yapay zeka

ChatGPT, Gemini ve diğer yapay zekalar nasıl güvenle kullanılır

Yapay zeka araçları, işletim sistemleri ve ofis paketlerinden görüntü düzenleyicilere ve sohbetlere kadar her yerde karşımıza çıkıyor. ChatGPT, Gemini ve bunların birçok eklentisini dijital güvenliğinizi tehlikeye atmadan nasıl kullanabilirsiniz?

Stan Kaminsky
Şubat 21, 2024

Yapay zeka uygulamaları, hizmetleri ve eklentilerinde geçen yıl yaşanan hızlı büyüme daha da ivme kazanacak gibi görünüyor. Ofis uygulamaları ve görüntü editörlerinden Visual Studio gibi entegre geliştirme ortamlarına (IDE’ler) kadar yapay zeka dünyasının tanıdık ve uzun süredir kullanılan araçlarına yenileri ekleniyor. Geliştiricilerin birçoğu, en büyük yapay zeka modellerinden yararlanan binlerce yeni uygulama yaratıyor. Bununla birlikte, bu yarışta hiç kimse, bırakın fütüristik bir “şeytani yapay zekaya” karşı makul önlemler geliştirmeyi, gizli veri sızıntılarının en aza indirilmesi ve çeşitli yapay zeka araçları aracılığıyla hesap/cihaz hackleme gibi doğal güvenlik sorunlarını bile henüz çözebilmiş değil. Yapay zeka asistanlarının kullanıcılarını korumak için birileri hazır bir çözüm bulana kadar, birkaç beceri edinmeniz ve kendi başınızın çaresine bakmanız gerekiyor.

Peki, yapay zeka sonradan pişman olunmayacak şekilde nasıl kullanılır?

Önemli verileri filtreleyin

ChatGPT’nin geliştiricisi OpenAI’nin gizlilik politikası, sohbet robotu ile yapılan tüm diyalogların kaydedildiğini ve çeşitli amaçlar için kullanılabileceğini açıkça belirtmektedir. Bunlardan ilki, birilerinin aklına uygunsuz içerik üretme fikri gelmesi durumunda teknik sorunları çözmek ve hizmet şartı ihlallerini önlemektir. Kimin aklına gelirdi, değil mi? Böyle bir durumda, sohbetler bir insan tarafından bile incelenebilir. İkincisi, veriler yeni GPT sürümlerini eğitmek ve diğer ürün “iyileştirmelerini” yapmak için kullanılabilir.

Google’ın Gemini’ı, Anthropic’in Claude’u veya Microsoft’un Bing ve Copilot’u gibi diğer popüler dil modellerinin çoğu benzer politikalara sahiptir: hepsi diyalogları bütünüyle kaydedebilir.

Bununla birlikte, yazılım hataları nedeniyle kullanıcıların kendi konuşmaları yerine başkalarının konuşmalarını görmesiyle ortaya çıkan sohbet sızıntıları çoktan meydana geldi. Bu verilerin eğitim için kullanılması, önceden eğitilmiş bir modelden veri sızıntısına da yol açabilir: Yapay zeka asistanı, yanıtla ilgili olduğuna inanırsa bilgilerinizi birine verebilir. Bilgi güvenliği uzmanları, diyalogları çalmayı amaçlayan birden fazla saldırı (bir, iki, üç) bile tasarladılar ve bununla yetinmeleri pek olası değil.

Unutmayın: Bir sohbet robotuna yazdığınız her şey size karşı kullanılabilir. Yapay zeka ile konuşurken önlem almanızı öneririz.

Bir sohbet robotuna herhangi bir kişisel veri göndermeyin. Size, şirketinize veya müşterilerinize ait hiçbir parola, pasaport veya banka kartı numarası, adres, telefon numarası, isim veya diğer kişisel veriler bir yapay zeka ile yapılan sohbetlerde yer almamalıdır. Talebinizde bunları yıldız işaretleri veya “SANSÜRLENDİ” ile değiştirebilirsiniz.

