdat ze roekeloos zijn. Omdat de goedgekeurde stack niet kan bijbenen. Vragen gaan naar modellen van derden, antwoorden worden in documenten geplakt, en de infrastructuur van het bedrijf ziet het nooit. Geen log. Geen toegang registratie. Geen spoor. Wanneer compliance vraagt "wat hebben werknemers in deze modellen ingevoerd," is er geen antwoord. Niet omdat iemand het verborgen heeft. Omdat niemand het systeem heeft gebouwd om het vast te leggen. Beleid zal een infrastructuurkloof niet oplossen. @sofia_numbers zegt dit al een tijdje: governance heeft een herkomstlaag nodig. Een registratie van welke tools in gebruik zijn en wat ze aanraken, voordat de auditvraag binnenkomt. Beter beleid zal het niet oplossen. Betere infrastructuur zal dat wel.