Yapay Zekâ (AI) > Microsoft Copilot güvenli mi?

Copilot güvenli mi?

Microsoft Copilot doğrudan Windows, Microsoft 365, Teams ve Edge'e gömülüdür — bu da verilerinize geniş bir erişim sağlar. Başka bir dosya paylaşmadan veya başka bir yazışma başlatmadan önce, bu verilerin nereye gittiğini ve gizliliğiniz için ne anlama geldiğini anlamalısınız.

Kısa cevap

Günlük görevler için Copilot'ı kullanmak genellikle güvenli olabilir. Ancak, Microsoft'un veri toplama uygulamaları ve belgelenmiş gizlilik riskleri nedeniyle, hassas konular için Copilot'ı kullanmaktan kaçınmalısınız.

Şunlar için uygun olabilir:

Gündelik ileti ve e-posta taslakları hazırlama
Herkese açık makaleleri özetleme
Genel fikirler üzerinde beyin fırtınası yapma
Hassas olmayan metinler oluşturma
Herkese açık içeriklerin son okumasını yapma
Genel metin belgelerini biçimlendirme ve yeniden yapılandırma
Genel kültür sorularını yanıtlama

Şunları asla yapıştırmayın:

Parolalar, API anahtarları veya kimlik doğrulama bilgileri
Kişisel veriler (adlar, e-postalar, kimlikler)
Gizli finansal veriler
Tıbbi kayıtlar veya sağlık bilgileri
Yasal belgeler, sözleşmeler veya imtiyazlı iletişimler
Tescilli ürün yol haritaları veya ticari sırlar
Çalışan veya İK verileri, maaş bilgileri

Copilot'ı kullanmak güvenli midir? Ayrıntılı döküm

Copilot'ın riskleri; ücretsiz tüketici sürümünü, bir Microsoft 365 kurumsal lisansını veya yerleşik Windows deneyimini kullanıp kullanmadığınıza bağlı olarak değişiklik gösterir. Before choosing any AI tools, including Copilot, ChatGPT, Gemini, Meta AI, ve DeepSeek, consider the security ve gizlilik risklerini göz önünde bulundurun.

Tablo
Risk	Olası etki	Neden önemlidir
Yapay zekâ modeli eğitimi için kullanılan veriler	Etkin bir şekilde devre dışı bırakmadığınız sürece, istemleriniz ve yazışmalarınız Microsoft'un yapay zeka modellerini eğitmek için kullanılabilir	Paylaştığınız hassas içerikler insanlar tarafından incelenebilir veya gelecekteki çıktılarda karşınıza çıkabilir
Verileri tutma ve süresiz depolama	Copilot etkileşimleri, bir veri tutma ilkesi olmaksızın süresiz olarak depolanabilir	Hassas veriler içeren eski istemler, elektronik keşif yoluyla yine de bulunabilir
Aşırı yetkilendirme	Copilot, klasörler ve Drive'lar dâhil olmak üzere erişim izniniz olan her şeye erişir	Gizli belgeler yanlışlıkla ifşa edilebilir
Sınır ötesi veri işleme (esnek yöneltme)	AB/EFTA kiracı verileri, yoğun talep dönemlerinde AB Veri Sınırının dışında işlenebilir	GDPR, DORA veya sektöre özel düzenlemelere tabi olan kuruluşlar, olası uyumluluk ihlalleriyle karşı karşıyadır
Veriler ABD yargı yetkisine tabidir.	ABD makamları, nereli olduğunuzdan veya verilerinizin nerede depolandığından bağımsız olarak verilerinize erişebilir	AB'de depolanan veriler bile ABD hükûmetinin taleplerine karşı otomatik olarak korunmaz
Hizmetler arası veri toplama	Copilot; varsayılan olarak Bing, MSN, Edge ve diğer Microsoft ürünlerinden veri çeker	Daha geniş bir etkinlik profili oluşturarak yeniden kimlik tespiti riskini artırır
İstem enjeksiyonu saldırıları	Belgelere gömülü kötü amaçlı yönergeler, Copilot'ın yanıtlarını ele geçirebilir	Saldırganlar, belgeler aracılığıyla çıktıları manipüle edebilir veya dahili verileri sızdırabilir

Kişisel gizlilik riskleri

İşte Copilot'ı her kullandığınızda neleri riske attığınız ve neden Microsoft Copilot'ın veri gizliliğinin çoğu insanın gösterdiğinden çok daha fazla incelenmeyi hak ettiği.

Yazışmalarınız Microsoft'un yapay zeka modellerini eğitebilir

Varsayılan olarak Copilot'ın tüketici sürümü, istemleriniz ve aldığınız yanıtlar dâhil olmak üzere yapay zekasını eğitmek için yazışmalarınızı kullanır.

Gizlilik ayarlarınızdan aktif olarak devre dışı bırakmayı seçmeniz gerekir ve öyle yapsanız bile, devre dışı bırakmadan önce paylaşılan veriler çoktan işlenmiş olabilir.

Yüklediğiniz fotoğraflar ve dosyalar 18 aya kadar depolanır

Copilot ile bir görsel veya belge paylaşırsanız, Microsoft'un kendi gizlilik SSS bölümü dosyanın otomatik olarak silinmeden önce 18 aya kadar güvenli bir şekilde depolandığını onaylamaktadır.

Copilot ile paylaştığınız her türlü hassas görsel, belge veya dosya Microsoft'un sunucularında barındırılır ve kontrolünüzün dışında kalır.

Nerede olursanız olun, verileriniz ABD yasalarına tabi olabilir

Microsoft bir ABD şirketi olduğundan CLOUD Yasası'na tabidir; bu da ABD makamlarının, orada yaşamıyor olsanız bile verilerinize potansiyel olarak (bazen bir arama iznine gerek duyulmaksızın) erişebileceği anlamına gelir.

Bu durum, Microsoft'un AB Veri Sınırı taahhüdü kapsamında olanlar da dahil olmak üzere, ABD dışındaki kullanıcılar için temel bir risk oluşturmaktadır.

Copilot, verilerinizi varsayılan olarak Microsoft ekosisteminden çeker

“Microsoft kullanım verileri”, Copilot deneyiminizi kişiselleştirmek için Bing, MSN, Microsoft Edge ve diğer Microsoft hizmetlerindeki verilerinize erişen ve varsayılan olarak etkinleştirilen bir ayardır.

ZDNet,(yeni pencere) bu hizmetler arası veri toplama işleminden açıkça vazgeçmeniz gerektiğini bildirmiştir. Sonuç, bilginiz veya onayınız olmadan etkinliğinizin, gezinme alışkanlıklarınızın ve etkileşimlerinizin giderek daha derinlemesine bir profilinin çıkarılmasıdır.

'Anonimleştirilmiş' verilerden yeniden kimlik tespiti riski

Microsoft; telefon numaralarını kaldırarak, yüzleri bulanıklaştırarak ve belirli tanımlayıcıları temizleyerek verileri model eğitimi için kullanmadan önce kimlik bilgilerinden arındırdığını belirtmektedir.

Ancak, sözde anonim olan bu veri kümeleri; zaman damgaları, aygıt özellikleri veya konum sinyalleri ile birleştirildiğinde yeniden kimliklendirilebilir.

Copilot; Windows, Microsoft 365, Bing ve Edge'i kapsayan hizmetler arası bir ekosisteme derinlemesine gömülü olduğundan, zaman içinde yeniden ilişkilendirilme riski giderek artmaktadır.

Microsoft daha önce kendi 'verileri tutmama' sözünden geri dönmüştü

Microsoft, başlangıçta kullanıcı komutlarını saklamadığı gerekçesiyle Copilot'u veri korumasıyla pazarlamıştı.