Hiçbir belge yüklemeyin. Çok sayıda uzantı ve eklenti, belge işleme için sohbet robotlarını kullanmanıza olanak tanır. Örneğin, bir yönetici özeti almak için bir çalışma belgesi yüklemek cazip gelebilir. Ancak, çok sayfalı bir belgeyi dikkatsizce yükleyerek gizli verileri, fikri mülkiyeti veya yeni bir ürünün çıkış tarihi ya da tüm ekibin maaş bordrosu gibi ticari bir sırrı sızdırma riskini almış olursunuz. Daha da kötüsü, harici kaynaklardan alınan belgeleri işlerken, belgenin bir dil modeli tarafından taranmasına dayanan bir saldırının hedefi olabilirsiniz.

Gizlilik ayarlarını kullanın. Büyük dil modeli (LLM) sağlayıcınızın gizlilik politikasını ve mevcut ayarlarını dikkatlice inceleyin: bu ayarlar normalde izlemeyi en aza indirmek için kullanılabilir. Örneğin, OpenAI ürünleri sohbet geçmişinin kaydedilmesini devre dışı bırakmanıza izin verir. Bu durumda, veriler 30 gün sonra kaldırılacak ve asla eğitim için kullanılmayacaktır. OpenAI çözümlerine erişmek için API, üçüncü taraf uygulamalar veya hizmetler kullananlar bu ayarı varsayılan olarak etkinleştirir.

Kod mu gönderiyorsunuz? Gizli verileri temizleyin. Bu ipucu, kodlarını gözden geçirmek ve iyileştirmek için yapay zeka asistanları kullanan yazılım mühendisleri için geçerlidir: API anahtarlarını, sunucu adreslerini veya uygulamanın yapısını veya sunucu yapılandırmasını ele verebilecek herhangi bir bilgiyi kaldırın.

Üçüncü taraf uygulamaların ve eklentilerin kullanımını sınırlayın

Hangi popüler yapay zeka asistanını kullanıyor olursanız olun, yukarıdaki ipuçlarını her kullanımınızda uygulayın. Ancak bu bile mahremiyeti sağlamak için yeterli olmayabilir. ChatGPT eklentilerinin, Gemini uzantılarının veya ayrı eklenti uygulamalarının kullanılması yeni tehdit türlerinin ortaya çıkmasına neden oldu.

İlk olarak, sohbet geçmişiniz artık yalnızca Google veya OpenAI sunucularında değil, aynı zamanda eklentiyi veya uzantıyı destekleyen üçüncü tarafa ait sunucularda ve bilgisayarınızın veya akıllı telefonunuzun beklenmedik köşelerinde de saklanabilir.

İkincisi, çoğu eklenti harici kaynaklardan bilgi alır: web aramaları, Gmail gelen kutunuz veya Notion, Jupyter veya Evernote gibi hizmetlerden alınan kişisel notlar. Sonuç olarak, bu hizmetlerden elde ettiğiniz veriler, eklentinin veya dil modelinin kendisinin çalıştığı sunucularda da bulunabilecektir. Bunun gibi bir entegrasyon önemli riskler taşıyabilir: örneğin, kullanıcının adına yeni GitHub depoları oluşturan bu saldırıyı düşünün.

Üçüncüsü, yapay zeka asistanları için eklentilerin yayınlanması ve doğrulanması şu anda App Store veya Google Play’de uygulama taramasından çok daha az düzenli bir süreçtir. Bu nedenle, kötü çalışan, kötü yazılmış, hatalı ve hatta kötü niyetli bir eklentiyle karşılaşma olasılığınız oldukça yüksektir – daha da kötüsü, hiç kimse bunaların yaratıcıları veya bağlantılarını gerçekten kontrol etmiyor gibi görünüyor.

Bu riskleri nasıl azaltabilirsiniz? Buradaki kilit ipucumuz biraz zaman tanımaktır. Eklenti ekosistemi çok genç, yayın ve destek süreçleri yeterince düzgün değil ve içerik oluşturucuların kendileri de eklentileri düzgün bir şekilde tasarlamaya veya bilgi güvenliği gerekliliklerine uymaya her zaman özen göstermiyor. Tüm bu ekosistemin olgunlaşması, daha güvenli ve güvenilir hale gelmesi için biraz daha zamana ihtiyaç var.

