Yapay zeka asistanları, çoğu işletmenin eksikliğini duyduğu şeyi vaat ediyor: Herhangi bir ek maliyet olmaksızın verimlilik.
E-postalarınızı özetleyebilir, adınıza yanıt verebilir, hangi iletilerin karar gerektirdiğini belirleyebilir, takvim etkinliklerini otomatikleştirebilir, belgelerinizden bilgi çıkarabilir ve hatta bunları düzenleyebilirler.
İhtiyaçların kaynakları aştığı küçük veya orta ölçekli bir işletmedeki bir kurucu veya yönetici için bu durum, tam zamanında gerçekleşen bir dilek gibi hissettirebilir. Sizden tek istediği ise kesinlikle her şeydir: gelen kutunuza, takviminize, dosyalarınıza ve hatta gizli ticari bilgilerinize erişim.
Firmaların yüzde 69 gibi büyük bir oranı hâlihazırda ChatGPT, Claude ve Grammarly gibi yapay zeka asistanlarını kullanıyor; ancak yüzde 30’u kararsız veya özel ticari verilerini koruma konusunda yapay zeka şirketlerine güvenmiyor.
Bu ödünleşim ilk başta bariz görünmez. Ancak KOBİ’lerin verimlilik karşılığında elde ettikleri şeyin bedeli güvenlikten ödenir.
Verimliliğin bedeli
Gmail, Google Drive veya takviminizi Perplexity’nin Comet’i gibi bir araca bağladığınızda, ona genellikle ‘görüntüleme’ erişiminin ötesinde OAuth izinleri vermiş olursunuz. Talep edilen kapsamlara bağlı olarak araç; kişileri indirebilir, tüm takviminizi kontrol edebilir ve hatta adınıza e-postalar yazabilir.
Bu izinler teknik olarak yetkilendirme akışı sırasında açıklanır, ancak çoğu kullanıcı bunların pratikte ne anlama geldiğini tam olarak değerlendirmez. İzin verildikten sonra araç, hassas şirket verilerine geniş ölçekte erişebilir ve bunları işleyebilir.
Aynı durum diğer yapay zeka destekli iş akışları için de geçerlidir. Dahili bilgi bankalarının dizine eklenmesi, tescilli belgelerin özetlenmesi veya şirket verilerinin bağlamlaştırılması gibi işlemlerin tümü maruz kalma riskinizi artırır.
Hangi erişimleri verdiğinizi bilmediğinizde, ortaya çıkardığınız riski doğru bir şekilde değerlendiremezsiniz.
Yapay zeka asistanları ve tarayıcıları ne kadarını görebilir
Perplexity’nin Comet’i veya ChatGPT’nin Atlas(yeni pencere)‘ı gibi yapay zeka tarayıcılarının üzerinde bulunduğunuz sayfayı okuyabildiğini, özetleyebildiğini ve metni yeniden yazabildiğini biliyorsunuz. Peki adınıza hareket edebildiklerini biliyor muydunuz?
Verimlilik derin bir entegrasyona bağlı olduğundan, asistanın gezinme etkinliğinizi görebilmesi gerekir ve bağlı hesaplara erişim talep edebilir. Bazı durumlarda sadece metin oluşturmakla kalmayıp eylemleri de tetikleyebilir.
Bu, daha geniş anlamda yapay zeka temsilcilerinin mimarisidir. Bağlı sistemler arasında hareket etmek üzere tasarlanmışlardır. Güvenliği ihlal edilmiş veya manipüle edilmiş tek bir temsilci sırasıyla e-postanız, takviminiz, dosyalarınız ve kimlik doğrulama bilgileriniz üzerinde işlem yapabilir.
Bu, söz konusu araçların yapılış şeklinin bir sonucudur. Araştırmacıların istismar etmenin yollarını şimdiden bulmaya başladığı bir açık yüzeyi oluşturur.
Güvenlik araştırmacıları, web içeriğine gömülü gizli talimatların bu sistemleri nasıl istenmeyen şekillerde manipüle edebileceğini zaten gösterdiler.
Yakın zamanda keşfedilen ve “CometJacking(yeni pencere)” adı verilen bir istismar yöntemi, URL’lere gömülü talimatların, yapay zekayı kullanıcının bilgisi olmadan kişisel veya şirket verilerine erişmeye veya zararlı eylemler gerçekleştirmeye nasıl yönlendirebileceğini gösterdi.
Sağlayıcılar yamalar ve güvenlik önlemleriyle hızlıca yanıt verirler. Bu durumda Perplexity, dört katmanlı bir koruma yaklaşımıyla yanıt verdi. Ancak bu durum daha temel bir şeye işaret ediyor: Bu araçlar, yorumlamak ve harekete geçmek üzere tasarlanmıştır.
Even Perplexity states in their Privacy Policy(yeni pencere): “No security measures are impenetrable, and we cannot guarantee ‘perfect security’”. The question isn’t whether a tool is secure now. It’s whether you’re comfortable with how much access it requires.
Gizlilik sorumluluğunun kime ait olduğu
Yapay zeka sağlayıcıları gizlilik kontrollerini ve devre dışı bırakma seçeneklerini vurgulamaktadır. Örneğin Perplexity’nin Comet Assistant aracı, kullanıcılara “Comet Assistant kontrolü size veriyor” güvencesini sunar.
Ancak bu kontroller yanlış bir varsayımda bulunur: Kullanıcıların verilerinin nasıl işlendiğini anladığı, ilgili ayarları aktif olarak yapılandırdığı ve ilkelerin zaman içinde nasıl değiştiğini izlediği varsayılır.
Pratikte çoğu bunu yapmaz. Proton’un 2026 KOBİ Siber Güvenlik Raporu‘na göre, KOBİ’lerin yüzde 43’ü sağlayıcı gizliliğini bağımsız olarak doğrulayamadıklarını belirtiyor ve yüzde 35’i sağlayıcıların verilerini nasıl ele aldığını hiç anlamıyor.
Bazı bilgiler model eğitiminin dışında tutulabilir. Diğer veriler ise kişiselleştirmeyi geliştirmek için saklanabilir. İlkeler özelliklere göre farklılık gösterebilir ve ürünler geliştikçe değişebilir. Belirli işlevlerin kapatılması, aracı en başta cazip kılan yeteneklerin kendisini sınırlayabilir.
Böyle bir ortamda gizlilik artık statik bir ürün vaadi olmaktan çıkar. Süreğen bir operasyonel sorumluluk haline gelir.
Yükümlülük size, yani kullanıcıya geçer. Hangi verilerin paylaşılabileceğine karar vermeli, ilke güncellemelerini takip etmeli, ayarları uygun şekilde yapılandırmalı ve ürün geliştikçe riskleri yeniden değerlendirmelisiniz.
Bu sayfa, yapay zeka gizliliği ve güvenliği(yeni pencere) hakkında pratik kılavuzları ve açıklayıcı bilgileri bir araya getirmektedir; böylece neyle karşı karşıya olduğunuzu tam olarak bilirsiniz.
Güvenli bir yapay zeka asistanının veya yapay zeka destekli tarayıcının özellikleri
Ekibiniz, her etkileşimin kaydedilip depolanacağı, profilleneceği veya modelin bir sonraki sürümünü eğitmek için kullanılacağı endişesi taşımadan bir yapay zeka asistanını kullanabilmelidir.
- Veri günlüğü tutulmaz. Varsayılan olarak. Ekibiniz, her etkileşimin kaydedilip depolanacağı, profilleneceği veya paraya dönüştürüleceği endişesi taşımadan bir yapay zeka asistanını veya temsilcisini kullanabilmelidir. Bir araç “bellek” veya “tercihler” oluşturuyorsa şu soruları sormalısınız: Bu verileri kim kontrol ediyor? Gerçekten varsayılan olarak kapalı mı, yoksa ayarlara mı gömülmüş? Ve bunu kapatırsam, hangi ürün yeteneklerini kaybederim?
- İşletme bilgileriniz üzerinde model eğitimi yapılmaz. İş belgeleri, ortakların bilgileri, raporlar veya planlar asla yapay zeka modeli eğitimi için kullanılmamalıdır. Bu sadece bir adalet sorunu değil, aynı zamanda kontrol edemediğiniz olaylarda verilerin yeniden ortaya çıkabileceği bir güvenlik meselesidir.
- Gerçek şeffaflık. Şeffaflık güven oluşturur, ancak yalnızca gerçek olduğunda. Bu; verilerinizin nasıl işlendiğini ve ürüne hangi ilkelerin yön verdiğini her adımda anlayabilmeniz gerektiği anlamına gelir. Araçla ilgili gerçek deneyiminizle çelişen Hizmet Şartları’nı işlemek için iki saat harcamanız gerekiyorsa bu şeffaflık değildir. Sadece bir slogandır.
- Sıfır erişimli şifreleme. Sıfır erişimli şifreleme ile verileriniz yalnızca sizin kontrol ettiğiniz anahtarlarla korunur; sağlayıcı bile bunları okuyamaz. Bu durum, ilkelere veya vaatlere güvenme ihtiyacını ortadan kaldırır çünkü mimari, kötüye kullanımı teknik olarak imkansız hale getirir.
Çoğu yapay zeka aracı, kendilerini kullanan işletmelerden değer elde eder. Yazışmalarınız, belgeleriniz ve dosyalarınız; genellikle anlamlı bir açıklama veya rıza olmaksızın model eğitimini, kitle profillemeyi ve bazı durumlarda devlet veri taleplerini besler. Lumo ise böyle değildir.
Lumo, kolaylık uğruna verilerini teslim etmeyi reddeden işletmeler için tasarlanmış yapay zeka asistanıdır. Sıfır erişimli şifreleme, veri günlüğü tutulmaması ve işletme bilgileriniz üzerinde model eğitimi yapılmaması gibi özellikler sunar.
