Her İki Yaklaşımın Çözdüğü Sorun
Çalışanların yüzde 77'si artık ChatGPT, Claude, Gemini ve DeepSeek gibi yapay zekâ sohbet robotlarına hassas iş verileri yapıştırmaktadır (LayerX 2025 Kurumsal GenAI Güvenlik Raporu). 100 kişilik bir destek ekibinde bu durum, günde yüzlerce GDPR maruziyeti olayına dönüşmektedir. Söz konusu veriler; müşteri kayıtları, kaynak kod, finansal projeksiyonlar, hasta notları ve hukuki belgelerden oluşmaktadır.
E-posta ve USB sürücüler için tasarlanan geleneksel kurumsal DLP, tarayıcı tabanlı yapay zekâ istemlerini engelleyememektedir. Her iki araç türü de bu boşluğu doldurmak için ortaya çıkmıştır; ancak birbirine zıt felsefelerle aynı sorunu çözmektedirler.
Yaklaşım 1: Engelleme
Engelleyici bir tarayıcı DLP aracı, yapay zekâ araçlarına yapılan girdileri izler ve hassas veri tespit edildiğinde gönderimi durdurur. Veri, tarayıcıyı terk etmez.
Pratikte nasıl çalışır: Bir çalışan ChatGPT'ye müşteri adı ve destek bileti numarası girer. Engelleyici araç KKB'yi tespit eder, gönderimi durdurur ve bir uyarı gösterir ya da işlemi tamamen engeller. Çalışanın gönderme iznine kavuşabilmesi için hassas verileri manuel olarak kaldırması gerekir.
Nightfall'ın tarayıcı güvenlik ürününün yaptıkları: Nightfall (basın açıklaması, Mart 2026), proxy veya SSL incelemesi gerektirmeksizin Chrome, Edge, Firefox ve Safari genelinde dosya yüklemelerini, pano yapıştırmalarını, form gönderimlerini ve ekran görüntülerini engelleyen yerel bir tarayıcı güvenlik çözümü piyasaya sürdü. Araç, hassas veri içeren gönderimler iletilmeden önce engellemekte; SaaS uygulamalarını (Slack, GitHub, Google Drive, Salesforce, Zendesk, Microsoft 365) ve uç nokta etkinliğini (USB, yazdırma, pano, Git/CLI) da kapsamaktadır.
Engellemenin güçlü yönleri:
- Sıfır veri iletimi — hassas veri tarayıcıyı hiç terk etmez
- Aracın sınıflandırabildiği tüm içerik türlerine uygulanabilir
- Uyumluluk raporlamasıyla birleştirildiğinde politika uygulaması işlevi görür
- Çok kanallı: tek platformda tarayıcı + SaaS + uç nokta kapsamı
Engellemenin sınırlılıkları:
- İş akışını sekteye uğratır — çalışanın devam edebilmek için hassas içeriği manuel olarak yeniden yazması veya kaldırması gerekir
- Gölge yapay zekâya zemin hazırlar: engellenen çalışanlar, aracın erişemediği kişisel ve izlenmeyen cihazlara geçer. LayerX 2025, kurumsal yapay zekâ erişiminin yüzde 71,6'sının zaten kurumsal olmayan hesaplardan geldiğini raporlamaktadır
- Anonimleştirme geri dönüşü yok: veri meşru kanallar aracılığıyla yapay zekâya ulaştığında bunu kurtarmanın veya denetlemenin bir yolu yoktur
- Yönetilen cihazlara BT dağıtımı gerektirdiğinden kişisel cihazlar veya yönetilmeyen uç noktalar kapsanmaz
- Kurumsal fiyatlandırma (satış ekibiyle iletişim gerekli)
Yaklaşım 2: Anonimleştirme
Bir anonimleştirme aracı, tarayıcı girdisindeki KKB'yi tespit eder ve gönderi yapılmadan önce tokenlarla değiştirir. Yapay zekâ, istemi anonimleştirilmiş veriyle alır; kullanıcı ise orijinal değerleri görür.
Pratikte nasıl çalışır: Bir çalışan ChatGPT'ye müşteri adı ve destek bileti numarası girer. Anonimleştirme aracı "Maria Schmidt"i tespit eder ve istem gönderilmeden önce "[KİŞİ_1]" ile değiştirir. ChatGPT'nin yanıtında "[KİŞİ_1]" ifadesi geçmektedir. Araç daha sonra yanıtı yeniden kişiselleştirir — çalışan yapay zekânın yanıtında "Maria Schmidt" adını görür. İş akışı kesintisiz devam eder.
anonym.legal Chrome Uzantısı'nın yaptıkları: Chrome Uzantısı, desteklenen yapay zekâ platformlarında (ChatGPT, Claude, Gemini, DeepSeek, Perplexity) Manifest V3 içerik betiği olarak çalışır. Kullanıcı bir istem gönderdiğinde uzantı metni yakalar, anonym.legal'ın AB barındırmalı analiz API'sine (Hetzner, Almanya) gönderir, spaCy, Stanza ve XLM-RoBERTa kullanan hibrit regex + NLP motoru aracılığıyla 48 dilde 285'ten fazla varlık türünü tespit eder ve yapay zekâ sağlayıcısı istemi almadan önce KKB'yi tokenlarla değiştirir. Geri alınabilir şifreleme seçeneği (AES-256-GCM), yapay zekanın yanıtından orijinal değerlerin geri yüklenmesine olanak tanır.
Anonimleştirmenin güçlü yönleri:
- İş akışı kesintisiz devam eder — çalışanlar yapay zekâ araçlarını normal şekilde kullanmaya devam eder
- Engelleme araçlarının dağıtılamadığı kişisel, yönetilmeyen cihazlarda çalışır
- Geri alınabilir şifreleme: orijinal değerler geri yüklenerek yapay zekâ yanıtları yeniden kişiselleştirilebilir
- Çalışanlara şeffaftır — göndermeden önce tam olarak neyin anonimleştirildiğini görürler
- GDPR Gerekçe 26: doğru biçimde anonimleştirilen veriler GDPR kapsamı dışına çıkarılabilir ve süregelen veri transferi yükümlülükleri ortadan kalkar
- BT dağıtımı gerektirmez — Chrome Web Mağazası'ndan yükleyin, MDM gerekmez
Anonimleştirmenin sınırlılıkları:
- Tespit doğruluğuna bağımlıdır — tespit edilemeyen bir KKB türü kontrol edilmeksizin iletilir
- Şu an yalnızca Chrome desteği mevcut (Firefox, Edge, Safari yol haritasında)
- SaaS uygulamalarını, uç nokta etkinliğini veya e-postayı kapsamaz
- Anonimleştirme kalitesi yapay zekâ çıktısı kalitesini etkiler — yoğun biçimde anonimleştirilmiş istemler daha az kullanışlı yapay zekâ yanıtları üretir
Doğrudan Karşılaştırma
| Boyut | Engelleme (Nightfall) | Anonimleştirme (anonym.legal) |
|---|---|---|
| Veri işleme | İletimi önler | Göndermeden önce dönüştürür |
| İş akışına etkisi | Sekteye uğratır — çalışan yeniden yazmalıdır | Kesintisiz — yapay zekâ temizlenmiş veriyi alır |
| Yönetilmeyen cihazlarda çalışır | Hayır | Evet |
| Tarayıcı kapsamı | Chrome, Edge, Firefox, Safari + yapay zekâ tarayıcıları | Chrome (v1.1.37) |
| SaaS izleme | Slack, GitHub, Drive, Salesforce, Zendesk, M365 | Hayır |
| Uç nokta kapsamı | USB, yazdırma, pano, Git/CLI | Hayır |
| Yanıt yeniden kişiselleştirme | Hayır | Evet (geri alınabilir şifreleme) |
| Yönetici/BT dağıtımı gerekli | Evet | Hayır (Chrome Web Mağazası) |
| Başlangıç fiyatı | Kurumsal (satış ekibiyle iletişim) | €0 ücretsiz katman, €3/ay |
| Veri konumu | ABD | AB (Almanya, Hetzner) |
| Sıfır bilgi kimlik doğrulama | Hayır | Evet (Argon2id + HKDF) |
| MCP sunucusu (yapay zekâ araçları) | Hayır | Evet |
| Varlık türleri | Yayımlanmamış | 285+ |
| Diller | Yayımlanmamış | 48 |
Hangi Yaklaşım Hangi Kullanım Durumuna Uygun
Engellemeyi seçin:
- Tüm yönetilen cihaz ve tarayıcılarda kuruluş genelinde politika uygulamasına ihtiyaç duyduğunuzda
- SaaS uygulamaları (Slack, GitHub, Google Drive) ve tarayıcı girdilerini tek platformda birleşik DLP ile yönetmek istediğinizde
- Kurumsal denetim gereksinimleri için uyumluluk raporlaması ve otomatik düzeltmeye ihtiyaç duyduğunuzda
- Birincil endişeniz, iş akışı sekteye uğrasa bile hassas verilerin yapay zekâ araçlarına ulaşmasını tamamen önlemekse
Anonimleştirmeyi seçin:
- Çalışanların iş akışı kesintisi yaşamadan yapay zekâ araçlarını üretken biçimde kullanmaya devam etmesi gerektiğinde
- Kişisel, yönetilmeyen cihazlarda koruma sağlamanız gerektiğinde (LayerX 2025'e göre kurumsal yapay zekâ erişiminin yüzde 67'si kurumsal hesaplar dışında gerçekleşmektedir)
- Anonimleştirme sonrasında verinin kullanılabilir kalması gerektiğinde — hukuki inceleme, sözleşme analizi, destek iş akışları
- Yapay zekâ yanıtlarının nihai çıktı için yeniden kişiselleştirilebilmesi adına geri alınabilir şifreleye ihtiyaç duyduğunuzda
- GDPR uyumu: Gerekçe 26 kapsamında anonimleştirilmiş veriler GDPR kapsamının tamamen dışına çıkabilir
Her ikisi de tamamlayıcıdır: Kurumsal BT ekipleri, politika uygulaması ve SaaS izleme için engelleyici DLP dağıtırken bireysel çalışanlar iş akışı düzeyinde koruma için anonimleştirmeyi kullanabilir. Her iki yaklaşım da farklı katmanlarda işlev görmektedir.
Gölge Yapay Zekâ Sorunu
Engelleme araçları, tüm yapay zekâ erişim noktalarında politikayı uygulayabildikleri varsayımına dayanmaktadır. LayerX 2025 verileri, kurumsal yapay zekâ erişiminin yüzde 71,6'sının herhangi bir MDM veya yönetilen tarayıcı profili dışında, kurumsal olmayan kişisel hesaplar aracılığıyla gerçekleştiğini göstermektedir. Kurumsal dizüstü bilgisayarlarda uygulanan bir engelleme politikası, aynı görevi tamamlamak için telefonuna veya kişisel dizüstü bilgisayarına geçen çalışana ulaşamamaktadır.
Anonimleştirme araçları, ağ veya uç nokta politika düzeyinde değil, bireysel iş akışı düzeyinde işlev gördüğünden her cihazda çalışabilmektedir. Kendi ChatGPT hesabını kişisel dizüstü bilgisayarında kullanan bir destek temsilcisi, Chrome Uzantısı'nı yükleyerek BT politikasından bağımsız olarak veriyi göndermeden önce anonimleştirebilir.
Sonuç
Engelleme ve anonimleştirme, aynı kullanım durumu için birbirleriyle rekabet eden ürünler değildir. Engelleme, kurumsal altyapıdır — politika, yönetişim, denetim. Anonimleştirme, iş akışı araçlarıdır — yerleşik uyumla bireysel üretkenlik. Bu ayrım, hangi sorunu gerçekten çözdüğünüzü değerlendirirken önem taşımaktadır.
Birincil riskin yönetilen kurumsal cihazlardaki çalışanların yapay zekâ araçlarına hassas veri göndermesi olduğu kuruluşlar için engelleyici DLP, politika uygulama katmanını sağlar. Riskin kişisel cihazları, bireysel iş akışlarını ve anonimleştirmeden sonra verinin kullanılabilir kalması gereken durumları da kapsadığı kuruluşlar için anonimleştirme öncelikli bir yaklaşım, engelleme araçlarının ulaşamadığı boşluğu kapatır.
Doğrudan karşılaştırın: anonym.legal - Nightfall Karşılaştırması | 2026 Tarayıcı DLP Araçları Karşılaştırması
Ayrıca bakınız:
- Yapay Zekâ: #1 Veri Sızıntısı Vektörü
- Kurumsal Yapay Zekâ Yasakları: Üretkenlik ve Risk
- anonym.legal Chrome Uzantısı
- GenAI DLP: Yapay Zekâ İş Akışlarında Veriyi Koruyun
Kaynaklar: