Her güvenlik ekibinin kabusu sessizce kapıyı çaldı: çalışanların yüzde 77'si artık hassas iş verilerini ChatGPT, Claude, Gemini ve DeepSeek gibi yapay zekâ sohbet robotlarına yapıştırmaktadır. LayerX'in 2025 GenAI Güvenlik Raporu'na göre, tüm kurumsal veri sızıntılarının yüzde 32'si artık yapay zekâ araçları aracılığıyla gerçekleşmektedir. Saldırı vektörü karmaşık bir saldırı değildir. Müşteri kaydını kopyalayıp yapıştıran bir destek temsilcisi ya da hata ayıklama için ortam değişkenlerini Claude'a aktaran bir geliştiricidir.
Geleneksel Veri Kaybı Önleme (DLP) araçları bunun için tasarlanmamıştır. Dosya transferlerini, USB sürücüleri ve e-posta eklerini izlemek üzere geliştirilmişlerdir. İstem tabanlı yapay zekâ iş akışı, aylarca süren bir süreçte tüm kurumsal güvenlik araçlarının bir neslini devre dışı bırakmıştır.
Bu rehber, tarayıcı tabanlı yapay zekâ veri kaybı önlemenin belirli sorununu ele almaktadır: nedir, 2026'da hangi araçlar bununla başa çıkmaktadır ve bunları nasıl değerlendirirsiniz.
Geleneksel DLP Neden Yapay Zekâ Sohbet Robotu İstemlerini Koruyamaz
Microsoft Purview, Symantec DLP ve Forcepoint gibi kurumsal DLP araçları, 2015'teki bir tehdit modeline göre tasarlandı: veri yapılandırılmış kanallar aracılığıyla çıkıyor — e-posta, dosya transferi, USB. Ağ veya uç nokta düzeyinde inceleme yapıyor, ihlalleri işaretliyor ve uyarı veriyor ya da engelliyor.
Yapay zekâ sohbet robotu iş akışı, bu modeldeki her varsayımı kırmaktadır:
İstemler yazılır, transfer edilmez. Geleneksel DLP, tarayıcı düzeyinde gerçek zamanlı tuş vuruşlarını veya pano içeriğini incelemez.
Kanal, tüketici web uygulamasına HTTPS'dir. Ağ düzeyindeki DLP, chat.openai.com'a şifreli trafiği görür — alanı tamamen engelleyebilir, ancak SSL incelemesi ek yükü ve gecikme olmaksızın istemleri okuyamaz.
Yapay zekâ sağlayıcısının yanıtı türetilmiş bilgi içermektedir. İçeri gireni engelleseniz bile yapay zekâ, geleneksel DLP'nin çıkışta yakalayamayacağı biçimlerde KKB'yi özetleyebilir veya yeniden biçimlendirebilir.
İş akışı meşrudur. Çalışanlar ChatGPT kullanır çünkü üretkenliklerini artırır. Toptan engelleme, Samsung mühendislerinin kurumsal yasak sonrasında kişisel cihazlara geçmesiyle yaşandığı gibi, sorunu çözmeden benimsemeyi öldürür.
Yapay Zekâ için Tarayıcı DLP Nedir?
Yapay zekâ için tarayıcı DLP, özellikle yapay zekâ sohbet robotu arayüzlerini hedef alarak tarayıcı düzeyinde çalışan veri kaybı önlemedir. Ağ trafiğini izlemek veya uç noktada dosyaları incelemek yerine, metni yapay zekâ sohbet arayüzüne gönderilmeden önce yakalar.
Tam koruma döngüsü:
- Kullanıcı ChatGPT, Claude, Gemini veya DeepSeek'e KKB içeren metin yazar veya yapıştırır
- Tarayıcı DLP, Gönder düğmesi tamamlanmadan önce devreye girer
- KKB tespiti çalışır — 48 dilde 285'ten fazla varlık türü
- Kullanıcı tespit edilen varlıkları onaylar ve bir anonimleştirme yöntemi seçer
- Anonimleştirilmiş metin yapay zekâya gönderilir — yapay zekâ hiçbir zaman gerçek KKB'yi görmez
- Yapay zekâ anonimleştirilmiş tokenlar kullanarak yanıt verir (örn. "John Smith" yerine
<KİŞİ_1>) - Yanıt yeniden kişiselleştirilir — uzantı, orijinal değerleri gösterilmeden önce geri yükler
Bu yaklaşım, çalışanların yapay zekâ araçlarını üretken biçimde kullanmaya devam etmesine olanak tanırken yapay zekâ sağlayıcısının hiçbir zaman tanımlanabilir veri almamasını sağlar.
ChatGPT, Claude, Gemini ve DeepSeek için Tarayıcı DLP Araçları: 2026 Karşılaştırması
1. anonym.legal Chrome Uzantısı — Geri Alınabilir Şifreleme ile Yerel Tarayıcı DLP'si
Platformlar: ChatGPT, Claude, Gemini, DeepSeek, Perplexity, Abacus.ai
Nasıl çalışır: anonym.legal Chrome Uzantısı, her desteklenen yapay zekâ platformunda Manifest V3 içerik betiği olarak çalışır. Gönder'e tıkladığınızda uzantı olayı yakalar, metni anonym.legal KKB analiz API'sine (AB barındırmalı, ISO 27001, Hetzner Almanya) gönderir, tespit edilen varlıkları listeleyen bir önizleme modalı gösterir, anonimleştirme yönteminizi uygular ve yapay zekâya temizlenmiş metin gönderir. Yapay zekâ yanıt verdiğinde uzantı otomatik olarak şifresini çözer ve orijinal değerleri vurgular.