Ancak 2024 yılının sonlarında, uyumluluk ve denetim amaçlarıyla komutların tutulması özelliğini sunarak bu taahhüdünden geri döndü(yeni pencere). Buradan çıkarılacak sonuç mu?

Verilerinizi yöneten kurallar her an değişebilir ve kapalı kaynaklı bir üründe bunu ancak gerçekleştikten sonra öğrenebilirsiniz.

Kurumsal riskler

Kuruluşunuzun kurumsal lisansının verilerinizi güvende tuttuğunu düşünüyorsanız bir kez daha düşünün. Gerçek dünyadaki çeşitli olaylar, ödeme yapan kurumsal müşterilerin bile genellikle hiçbir uyarı olmaksızın Copilot'ın güvenlik açıklarına hazırlıksız yakalandığını göstermektedir.

Copilot, kısıtlanmış dosyalara erişim de dahil olmak üzere tüm kullanıcı izinlerini devralır

Microsoft 365'te bir Copilot aracısı çalıştırıyorsanız, kullanıcıya ait her şeye erişim yetkisi veriyorsunuz demektir; buna, hiçbir zaman geniş çapta erişilmesi amaçlanmayan hassas şirket içi dosyalar da dahildir.

Metomic tarafından yapılan araştırma(yeni pencere), kritik öneme sahip ticari dosyaların yüzde 15'inden fazlasının aşırı paylaşımdan kaynaklanan risk altında olduğunu ve hassas ticari verilerin yüzde 3'ünden fazlasının uygun kontroller olmaksızın kuruluş genelinde paylaşıldığını ortaya koymuştur.

Bir Copilot kullanıcısı hassas bilgilere erişebiliyorsa Copilot da aynı erişimi elde eder. Bu durum, Copilot'ın modellerini eğitmesi ve bu verileri çıktılarında sızdırması potansiyeli nedeniyle hassas bilgilerin açığa çıkmasına yol açabilir.

Esnek yöneltme, AB verilerini AB Veri Sınırının dışına gönderir

Nisan 2026'dan itibaren Microsoft, tüm AB ve EFTA kiracıları için varsayılan olarak esnek yöneltmeyi(yeni pencere) etkinleştiriyor.

Yoğun talep dönemlerinde Copilot komutları ve verileri, AB dışındaki (ABD veya Avustralya dahil) işleme altyapılarına yöneltilebilir; bu da GDPR, NIS2 veya DORA kapsamındaki kuruluşlar için uyumluluk sorunları anlamına gelebilir.

En önemlisi, esnek yöneltme isteğe bağlı katılım değil, varsayılan olarak devre dışı bırakma esasına dayanır.

Komut yerleştirme (prompt injection) saldırıları, e-postaları ve belgeleri bir silaha dönüştürebilir

İstem enjeksiyonları ile saldırganlar, e-postaların veya belgelerin içine gizli yönergeler gömebilir ve bu belgeler Copilot tarafından işlendiğinde yapay zekayı şirket içi verileri dışarı sızdırmaya yönlendirebilir.

EchoLeak güvenlik açığı(yeni pencere), saldırganların herhangi bir kullanıcı eylemi olmaksızın bir kullanıcının Microsoft 365 ortamından veri çalabilmesiyle bunu büyük ölçekte kanıtlamıştır.

Gizli verileriniz potansiyel olarak ifşa olabilir

2026 yılının başlarında Microsoft, bir yazılım hatasının Copilot'ın, kuruluşların hassas bilgileri korumak için güvendiği veri kaybı önleme ilkelerini aşarak kullanıcıların gizli e-postalarını okumasına ve özetlemesine izin verdiğini onaylamıştır.

Hata haftalarca etkin kaldı(yeni pencere) ve güvenlik uzmanları, bu durumun Microsoft'un kurumsal müşterilerine vaat ettiği "güven sınırı" konusunda temel bir zayıflığı nasıl gösterdiğine dikkat çekti: Copilot, şirketler bunu açıkça yapmaması için yapılandırmış olsa dahi korumalı e-postalara erişme potansiyeline sahiptir.

Şeffaflık eksikliği

Microsoft Copilot kapalı kaynaklı bir yazılımdır. Model mimarisi, eğitim verileri ve veri akış yolları bağımsız olarak incelenemez veya denetlenemez; bu da Microsoft'un güvencelerini olduğu gibi kabul etmenizin beklendiği anlamına gelir.

Veri işleme iddialarına yönelik bağımsız bir doğrulama bulunmamaktadır

Microsoft, Copilot'un verileri nasıl işlediğine dair belgeler yayınlamaktadır ancak hiçbir bağımsız araştırmacı, denetçi veya düzenleyici kurum bu iddiaları doğrulamak için gerçek kaynak kodunu inceleyemez. Gizlilik sertifikaları yararlı işaretlerdir ancak açık, bağımsız olarak denetlenebilir kaynak kodunun yerini tutamaz.

Kullanıcı onayı olmaksızın ilke değişiklikleri yapılabilir

Microsoft, verilerinizin işlenme şartlarını kontrol eder ve bunları daha önce de değiştirmiştir. 2024 yılındaki komut tutma kararından dönülmesi ve 2026 yılındaki hizmetler arası veri genişletmesi bunun iki örneğidir. Hassas işler için Copilot'a güvenen işletmeler, kontrol edemedikleri veya öngöremedikleri bir uyumluluk tabanına maruz kalmaktadır.

Copilot kullanırken nasıl güvende kalınır?

Yapay zeka araçlarından tamamen vazgeçmek zorunda değilsiniz ancak Copilot kullanmaya devam ediyorsanız bu adımlar maruz kaldığınız riskleri anlamlı ölçüde azaltacaktır.

İstemlerinizin Copilot'ın yapay zeka modellerini eğitmek için kullanılmasını devre dışı bırakın.

Hizmetler arası veri paylaşımını kapatın.

Fotoğraflar ve belgeler dahil olmak üzere her türlü kişisel veriyi yüklemekten kaçının.

Yapay zeka sohbetlerini, diğer kişiler tarafından görülebileceği varsayımıyla ele alın.

AB veya EFTA'daki işletmeler için esnek yöneltmeyi devre dışı bırakın.

İşletmeler için, Copilot erişimi vermeden önce klasör ve Drive izinlerini denetleyin.

Güvenli bir yapay zeka asistanına geçiş yapın

Lumo, güvenebilecekleri bir yapay zeka asistanı isteyen kişiler için tasarlanmıştır. Lumo sohbetlerinizle asla eğitilmez ve hiçbir günlük tutmaz; böylece verilerinizin tamamen güvenli kalması sağlanır. Buna Proton bile erişemez.

Lumo'yu şimdi deneyin Lumo for Business kullanın

Copilot'ın güvenliği hakkında sıkça sorulan sorular

Copilot gizli bilgiler için güvenli midir?: Hayır, Copilot gizli, hassas veya mevzuata tabi bilgiler için güvenli bir ortam değildir. Kişisel hesaplar için yapay zeka eğitimi varsayılan olarak açıktır, dosyalar üç yıla kadar depolanabilir ve Microsoft ile birlikte devlet kurumları gibi üçüncü taraflar kaydedilmiş yazışmalarınıza erişebilir.
Copilot uçtan uca şifrelenmiş midir?: Hayır, mevcut teknolojiyle uçtan uca şifreleme (E2EE) pratik değildir. Microsoft Copilot, verileri aktarım sırasında TLS/IPsec kullanarak ve bekleme sırasında AES-256 ile BitLocker kullanarak şifreler. Ancak gerçek uçtan uca şifreleme, içeriği hizmet sağlayıcının değil, yalnızca gönderici ve alıcının okuyabilmesi anlamına gelir.
Microsoft, hizmet sağlayıcı olarak şifre çözme anahtarlarını elinde tutar ve bu nedenle uyumluluk, denetim ve yasal saklama amaçlarıyla içeriğe erişebilir; bu da E2EE kullanmadığı anlamına gelir. Copilot ile Lumo arasındaki fark; Microsoft verilerinizi ve şifre çözme anahtarlarını tutarken, Lumo'nun hiçbir günlük tutmaması ve sohbet geçmişinizi korumak için sıfır erişimli şifreleme kullanmasıdır; böylece şifre çözme anahtarı yalnızca sizde bulunur.
Microsoft Copilot kullanmanın riskleri nelerdir?: Genel olarak Microsoft Copilot, verilerinizin tutulabilmesi ve Copilot'ın yapay zeka modellerini eğitmek için kullanılabilmesi nedeniyle çeşitli gizlilik ve güvenlik riskleri barındırır. Bu durum; sohbetlerinizin, yüklenen dosyalarınızın ve bağlı Drive'larınızın veya klasörlerinizin bilginiz veya onayınız olmadan üçüncü taraflarla paylaşılması veya açığa çıkması potansiyeli taşıdığı anlamına gelir.
Copilot'a asla söylememeniz gereken 5 şey nedir?: Parolalar, API anahtarları ve kimlik doğrulama bilgileri
İsimler, e-posta adresleri ve kimlik numaraları dahil olmak üzere kişisel kimlik verileri
Gelir tahminleri, maaş verileri veya henüz açıklanmamış mali sonuçlar gibi gizli finansal bilgiler
Kendinize veya başkasına ait olabilecek kişisel tıbbi ve sağlık bilgileri
Mesleki hukuki sır kapsamındaki veya bir davada ifşa edilmesini istemeyeceğiniz her şey
Copilot fotoğraflarınızı ve görsellerinizi saklar mı?: Evet. Microsoft'un kendi Gizlilik SSS bölümüne göre, Copilot ile paylaştığınız görseller ve dosyalar 18 aya kadar güvenli bir şekilde depolanır ve ardından otomatik olarak silinir. Dosya ve ilgili yazışma, model eğitim ayarlarınıza tabidir; yani devre dışı bırakmadıysanız, fotoğraf ve etrafındaki yazışma Microsoft'un yapay zekasını geliştirmek için kullanılabilir.
İşverenim Copilot yazışmalarımı görebilir mi?: Microsoft 365 Copilot'ı şirket tarafından yönetilen bir hesapta kullanıyorsanız, evet; işvereniniz ve şirket yöneticileriniz Copilot etkileşimlerinize erişme ve bunları inceleme olanağına sahiptir. Kurumsal yöneticiler; veri güvenliği, yönetimi ve uyumluluğu için birleştirilmiş platformu olan Microsoft Purview'da depolanan Copilot verilerine eDiscovery ve yasal saklama ilkeleri uygulayabilir. İş hesabınızdaki Copilot kullanımını, BT ve uyum ekipleriniz tarafından görülebilirmiş gibi değerlendirin.
Microsoft 365 Copilot, tüketici sürümünden daha mı güvenlidir?: Bazı açılardan, evet. Kurumsal veriler Microsoft'un temel yapay zeka modellerini eğitmek için kullanılmaz, kiracı düzeyinde yalıtım kuruluşlar arası veri sızıntısını önler ve kuruluşlar, Microsoft'un veri yönetimi ve uyumluluğu için birleşik platformu olan Purview aracılığıyla yönetim ilkelerini yapılandırabilir. Bununla birlikte, kurumsal kullanıcılar; aşırı yetkilendirilmiş erişim, esnek yöneltme (AB'deki müşteriler için), komut istemi enjeksiyonu saldırıları ve yapay zeka etkileşim günlüklerinin keşfedilebilir doğası ile ilgili risklerle hâlâ karşı karşıyadır. Her iki sürüm de verilerin gerçekten gizli kalacağını garanti etmemektedir.