Ayrıca, birçok eklenti ve eklentinin mevcut ChatGPT sürümüne kattığı değer asgari düzeydedir: küçük kullanıcı arayüzü ince ayarları ve asistanı belirli bir görev için özelleştiren “sistem istemi” şablonları (“Bir lise fizik öğretmeni gibi davran…”). Verilerinizi bu paketleyicilere emanet etmeye kesinlikle değmez, çünkü onlar olmadan da bu tür görevleri gayet iyi bir şekilde yerine getirebilirsiniz.

Belirli eklenti özelliklerine hemen şimdi ve burada ihtiyacınız varsa, bunları kullanmadan önce alınabilecek maksimum önlemleri almaya çalışın.

En az birkaç aydır kullanımda olan ve düzenli olarak güncellenen uzantıları ve eklentileri seçin.
Yalnızca çok sayıda indirilen eklentileri değerlendirmeye alın ve herhangi bir sorun olup olmadığını öğrenmek için yorumları dikkatlice okuyun.
Eklenti bir gizlilik politikası ile birlikte geliyorsa, uzantıyı kullanmaya başlamadan önce bunu dikkatlice okuyun.
Açık kaynaklı araçları tercih edin.
Temel kodlama becerileriniz – ya da yazılımcı arkadaşlarınız – varsa, yalnızca beyan edilen sunuculara ve ideal olarak yalnızca yapay zeka model sunucularına veri gönderdiğinden emin olmak için kodu gözden geçirin.

Yürütme eklentileri özel izleme gerektirir

Şimdiye kadar veri sızıntılarıyla ilgili riskleri tartıştık; ancak yapay zeka kullanırken karşılaşılabilecek tek potansiyel sorun bu değildir. Birçok eklenti, uçak bileti siparişi vermek gibi kullanıcının komutuyla belirli eylemleri gerçekleştirebilir. Bu araçlar kötü niyetli kişilere yeni bir saldırı vektörü sunar: kurbana, ana içeriğe ek olarak dil modeli için gizli talimatlar içeren bir belge, web sayfası, video ve hatta bir görüntü sunulur. Kurban belgeyi veya bağlantıyı bir sohbet robotuna gönderirse, sohbet robotu kötü niyetli talimatları yerine getirecektir – örneğin, kurbanın parasıyla bilet satın almak gibi. Bu saldırı türüne giriş yönlendirmesi enjeksiyonu adı verilir ve çeşitli LLM’lerin geliştiricileri bu tehdide karşı bir koruma geliştirmeye çalışsa da, henüz kimse bunu başaramadı ve belki de asla başaramayacak.

Neyse ki, çoğu önemli işlem – özellikle bilet satın alma gibi ödeme işlemlerini içerenler – çift onay gerektirir. Ancak, dil modelleri ve eklentiler arasındaki etkileşimler o kadar büyük bir saldırı yüzeyi oluşturur ki, bu önlemlerden tutarlı sonuçlar elde etmeyi garanti etmek zordur.

Bu nedenle, yapay zeka araçlarını seçerken çok dikkatli olmanız ve işlemek için yalnızca güvenilir verileri aldıklarından emin olmanız gerekir.

Giriş kodları içeren istenmeyen mesajlar aldığınızda ne yapmalısınız?

Tek kullanımlık kodlar ve iki faktörlü kimlik doğrulama sizi hesap hırsızlığına karşı güvenli bir şekilde korur. Giriş yapmadığınız halde böyle bir kod veya kod girme isteği alırsanız, bu hesabınızı ele geçirmeye yönelik bir girişim olabilir.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

ChatGPT, Gemini ve diğer yapay zekalar nasıl güvenle kullanılır

Önemli verileri filtreleyin

Üçüncü taraf uygulamaların ve eklentilerin kullanımını sınırlayın

Yürütme eklentileri özel izleme gerektirir

Bilgisayarınıza bir yapay zeka asistanı nasıl yüklenir ve kullanılır

Yapay zekaya nasıl yaklaşmamız gerektiği hakkında

Giriş kodları içeren istenmeyen mesajlar aldığınızda ne yapmalısınız?

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog