W skrócie - Portale Enterprise AI
- Sam interfejs czatu nie wystarczy - firmy potrzebują portali z SSO, Audit Trail, udostępnianiem asystentów i integracją agentów, aby zapobiec Shadow AI.
- Pięć opcji open source do wyboru: LobeChat, OpenWebUI, LibreChat, chatbot-ui i very-ai - każda dostosowana do innych wymagań governance.
- Wykrywanie i anonimizacja PII to kluczowy wyróżnik dla środowisk regulowanych, w których dane pracowników trafiają do promptów AI.
- Gartner (2024) podaje, że 55% organizacji korzystających z generatywnej AI nie posiada ram governance dla jej wykorzystania.
- Decydującym czynnikiem adopcji nie jest technologia, lecz doświadczenie użytkownika - portal wewnętrzny musi od pierwszego dnia dorównywać publicznym usługom AI lub je przewyższać.
Problem: model bez interfejsu
Model AI bez kontrolowanego interfejsu jest jak serwer bez frontendu. Technologia jest dostępna, ale nikt nie może z niej korzystać w uporządkowany sposób. Co się potem dzieje, jest przewidywalne: pracownicy sięgają po publiczne usługi AI - ChatGPT, Gemini, Claude.ai - ze swoimi prywatnymi kontami. Wprowadzają dane firmowe do systemów poza kontrolą działu IT. Nie ma Audit Trail, nie ma klasyfikacji danych, nie ma kontroli dostępu.
To jest Shadow AI. I pytanie nie brzmi, czy to się dzieje w Twojej firmie. Pytanie brzmi, jak bardzo.
Rozwiązaniem nie jest zakaz korzystania z AI. Rozwiązaniem jest udostępnienie wewnętrznego systemu, który działa lepiej niż publiczne alternatywy - a jednocześnie pozostaje pod kontrolą firmy. Prosty interfejs czatu do tego nie wystarczy. Potrzebny jest portal enterprise AI.
Co musi umieć portal enterprise AI
Portal enterprise AI to więcej niż okno czatu. To centralna platforma, przez którą wszyscy pracownicy wchodzą w interakcje z AI - kontrolowanie, protokołowanie i z integracją w istniejący krajobraz systemowy. Sześć wymagań odróżnia portal enterprise od czatu konsumenckiego:
1. Multi-Model Routing
Portal musi jednocześnie podłączać wiele modeli - własne API chmurowe i modele self-hosted. Logika routingu automatycznie decyduje, który model obsługuje które zapytanie: według typu zadania, wrażliwości danych i parametrów kosztowych. Pracownicy widzą jednolity interfejs. Który model działa w tle, jest dla nich przejrzyste, ale możliwe do prześledzenia.
2. Udostępnianie asystentów
Działy tworzą specjalistycznych asystentów - z własnym system promptem, własnymi dokumentami i własnym zestawem reguł. Asystent dla działu prawnego przygotowujący analizę umów. Asystent dla HR streszczający dokumenty aplikacyjne. Asystent dla zakupów porównujący oferty dostawców. Ci asystenci są udostępniani w ramach działu, wersjonowani i centralnie zarządzani.
To kluczowa różnica wobec zwykłego interfejsu czatu: nie każdy pracownik musi pisać prompty od zera. Zamiast tego korzysta z asystenta skonfigurowanego i zoptymalizowanego przez kolegów z branży. To obniża próg wejścia i podnosi jakość wyników.
3. Integracja agentów
Portal enterprise musi wykraczać poza czat. Musi integrować agentów AI - wyspecjalizowane workflow, które przetwarzają dokumenty, wydobywają dane, przygotowują decyzje lub komunikują się z zewnętrznymi systemami. Agent jest uruchamiany przez portal, jego postęp jest wyświetlany, a wynik dokumentowany w portalu.
4. SSO i kontrola dostępu oparta na rolach (RBAC)
Pracownicy logują się przez istniejący system zarządzania tożsamością - Azure AD, Okta, Google Workspace. Żadnych oddzielnych kont, żadnych oddzielnych haseł. Kontrola dostępu opiera się na rolach: kto może używać jakich modeli? Kto może tworzyć asystentów? Kto ma dostęp do jakich źródeł dokumentów? Kto ma dostęp do workflow agentów?
5. Audit Trail
Każda interakcja jest protokołowana. Kto kiedy złożył jakie zapytanie? Jaki model odpowiedział? Jakie dokumenty zostały przywołane? Jakie koszty powstały? Audit Trail jest eksportowalny - do audytu wewnętrznego, do kontroli compliance, do dokumentacji EU AI Act.
6. Elastyczność wdrożenia
Portal musi być wdrażalny w różnych środowiskach: jako usługa chmurowa (Supabase, Vercel), jako kontener w europejskim centrum danych lub On-Premises. Decyzja o hostingu portalu podlega tym samym kryteriom co decyzja o hostingu modeli.
Interfejsy open source w porównaniu
Pięć projektów open source pozycjonuje się jako kandydaci na portale enterprise AI: LobeChat, OpenWebUI, LibreChat, chatbot-ui i very-ai. Wszystkie pięć są self-hosted, agnostyczne wobec modelu i oferują interfejs czatu dla modeli językowych. Różnice leżą w integracji SSO, funkcjach governance, ochronie PII i zgodności z wymogami Rady Zakładowej.
Informacja o przejrzystości: very-ai jest rozwijany przez Gosign GmbH - wydawcę tej serii artykułów. Przedstawiamy mocne strony i ograniczenia wszystkich pięciu portali w równym stopniu. very-ai bazuje na forku chatbot-ui (licencja MIT) i rozwinęło się w samodzielny produkt dzięki 16 rozszerzeniom enterprise.
Porównanie: pięć portali enterprise AI
| Kryterium | LobeChat | OpenWebUI | LibreChat | chatbot-ui | very-ai |
|---|---|---|---|---|---|
| Licencja | Apache 2.0 | MIT | MIT | MIT | Apache 2.0 |
| Baza | Projekt własny | Projekt własny | Projekt własny | Projekt własny | Fork chatbot-ui |
| Agnostyczność modelu | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Ollama, LiteLLM | ✅ OpenAI, Anthropic, Google, Mistral | ✅ OpenAI, Anthropic, Google, Ollama | ✅ OpenAI, Anthropic, Google (Vertex AI), Ollama |
| SSO | ❌ Brak natywnego | OAuth 2.0 (brak natywnego Entra ID) | OAuth 2.0, OpenID Connect | ❌ Brak natywnego | ✅ Azure Entra ID natywnie z synchronizacją grup i uprawnień |
| Ochrona PII | ❌ | ❌ | ❌ | ❌ | ✅ Wykrywanie, anonimizacja i re-anonimizacja |
| PII na asystenta/model | - | - | - | - | ✅ Konfigurowalne na asystenta I na model |
| Asystenci grupowi | ❌ | Modele społecznościowe (ograniczone) | Udostępniane rozmowy | ❌ | ✅ Sterowane przez grupy Entra ID |
| Audit Trail | ❌ | Podstawowe logowanie | Podstawowe logowanie | ❌ | ✅ Kompletny, eksportowalny (CSV/JSON) |
| Statystyki RODO | ❌ | ❌ | ❌ | ❌ | ✅ Zanonimizowane statystyki użytkowania |
| Integracja Trigger.dev | ❌ | ❌ | ❌ | ❌ | ✅ Wyzwalanie workflow z czatu |
| Thinking Level | ❌ | ❌ | ❌ | ❌ | ✅ Extended Thinking / sterowanie reasoning |
| Wyszukiwanie Web/Maps | System pluginów | Wyszukiwanie web (RAG) | System pluginów | ❌ | ✅ Zintegrowane |
| Docker Self-Hosted | ✅ | ✅ | ✅ | ✅ | ✅ |
| GitHub Stars (lut 2026) | ~50k | ~60k | ~20k | ~28k | Nowy (premiera open source) |
| Zgodność z Radą Zakładową | ⚠️ Ograniczona (brak audytu, brak RBAC) | ⚠️ Podstawowe RBAC | ⚠️ Podstawowe RBAC | ❌ Brak governance | ✅ Audit Trail + RBAC + PII + Entra ID |
LobeChat
LobeChat to wizualnie atrakcyjny interfejs czatu z architekturą pluginów. Siła leży w użyciu konsumenckim i różnorodności pluginów. Dla enterprise brakuje solidnego RBAC, eksportowalnego Audit Trail i natywnej integracji agentów. Odpowiedni jako szybki prototyp lub dla małych zespołów, za ograniczony do wdrożenia w całej organizacji.
OpenWebUI
OpenWebUI to de facto standard dla konfiguracji self-hosted opartych na Ollama. Integracja z lokalnie działającymi modelami jest doskonała. SSO i podstawowe logowanie są dostępne. Czego brakuje: udostępniania asystentów, integracji agentów enterprise i centralnego zarządzania dla kilkuset użytkowników.
LibreChat
LibreChat to open-source-owy klon interfejsu ChatGPT z obsługą wielu modeli. SSO i podstawowe RBAC są zaimplementowane. Dla firm, które chcą odwzorować doświadczenie ChatGPT wewnętrznie, LibreChat to solidny punkt wyjścia. Ograniczenia leżą w integracji agentów i udostępnianiu asystentów.
very-ai - portal enterprise z ochroną PII i governance
very-ai to portal enterprise AI oparty na chatbot-ui (MIT), który dodaje 16 funkcji enterprise niedostępnych w żadnym z czterech pozostałych portali. Jest rozwijany przez Gosign GmbH i dostępny na licencji Apache 2.0 na GitHub.
Pochodzenie i wyróżnienie: chatbot-ui dostarcza solidny interfejs czatu, ale nie ma integracji SSO, Audit Trail ani ochrony PII. very-ai adresuje dokładnie te braki: baza kodu została rozszerzona o funkcje enterprise niezbędne do produkcyjnego użycia w regulowanych środowiskach. Atrybucja do projektu źródłowego jest udokumentowana w pliku NOTICES.
Wykrywanie i re-anonimizacja PII: Centralne wyróżnienie. very-ai rozpoznaje dane osobowe (imiona, adresy e-mail, numery telefonów, IBAN-y) w promptach użytkowników, zastępuje je symbolami zastępczymi ([PERSON_1], [EMAIL_1]), wysyła zanonimizowany tekst do modelu językowego i wstawia oryginalne dane z powrotem do odpowiedzi. Użytkownik widzi prawdziwe imiona, model językowy nigdy ich nie widział.
To zachowanie PII jest konfigurowalne na asystenta i na model: Asystent A może dopuszczać PII, Asystent B anonimizuje automatycznie. Model X otrzymuje zanonimizowane dane, Model Y (model hostowany lokalnie) otrzymuje dane surowe.
Azure Entra ID z synchronizacją grup: Nie tylko uwierzytelnianie, ale automatyczna synchronizacja grup i ról Entra ID. Pracownicy w grupie Entra ID “HR” automatycznie widzą asystentów HR. Pracownicy w “Finanse” widzą asystentów Finansów. Bez ręcznego przydzielania uprawnień w portalu. Gdy zmienia się przynależność do grupy w Entra ID, zmienia się dostęp w portalu przy następnym logowaniu.
Asystenci grupowi: Administratorzy tworzą asystentów i przypisują ich do grup Entra ID. Ci asystenci są widoczni i używalni tylko przez członków danej grupy. To umożliwia narzędzia AI specyficzne dla działu bez oddzielnego zarządzania uprawnieniami.
Audit Trail i statystyki RODO: Każda interakcja jest protokołowana: użytkownik, model, asystent, prompt, odpowiedź, znacznik czasu, zużycie tokenów, tryb PII. Audit Trail jest eksportowalny (CSV, JSON) i filtrowalny według okresu i użytkownika. Statystyki użytkowania są zanonimizowane zgodnie z RODO - pokazują użycie modeli i asystentów, ale nie dane identyfikujące użytkowników.
Integracja workflow Trigger.dev: Użytkownicy mogą z czatu wyzwalać workflow Trigger.dev. To łączy portal AI z warstwą automatyzacji.
Ograniczenia (uczciwie): very-ai to nowy projekt open source. Społeczność jest mała w porównaniu z LobeChat (50k gwiazdek) czy OpenWebUI (60k gwiazdek). Ekosystemy pluginów ustalonych portali są obszerniejsze. Kto szuka portalu z maksymalnym wsparciem społeczności i różnorodnością pluginów, będzie lepiej obsłużony przez LobeChat lub OpenWebUI. Kto potrzebuje ochrony PII, synchronizacji grup Entra ID i logowania zgodnego z wymogami Rady Zakładowej, znajdzie tę kombinację obecnie tylko w very-ai.
Demo na żywo: veryai.de
Który portal do jakiego zastosowania?
Maksymalna różnorodność modeli i ekosystem pluginów: LobeChat - największy system pluginów, najaktywniejsza społeczność, szeroka obsługa modeli. Idealny dla zespołów priorytetyzujących elastyczność i szybką innowację.
Najłatwiejszy start z Ollama: OpenWebUI - natywna integracja Ollama, szybka instalacja, intuicyjny interfejs. Idealny do lokalnego hostingu LLM i zespołów rozpoczynających od modeli open source.
Maksymalna konfigurowalność: LibreChat - najdokładniejsza kontrola nad endpointami i parametrami modeli. Idealny dla zespołów technicznych obsługujących wielu dostawców z różnymi konfiguracjami.
Enterprise governance z ochroną PII: very-ai - jedyna opcja z natywną anonimizacją PII, synchronizacją grup Entra ID i kompletnym Audit Trail. Idealny dla środowisk regulowanych, w których Rada Zakładowa, ochrona danych i compliance wymagają przejrzystości.
Projekt ewaluacyjny i rozwój: chatbot-ui - czysta baza kodu, dobry punkt wyjścia do własnych rozwinięć. Uwaga: chatbot-ui nie ma aktywnego rozwoju enterprise; very-ai jest wersją enterprise tej bazy kodu.
Większość firm ewaluuje 2-3 portale równolegle w kontenerach Docker - to możliwe w jedno popołudnie. Decydujące nie jest interface, lecz zdolność governance: SSO, Audit Trail, ochrona PII i zgodność z Radą Zakładową określają, który portal trafia do produkcji.
Dlaczego “tylko czat” nie wystarczy
Różnica między interfejsem czatu a portalem enterprise AI staje się widoczna w eksploatacji. Porównanie:
| Aspekt | Interfejs czatu | Portal enterprise AI |
|---|---|---|
| Użycie | Indywidualne pytanie-odpowiedź | Narzędzie ogólnoorganizacyjne |
| Wiedza | Każdy użytkownik zaczyna od zera | Asystenci skupiają wiedzę fachową |
| Kontrola | Użytkownik decyduje, co wpisuje | Routing i RBAC sterują przepływem danych |
| Przejrzystość | Brak lub ograniczona | Kompletny Audit Trail |
| Integracja | Samodzielny | Połączony z SSO, agentami, systemami dokumentów |
| Skalowanie | Na użytkownika | Na organizację |
| Ryzyko Shadow AI | Wysokie (niewystarczająca oferta wewnętrzna) | Niskie (lepsza oferta wewnętrzna) |
Centralne spostrzeżenie: Shadow AI nie powstaje dlatego, że pracownicy mają złe intencje. Powstaje dlatego, że oferta wewnętrzna jest gorsza od publicznej alternatywy. Gdy portal wewnętrzny jest tak intuicyjny jak ChatGPT, ale dodatkowo oferuje specjalistycznych asystentów, dostęp do dokumentów firmowych i workflow agentów, nie ma powodu, by sięgać po usługi zewnętrzne.
Praktyka: firma średniej wielkości z 2000 pracowników
Konkretny przykład pokazuje efekt. Firma produkcyjna z 2000 pracowników miała następującą sytuację wyjściową:
Przed portalem: Wewnętrzna ankieta wykazała, że 340 pracowników regularnie korzystało z publicznych usług AI do zadań służbowych. Z tego 180 z darmowymi kontami (bez umowy o powierzenie przetwarzania danych), 120 z prywatnymi kontami Pro (dane firmowe na prywatnych kontach) i 40 z kontami udostępnionymi przez firmę (ale bez Audit Trail czy kontroli dostępu). Dział IT nie miał wglądu w to, jakie dane trafiają do jakich systemów.
Wdrożenie portalu enterprise AI: W cztery tygodnie wdrożono very-ai - z podłączeniem do Azure AD jako SSO, trzema początkowymi asystentami (dział prawny, HR, zakupy) i endpointem gpt-oss-120b dla danych poufnych.
Po 90 dniach:
- 15 specjalistycznych asystentów stworzonych przez działy
- 1200 aktywnych użytkowników miesięcznie (z 2000 pracowników)
- Wykorzystanie Shadow AI spadło o 85% (ankieta kontrolna)
- Kompletny Audit Trail: 47 000 zaprotokołowanych interakcji
- Identyfikacja trzech procesów, dla których dedykowane workflow agentów miały sens
- Całkowite koszty (portal + hosting + API chmurowe): ok. 4800 EUR miesięcznie
Decydującym czynnikiem nie była technologia, lecz adopcja. Portal został przyjęty, bo był lepszy od alternatywy - nie dlatego, że został nakazany.
Pięć czynników sukcesu przy wdrażaniu
Z praktyki można wyprowadzić pięć czynników decydujących o sukcesie lub porażce portalu enterprise AI:
1. Pierwsze wrażenie się liczy. Jeśli portal wewnętrzny jest wolniejszy, bardziej uciążliwy lub mniej wydajny niż ChatGPT, pracownicy nie użyją go ponownie po pierwszej próbie. Jakość odpowiedzi musi od pierwszego dnia odpowiadać poziomowi publicznych usług.
2. Asystenci zamiast promptów. Większość pracowników nie jest inżynierami promptów. Chcą używać narzędzia, nie konfigurować go. Specjalistyczni asystenci przygotowani przez kolegów z branży znacząco obniżają próg wejścia.
3. Widoczna wartość dodana. Portal musi oferować coś, czego publiczne usługi nie potrafią: dostęp do wewnętrznych dokumentów (przez RAG), specjalistyczni asystenci do zadań specyficznych dla firmy, integracja z istniejącymi workflow.
4. Własność IT, nie kontrola IT. Dział IT obsługuje portal i ustala reguły governance. Ale działy tworzą swoich asystentów samodzielnie. Ten podział - infrastruktura centralnie, treści decentralnie - okazał się najskuteczniejszym modelem.
5. Mierzyć i komunikować. Liczby użytkowania, zaoszczędzony czas, zredukowane Shadow AI - te wskaźniki muszą być zbierane i komunikowane do zarządu. Bez mierzalnych wyników brakuje podstawy do następnego etapu rozwoju.
Następny krok: od portalu do agenta
Portal enterprise AI to fundament. Daje pracownikom dostęp do AI - kontrolowany i protokołowany. Następny krok to integracja agentów - wyspecjalizowanych workflow wykraczających poza proste interakcje pytanie-odpowiedź.
Dalsze lektury: Infrastruktura AI | Decision Layer i Shadow AI
very-ai to portal enterprise AI open source od Gosign. Dowiedz się więcej - lub porozmawiaj z nami, jaka konfiguracja pasuje do Twojej organizacji.
Umów spotkanie - Pokażemy Ci very-ai w demonstracji na żywo i omówimy Twój plan wdrożenia.
Bert Gogolin
Dyrektor Generalny, Gosign
AI Governance Briefing
Enterprise AI, regulacje i infrastruktura - raz w miesiącu, bezpośrednio ode mnie.