What this coversCo se dozvíte
Right setup, right risk profileSprávné nastavení, správný rizikový profil
4 ways to use Claude4 způsoby použití Claude
Different risk profilesRůzné rizikové profily
Real incidents 2025–26Skutečné incidenty 2025–26
Setup checklistChecklist nastavení

A colleague of mine at a manufacturing company was using Claude daily. She thought it was fine — she had a Pro subscription, so she figured the data was safe. She was putting supplier pricing, negotiation strategies, and internal cost breakdowns into it every week.

The problem: she was on a personal Pro plan, not a business account. As of September 28, 2025, Anthropic changed its consumer terms. Free, Pro, and Max plans now default to opt-in for training on conversation data. She had clicked through the update notice without reading it. Her supplier negotiations were likely in the training dataset.

This is not a horror story about Claude specifically. It is a story about how the same product can be configured in very different ways, and how not understanding those differences creates real business risk.

The four ways to access Claude

Anthropic offers Claude through four distinct access points. They use the same underlying model, but the data handling, permissions, and risk profiles are completely different.

Access method Data used for training? Runs where? Business risk level
Claude.ai free / Pro / Max Yes by default (opt-out available) Anthropic cloud High for company data
Claude for Work (Teams) No Anthropic cloud Medium
Claude Code (CLI) No — but can read local files Local + Anthropic API High if misconfigured
VS Code / IDE extension No — but sends codebase context Local + Anthropic API Medium with setup

1. Claude.ai — the consumer web app

1

This is what most people use when they first try Claude. You open claude.ai in a browser, start a chat, and go. It looks and works like ChatGPT. That similarity is also where the confusion comes from.

What happens to your data: On Free, Pro, and Max plans, since September 28, 2025, Anthropic defaults to using conversation data for model training. There is an opt-out — in Settings → Privacy, you can turn off "Help improve Claude" — but it is easy to miss. The update notice had a large "Accept" button and a small toggle. Most users clicked Accept.

What this means in practice: If any employee is using a personal Claude.ai account and typing in supplier pricing, contract terms, cost structures, or client information, that data may be going into Anthropic's training pipeline. This is not theoretical. Anthropic explicitly confirmed the September 2025 change applies to Pro plans too, not just free accounts.

The main risk for business
Employees using personal Claude.ai accounts for work tasks. The Pro subscription costs money, so people assume it comes with better data protection. It does not — data handling for Pro and Free is identical unless you have a Business/Teams account.

Setup for safety: Either prohibit use of personal Claude.ai accounts for work data entirely, or instruct employees to opt out of training in Settings → Privacy. Neither is a perfect solution. The clean answer is a Claude for Work account.

2. Claude for Work (Teams plan)

2

Claude for Work is the business subscription at claude.ai. The Team plan runs €25/user/month on annual billing, or €30 month-to-month. A premium seat including Claude Code access costs €150/month.

What is different from the consumer version:

  • Conversation data is not used for model training — this applies to all commercial plans
  • SOC 2 Type II certified, ISO 27001:2022 and ISO/IEC 42001:2023 compliant
  • SAML 2.0 / OIDC SSO support — connects to Okta, Azure AD, Ping Identity
  • Admin controls and audit logging on Enterprise tier
  • A new Data Processing Agreement (effective January 2026) covers GDPR Standard Contractual Clauses

What it does not solve: Your data still goes to Anthropic's infrastructure. There is currently no dedicated EU-only data region for the direct API. If your industry requires EU data residency, you need to route through AWS Bedrock or Google Cloud Vertex AI EU endpoints, not the consumer or Teams interface directly.

GDPR note for EU businesses
Claude for Work covers most GDPR requirements through the January 2026 DPA and SCCs. But if you need guaranteed EU data residency — as some regulated sectors require — use Claude through AWS Bedrock EU profiles or Vertex AI EU regional endpoints instead. Bring Your Own Key (BYOK) encryption is arriving in H1 2026.

Setup for safety: Enable SSO through your identity provider, define what categories of data employees can use with Claude, and make sure you have a team-level account — not a collection of personal Pro accounts on the company card.

3. Claude Code — the command-line tool

3

Claude Code is a different beast. It is not a chat interface. It is a CLI agent that runs in your terminal, reads files on your system, writes code, executes shell commands, and makes network calls. I use it daily on Windows with WSL2 (Ubuntu), aliased as cc.

The risk profile here is significantly different from the web app — not because Anthropic does anything unusual with the data, but because of what Claude Code can actually do on your machine.

What Claude Code can do that Claude.ai cannot:

  • Read files anywhere on your local filesystem (within the session context)
  • Execute arbitrary shell commands
  • Install packages via npm, pip, etc.
  • Make outbound network requests
  • Read and potentially expose environment variables (including API keys and credentials)

This is not a flaw — it is literally the point of the tool. But it means that if something goes wrong, the blast radius is much larger than a misplaced chat message.

The sandbox mode question: Claude Code has a permissions system and a sandbox mode. When sandbox mode is on, it asks for confirmation before executing commands. When it is off, it runs more autonomously. The setting lives in ~/.claude/settings.json. Check it.

MCP servers — the hidden risk
Claude Code supports MCP (Model Context Protocol) — a way to connect Claude to external tools and data sources. MCP servers extend what Claude can access: your email, your calendar, your database, your Jira board. The problem is that every MCP server you install is a third-party piece of software with its own security posture. This became a serious problem in 2025–26. See the incidents section below.

Setup for safety:

  • Keep sandbox mode on when working with unfamiliar files or repositories
  • Never run Claude Code as root
  • Review the MCP servers you have installed — only keep ones from trusted, well-maintained sources
  • Check ~/.claude/settings.json for your current permissions configuration
  • Be aware of what files are in your working directory when starting a session — sensitive files in the project folder become part of the context

4. VS Code extension and IDE plugins

4

The VS Code extension puts Claude directly into your editor. You can highlight code, ask questions, get completions, have Claude read your entire codebase. It is genuinely useful for developers. It also has a specific data risk that most users do not think about.

What gets sent to Anthropic with each query: When you ask Claude a question in the IDE, the extension sends context — your open files, relevant code, the project structure. If your codebase contains API keys hardcoded in config files, database credentials, internal business logic, or client data, that context goes with the query.

The Chrome extension (over 3 million users as of early 2026) had a separate issue: a zero-click vulnerability called ShadowPrompt, discovered by Koi Security in March 2026, allowed any website to silently inject instructions into Claude as if the user had typed them. Anthropic deployed a fix on January 15, 2026. If you have not updated the extension since late 2025, update it.

Quick fix
Create a .claudeignore file in your project root (same syntax as .gitignore) to exclude files you do not want in the context. At minimum: .env files, any file with credentials, private key files, and directories containing client or financial data.

Setup for safety:

  • Add a .claudeignore or expand your .gitignore to cover sensitive files
  • Review which files Claude is actually including before asking complex questions
  • Keep the extension updated — the ShadowPrompt fix required an update, not just a backend patch
  • Never store credentials directly in project files (this is general hygiene, but IDE AI tools make the exposure surface larger)

Real incidents: what actually happened in 2025–26

This section covers documented incidents involving Claude directly or the ecosystem around it. The security community moved fast on these. Most were patched — but the underlying patterns are still worth understanding.

OCT 2025 Indirect prompt injection via Claude's Code Interpreter
Security researcher Johann Rehberger demonstrated that Claude's Code Interpreter, with its then-new network access features, could be manipulated through indirect prompt injection to extract chat history and upload it to an attacker-controlled account. The attacker embeds instructions in content that Claude processes — a document, a webpage — which then redirect Claude's actions. No user clicks required.
JAN 2026 ShadowPrompt — Chrome Extension zero-click hijack
Researchers at Koi Security found a flaw in Claude's Chrome extension (3M+ users) that allowed any website you visited to silently inject instructions into Claude without your knowledge. The attack chained an overly permissive origin allowlist with a DOM-based XSS in an embedded CAPTCHA component. Anthropic fixed it on January 15, 2026, with a stricter origin check. Users who had not updated were vulnerable during this window.
MAR 2026 "Claudy Day" — three vulnerabilities in Claude.ai (Oasis Security)
Oasis Security researchers discovered a chain of three flaws: an invisible prompt injection via URL parameters on claude.ai, a data exfiltration channel through the Anthropic Files API, and an open redirect. Combined, they allowed an attacker to steal conversation history and memory from any Claude.ai user by getting them to click a crafted URL embedded in a Google search result. Anthropic patched the injection flaw; the other two were being addressed as of April 2026.
MAR 31, 2026 Claude Code source code leak — and the vulnerabilities it exposed
Anthropic accidentally included a 59.8 MB JavaScript source map in the public npm package @anthropic-ai/claude-code v2.1.88. Over 512,000 lines of TypeScript were exposed within hours, forked tens of thousands of times. Within 24 hours, security firm Adversa found a deny-rule bypass: Claude Code hard-caps subcommand lists at 50 entries — exceed that, and it defaults to asking for permission rather than blocking. A proof-of-concept demonstrated exfiltration of SSH keys, AWS credentials, and GitHub tokens. The vulnerability was patched in v2.1.90. A separate malware campaign immediately created fake "leaked Claude Code" GitHub repositories distributing credential-stealing malware (Vidar stealer + GhostSocks). Do not download anything claiming to be the "leaked source."
APR 5, 2026 Trojanized PyPI package stealing Claude conversations
JFrog Security discovered hermes-px on PyPI — a package that presented itself as a privacy-focused Claude proxy but silently sent every conversation to an attacker-controlled Supabase database. The package used triple-layer obfuscation (XOR encryption, zlib compression, base64 encoding). Relevant if your team uses any third-party Claude wrappers or integrations installed via pip.
On MCP server security
The Model Context Protocol ecosystem had a rough year. In September 2025, the Postmark MCP server registry published a functional but backdoored server — a classic supply chain attack adapted for AI tooling. In June 2025, an Asana MCP feature caused customer data to bleed across instances for two weeks. The popular mcp-remote npm package (558,000+ downloads) had a critical vulnerability (CVE-2025-6514). The broader finding from security researchers: 82% of MCP implementations surveyed have file operations vulnerable to path traversal. If you install MCP servers for Claude Code, treat them like any other third-party dependency — check the maintainer, check the repo age, check for recent commits.

Which version should you use?

Straightforward decision guide:

Personal tasks, nothing work-related
Claude.ai free or Pro — but opt out of training in Settings → Privacy
Team using Claude for work tasks
Claude for Work (Teams plan) — €25/user/month, no training on your data
Building automations, working with local files or code
Claude Code with sandbox mode on, MCP servers reviewed
IDE integration for development work
VS Code extension with .claudeignore covering credentials and sensitive files
Regulated industry — healthcare, finance, defence
Claude via AWS Bedrock EU or Google Vertex AI EU endpoints for data residency, or on-premise LLM

The thing most businesses actually get wrong

It is not a technical configuration problem. It is a policy gap.

Employees start using free AI tools because they are fast, useful, and nobody told them not to. By the time IT or procurement notices, there are fifteen people using Claude.ai personal accounts with company data every day. The company card may even be paying for Pro subscriptions — which, as covered above, offer no additional data protection over the free plan.

The fix is two things at once: give people a safe option (a Teams account), and write a one-paragraph policy saying what not to put in any AI tool. Confidential supplier pricing. Client names. Contract terms under NDA. Internal cost structures. That list takes ten minutes to write and covers 80% of the actual exposure.

The employees using unsafe tools are not doing it to be careless. They are doing it because nobody gave them a safe one.

A Teams licence solves both problems simultaneously: it gives people a better tool and handles the data compliance question. The per-user cost is lower than one hour of external legal advice on a data incident.

Setup checklist

Quick setup — Claude for business teams
Check what plan your employees are using. Ask your IT or finance team for any Claude.ai subscriptions charged to the company card. Personal Pro = not covered for business data.
Move to Claude for Work (Teams plan) if you have more than two people using Claude for work tasks. The data handling is completely different from consumer plans.
Enable SSO on the Teams plan through your identity provider (Okta, Azure AD, Ping). This lets you control access centrally and remove users when they leave.
Write a one-paragraph AI data policy. What not to put in: supplier pricing and negotiation positions, client names under NDA, contract terms, internal cost structures, personal employee data. Send it to the team once. Pin it somewhere visible.
If using Claude Code: verify sandbox mode is on. Check ~/.claude/settings.json. Review any installed MCP servers — remove ones you do not actively use or cannot verify the source of.
If using the VS Code extension: set up .claudeignore. At minimum, exclude .env files and any directory containing credentials or client data.
Designate one person to review AI tool usage quarterly. Which tools is the team using? Are there new consumer accounts nobody reported? Have any tools changed their terms? This does not need to be a full audit — 30 minutes every three months is enough.

A note on trust

Anthropic has generally been more transparent about data practices than some competitors — they published their September 2025 policy change openly and maintained clear opt-out mechanisms. The incidents documented above were mostly found by security researchers doing responsible disclosure, and most were patched within days or weeks.

That does not mean the risk is zero. It means the risk is manageable with the right setup. The teams that get burned are not the ones who understood the risk and accepted it — they are the ones who assumed the default configuration was safe and never checked.

Kolegyně z výrobní firmy používala Claude každý den. Myslela si, že je to v pořádku — měla Pro předplatné, takže data jsou v bezpečí. Každý týden do něj zadávala ceny dodavatelů, vyjednávací strategie a interní kalkulace nákladů.

Problém byl v tom, že měla osobní Pro účet, ne firemní. Od 28. září 2025 Anthropic změnil podmínky pro spotřebitele. Plány Free, Pro a Max teď defaultně souhlasí s využitím konverzací pro trénování modelu. Přeskočila přes oznámení o aktualizaci bez čtení. Její dodavatelská vyjednávání pravděpodobně skončila v trénovacím datasetu.

To není hororový příběh o Claude jako takovém. Je to příběh o tom, jak stejný produkt může být nakonfigurován velmi různými způsoby — a jak nepochopení těchto rozdílů vytváří reálné byznysové riziko.

Čtyři způsoby přístupu ke Claude

Anthropic nabízí Claude čtyřmi různými způsoby. Všechny používají stejný model, ale zacházení s daty, oprávnění a rizikový profil jsou zcela odlišné.

Způsob přístupu Data pro trénování? Kde běží? Byznys riziko
Claude.ai free / Pro / Max Ano defaultně (opt-out k dispozici) Anthropic cloud Vysoké pro firemní data
Claude for Work (Teams) Ne Anthropic cloud Střední
Claude Code (CLI) Ne — ale čte lokální soubory Lokálně + Anthropic API Vysoké při špatné konfiguraci
Rozšíření pro VS Code / IDE Ne — ale posílá kontext kódu Lokálně + Anthropic API Střední se správným nastavením

1. Claude.ai — webová spotřebitelská aplikace

1

Takhle většina lidí Claude poprvé zkusí. Otevřete claude.ai v prohlížeči, začnete chat a jedete. Vypadá a funguje jako ChatGPT. Tato podobnost je také zdrojem záměny.

Co se děje s vašimi daty: Na plánech Free, Pro a Max od 28. září 2025 Anthropic defaultně používá konverzační data pro trénování modelu. Opt-out existuje — v Nastavení → Soukromí můžete vypnout "Pomoci vylepšit Claude" — ale je snadné ho přehlédnout. Oznámení o aktualizaci mělo velké tlačítko "Přijmout" a malý přepínač. Většina uživatelů klikla na Přijmout.

Co to v praxi znamená: Pokud jakýkoliv zaměstnanec používá osobní účet Claude.ai a zadává do něj ceny dodavatelů, smluvní podmínky, kalkulace nákladů nebo informace o klientech, tato data mohou jít do trénovacího procesu Anthropicu. Anthropic výslovně potvrdil, že změna ze září 2025 se vztahuje i na Pro plány, nejen na bezplatné účty.

Hlavní riziko pro byznys
Zaměstnanci používající osobní účty Claude.ai pro pracovní úkoly. Pro předplatné stojí peníze, takže lidé předpokládají lepší ochranu dat. To není pravda — zacházení s daty u Pro a Free plánu je identické, pokud nemáte firemní (Teams) účet.

Jak nastavit bezpečně: Buď zakažte používání osobních Claude.ai účtů pro pracovní data, nebo instruujte zaměstnance, aby vypnuli trénování v Nastavení → Soukromí. Ani jedno není ideální řešení. Čistá odpověď je Claude for Work účet.

2. Claude for Work (Teams plán)

2

Claude for Work je firemní předplatné na claude.ai. Teams plán stojí přibližně 25 EUR/uživatel/měsíc při ročním předplatném, nebo 30 EUR měsíčně. Prémiový seat včetně přístupu k Claude Code vychází na 150 EUR měsíčně.

Co je jinak oproti spotřebitelské verzi:

  • Konverzační data se nepoužívají pro trénování modelu — platí pro všechny komerční plány
  • Certifikace SOC 2 Type II, ISO 27001:2022 a ISO/IEC 42001:2023
  • Podpora SSO přes SAML 2.0 / OIDC — napojení na Okta, Azure AD, Ping Identity
  • Admin ovládací prvky a audit logy na Enterprise úrovni
  • Nová smlouva o zpracování dat (DPA účinná od ledna 2026) pokrývá standardní smluvní doložky GDPR

Co to neřeší: Vaše data stále jdou na infrastrukturu Anthropicu. V tuto chvíli neexistuje dedikovaná EU datová oblast pro přímé API. Pokud váš sektor vyžaduje datovou rezidenci v EU, musíte routovat přes AWS Bedrock nebo Google Cloud Vertex AI EU endpointy.

Poznámka k GDPR pro EU firmy
Claude for Work pokrývá většinu požadavků GDPR přes DPA z ledna 2026 a standardní smluvní doložky. Pokud ale potřebujete garantovanou datovou rezidenci v EU — jak požadují některá regulovaná odvětví — používejte Claude přes AWS Bedrock EU profily nebo Vertex AI EU regionální endpointy. Šifrování s vlastním klíčem (BYOK) přichází v H1 2026.

Jak nastavit bezpečně: Povolte SSO přes váš identity provider, definujte jaké kategorie dat smějí zaměstnanci do Claude zadávat, a zajistěte, že máte firemní účet — ne sbírku osobních Pro účtů placených z firemní karty.

3. Claude Code — nástroj příkazového řádku

3

Claude Code je jiný svět. Není to chatovací rozhraní. Je to CLI agent, který běží v terminálu, čte soubory na vašem systému, píše kód, spouští příkazy shellu a dělá síťové volání. Sám ho používám denně na Windows s WSL2 (Ubuntu), aliasován jako cc.

Rizikový profil je tady výrazně jiný než u webové aplikace — ne proto, že by Anthropic dělal něco neobvyklého s daty, ale kvůli tomu, co Claude Code skutečně může udělat na vašem počítači.

Co Claude Code dokáže, co Claude.ai nemůže:

  • Číst soubory kdekoli na lokálním souborovém systému (v kontextu sezení)
  • Spouštět libovolné příkazy shellu
  • Instalovat balíčky přes npm, pip atd.
  • Vytvářet odchozí síťová spojení
  • Číst proměnné prostředí — včetně API klíčů a přihlašovacích údajů

To není chyba — to je doslova smysl nástroje. Ale znamená to, že pokud se něco pokazí, rozsah škod je mnohem větší než zbloudilá zpráva v chatu.

MCP servery — skryté riziko
Claude Code podporuje MCP (Model Context Protocol) — způsob, jak připojit Claude k externím nástrojům a zdrojům dat. MCP servery rozšiřují, k čemu má Claude přístup: váš email, kalendář, databáze, Jira. Problém je, že každý MCP server, který nainstalujete, je software třetí strany s vlastním bezpečnostním profilem. V roce 2025–26 se z toho stalo vážné téma. Viz sekce incidentů níže.

Jak nastavit bezpečně:

  • Nechte sandbox mode zapnutý při práci s neznámými soubory nebo repozitáři
  • Nikdy nespouštějte Claude Code jako root
  • Zkontrolujte nainstalované MCP servery — ponechte jen ty z důvěryhodných, dobře udržovaných zdrojů
  • Zkontrolujte ~/.claude/settings.json pro aktuální konfiguraci oprávnění
  • Mějte přehled o tom, jaké soubory jsou v pracovním adresáři na začátku sezení

4. Rozšíření pro VS Code a IDE pluginy

4

Rozšíření pro VS Code dává Claude přímo do editoru. Můžete označit kód, ptát se na otázky, dostat doplnění kódu, nechat Claude přečíst celý váš projekt. Je to genuinně užitečné pro vývojáře. Má ale specifické riziko, na které většina uživatelů nemyslí.

Co se posílá Anthropicu s každým dotazem: Když se Claude v IDE zeptáte na otázku, rozšíření posílá kontext — otevřené soubory, relevantní kód, strukturu projektu. Pokud vaše kódová základna obsahuje API klíče v konfiguračních souborech, přihlašovací údaje k databázi, interní obchodní logiku nebo data klientů, tento kontext jde s dotazem.

Chrome rozšíření (přes 3 miliony uživatelů na začátku roku 2026) mělo samostatný problém: zero-click zranitelnost zvaná ShadowPrompt, kterou v březnu 2026 odhalili výzkumníci z Koi Security, umožňovala jakékoli navštívené stránce tiše injektovat instrukce do Claude bez vašeho vědomí. Anthropic vydal opravu 15. ledna 2026. Pokud jste rozšíření neaktualizovali od konce roku 2025, aktualizujte ho.

Rychlé řešení
Vytvořte soubor .claudeignore v kořenovém adresáři projektu (stejná syntaxe jako .gitignore) pro vyloučení souborů, které nechcete v kontextu. Minimálně: soubory .env, jakýkoliv soubor s přihlašovacími údaji, soubory soukromých klíčů a adresáře s daty klientů nebo finančními daty.

Skutečné incidenty: co se stalo v 2025–26

Tato sekce pokrývá zdokumentované incidenty přímo spojené s Claude nebo jeho ekosystémem. Bezpečnostní komunita reagovala rychle. Většina byla opravena — ale vzorce, které za nimi stojí, jsou stále relevantní.

ŘÍJ 2025 Nepřímá prompt injekce přes Claude Code Interpreter
Bezpečnostní výzkumník Johann Rehberger demonstroval, že Code Interpreter Claude s tehdy novými síťovými funkcemi lze manipulovat přes nepřímou prompt injekci k extrakci historie chatů a jejich nahrání na útočníkův účet. Útočník vloží instrukce do obsahu, který Claude zpracovává — dokument, webová stránka — které pak přesměrují akce Claude. Bez nutnosti kliknutí uživatele.
LED 2026 ShadowPrompt — zero-click únos Chrome rozšíření
Výzkumníci z Koi Security našli zranitelnost v Chrome rozšíření Claude (3M+ uživatelů), která umožňovala jakékoli navštívené stránce tiše injektovat instrukce do Claude bez vědomí uživatele. Útok spojil příliš permisivní whitelist origins s DOM-based XSS v embedded CAPTCHA komponentě. Anthropic vydal opravu 15. ledna 2026 se striktní kontrolou originu.
BŘE 2026 "Claudy Day" — tři zranitelnosti v Claude.ai (Oasis Security)
Výzkumníci Oasis Security odhalili řetězec tří chyb: neviditelná prompt injekce přes URL parametry na claude.ai, kanál pro exfiltraci dat přes Anthropic Files API a open redirect. Dohromady umožňovaly útočníkovi ukrást historii konverzací a paměť jakéhokoli uživatele claude.ai tím, že ho přiměli kliknout na upravený odkaz zabudovaný do výsledku Google vyhledávání. Anthropic opravil injekční chybu; ostatní dvě řešil k dubnu 2026.
31. BŘE 2026 Únik zdrojového kódu Claude Code — a zranitelnosti, které odhalil
Anthropic omylem zahrnul 59,8 MB JavaScript source mapu do veřejného npm balíčku @anthropic-ai/claude-code v2.1.88. Přes 512 000 řádků TypeScriptu bylo během hodin zpřístupněno, forknuto desítkami tisíc lidí. Do 24 hodin bezpečnostní firma Adversa nalezla bypass deny-rule: Claude Code omezuje listy subpříkazů na 50 položek — překročte to a místo blokování se zeptá na povolení. Proof-of-concept demonstroval exfiltraci SSH klíčů, AWS přihlašovacích údajů a GitHub tokenů. Zranitelnost opravena ve v2.1.90. Souběžná malware kampaň okamžitě vytvořila falešné GitHub repozitáře distribuující malware kradoucí přihlašovací údaje. Nestahujte nic, co tvrdí, že je "uniklý zdrojový kód."
5. DUB 2026 Trójský balíček PyPI kradoucí konverzace s Claude
JFrog Security odhalil hermes-px na PyPI — balíček prezentovaný jako privacy-focused proxy pro Claude, který tiše posílal každou konverzaci do databáze Supabase ovládané útočníkem. Balíček použil trojitou vrstvou obfuskace (XOR šifrování, zlib komprese, base64 kódování). Relevantní pro týmy používající jakékoli third-party wrappers pro Claude instalované přes pip.
O bezpečnosti MCP serverů
Ekosystém Model Context Protocol měl těžký rok. V září 2025 byl na MCP registru publikován funkční ale backdoorovaný Postmark MCP server. V červnu 2025 způsobila Asana MCP funkce únik dat zákazníků mezi instancemi po dobu dvou týdnů. Populární npm balíček mcp-remote (558 000+ stažení) měl kritickou zranitelnost CVE-2025-6514. Obecný závěr bezpečnostních výzkumníků: 82 % zkoumaných MCP implementací má souborové operace zranitelné vůči path traversal. MCP servery pro Claude Code instalujte se stejnou opatrností jako jakékoli jiné závislosti třetích stran.

Kterou verzi byste měli používat?

Jednoduchý rozhodovací průvodce:

Osobní úkoly, nic pracovního
Claude.ai free nebo Pro — ale vypněte trénování v Nastavení → Soukromí
Tým používající Claude pro pracovní úkoly
Claude for Work (Teams plán) — ~25 EUR/uživatel/měsíc, bez trénování na vašich datech
Tvorba automatizací, práce s lokálními soubory nebo kódem
Claude Code se zapnutým sandbox mode a zkontrolovanými MCP servery
Integrace do IDE pro vývoj
Rozšíření VS Code s .claudeignore pokrývajícím přihlašovací údaje a citlivé soubory
Regulované odvětví — zdravotnictví, finance, obrana
Claude přes AWS Bedrock EU nebo Google Vertex AI EU endpointy pro datovou rezidenci, nebo on-premise LLM

Co většina firem dělá špatně

Není to technický konfigurační problém. Je to mezera v politice.

Zaměstnanci začnou používat bezplatné AI nástroje, protože jsou rychlé, užitečné a nikdo jim neřekl, že nemají. Když si toho IT nebo nákup všimne, je tam patnáct lidí používajících osobní Claude.ai účty s firemními daty každý den. Firemní karta může dokonce platit za Pro předplatné — které, jak bylo popsáno výše, neposkytuje žádnou další ochranu dat oproti bezplatnému plánu.

Řešení jsou dvě věci najednou: dejte lidem bezpečnou možnost (Teams účet) a napište odstavec politiky říkající, co do žádného AI nástroje nezadávat. Důvěrné ceny dodavatelů. Jména klientů. Smluvní podmínky pod NDA. Interní kalkulace nákladů. Tento seznam zabere deset minut sepsat a pokrývá 80 % reálné expozice.

Zaměstnanci používající nebezpečné nástroje to nedělají ze lhostejnosti. Dělají to proto, že jim nikdo nedal bezpečnou alternativu.

Checklist nastavení

Rychlé nastavení — Claude pro firemní týmy
Zjistěte, jaký plán vaši zaměstnanci používají. Zeptejte se IT nebo financí na jakákoli Claude.ai předplatná placená z firemní karty. Osobní Pro = nekryté pro firemní data.
Přejděte na Claude for Work (Teams plán), pokud mají více než dva lidé Claude pro pracovní úkoly. Zacházení s daty je zcela jiné než u spotřebitelských plánů.
Povolte SSO na Teams plánu přes váš identity provider (Okta, Azure AD, Ping). To vám umožní centrálně spravovat přístup a odebírat uživatele při odchodu.
Napište jednoodstavcovou AI datovou politiku. Co nezadávat: ceny dodavatelů a vyjednávací pozice, jména klientů pod NDA, smluvní podmínky, interní kalkulace nákladů, osobní data zaměstnanců. Pošlete jednou týmu. Připíchněte na viditelné místo.
Při používání Claude Code: ověřte, že je sandbox mode zapnutý. Zkontrolujte ~/.claude/settings.json. Projděte nainstalované MCP servery — odstraňte ty, které aktivně nevyužíváte nebo jejichž zdroj nemůžete ověřit.
Při používání rozšíření VS Code: nastavte .claudeignore. Minimálně vyloučte soubory .env a jakýkoli adresář obsahující přihlašovací údaje nebo data klientů.
Určete jednu osobu zodpovědnou za čtvrtletní přehled AI nástrojů. Které nástroje tým používá? Existují nové osobní účty, o kterých nikdo nehlásil? Nezměnil nějaký nástroj podmínky? Nepotřebujete plný audit — 30 minut každé tři měsíce stačí.