Onu benzersiz kılan özellikler:
Geri alınabilir şifreleme (AES-256-GCM): Bu kategorideki diğer tüm tarayıcı DLP araçlarının aksine anonym.legal yalnızca redakte etmekle kalmaz — KKB'yi kişisel anahtarınızla şifreler. Yapay zekâ base64 tokenlar görür. Siz tarayıcınızda şifresi çözülmüş orijinal değerleri görürsünüz. Hiçbir şey kalıcı olarak kaybolmaz.
Yanıt yeniden kişiselleştirme: Uzantı, bir MutationObserver kullanarak yapay zekâ yanıtlarını izler ve üretim tamamlandıktan sonra akış sonrası şifre çözme işlemini çalıştırır. Şifresi çözülen değerler; varlık türü rozetleri, orijinal değeri ve anahtar adını gösteren araç ipuçları ile kopyalama düğmeleriyle birlikte yeşil renkte vurgulanır.
Ajan kurulumu gerekmez: Chrome Uzantısı 5 dakikadan kısa sürede devreye alınır. Uç nokta ajanı, proxy yapılandırması veya BT talebi gerekmez.
48 dilde 285'ten fazla varlık türü: Ayarlanabilir güven eşikleriyle çift motorlu tespit (deterministik regex + NLP/spaCy modelleri). Arapça, İbranice, Japonca, Çince ve Korece dahil tam çok dilli destek sunan tek tarayıcı DLP aracı.
Kurumsal dağıtım: Zorunlu önayarlar, kilitli şifreleme anahtarları ve yönetici kontrollü anonimleştirme politikalarıyla Grup İlkesi, MDM veya kurumsal tarayıcı yönetimi. Kuruluş markalamasıyla özel uzantı paketi.
Fiyat: Aylık €3'ten başlayan — bireyler ve ekipler için fiyatlandırılmış tek tarayıcı yapay zekâ DLP çözümü.
2. Nightfall AI — Tarayıcı Güvenliği + Kurumsal DLP Platformu
Platformlar (tarayıcı): ChatGPT, Copilot, Gemini, DeepSeek, Grok, Claude — Chrome, Edge, Firefox, Safari ve yapay zekâya özgü tarayıcılarda (Comet, Atlas, Arc, Brave)
Platformlar (SaaS): Slack, Google Drive, GitHub, Salesforce, Zendesk, Microsoft 365
Platformlar (uç nokta): USB transferleri, yazdırma, pano, bulut senkronizasyonu, Git/CLI işlemleri, masaüstü yapay zekâ uygulamaları
Nasıl çalışır: Nightfall 2026 itibarıyla çok katmanlı bir DLP platformudur. Yerel tarayıcı güvenlik ürünleri (Mart 2026'da duyuruldu), proxy veya SSL incelemesi gerektirmeksizin tüm büyük tarayıcılarda dosya yüklemelerini, pano yapıştırmalarını, form gönderimlerini ve ekran görüntülerini iletilmeden önce engellemektedir. SaaS uygulamaları için Nightfall, otomatik düzeltme ile hareket hâlindeki ve bekleyen verileri tarar. Platform, iş bağlamı tespiti için LLM destekli belge sınıflandırması (kaynak kodu, müşteri listeleri, finansal projeksiyonlar) ve ekran görüntüleri için bilgisayarla görme kullanmaktadır. Veri kökenini izleme, veri kaynağını kanallar arasında hedefe bağlar.
Güçlü yönler: Chrome/Edge/Firefox/Safari + yapay zekâ tarayıcılarında çok tarayıcılı engelleme; tek platformda birleşik SaaS + tarayıcı + uç nokta kapsamı; LLM destekli sınıflandırma; bilgisayarla görme + OCR; kurumsal uyumluluk raporlaması (SOC 2, HIPAA, PCI-DSS, GDPR); otomatik düzeltme iş akışları; SIEM entegrasyonu; veri kökenini izleme.
Sınırlılıklar: Engelleme önceliklidir — tüm hassas gönderimleri durdurur; bu durum yapay zekâ iş akışlarını sekteye uğratır ve çalışanları izlenmeyen kişisel cihazlara yönlendirebilir. Yanıt yeniden kişiselleştirme yoktur (yapay zekâda bulunan veri geri alınamaz). Geri alınabilir şifreli çıktı sunulmaz. Yalnızca kurumsal fiyatlandırma (satış ekibiyle iletişim gerekli). Dil kapsamı yayımlanmamış. MCP sunucusu entegrasyonu yok. ABD veri konumu (AB barındırma seçeneği bulunamadı). Kuruluş genelinde yaygınlaştırma için BT dağıtımı gerektirir. Kurumsal kontrol dışındaki yönetilmeyen kişisel cihazlarda çalışmaz.
3. Endpoint Protector (Netwrix) — Tarayıcı DLP + Uç Nokta Ajanı
Platformlar: ChatGPT, Copilot, Gemini, Claude
Nasıl çalışır: Endpoint Protector, pano ve dosya transferlerini izleyen uç nokta ajanları ile yapay zekâ sohbet araçları dahil web uygulamalarındaki içerikleri yakalayan bir tarayıcı DLP modu sunar. USB cihaz kontrolünü de kapsar.
Güçlü yönler: Kapsamlı uç nokta + tarayıcı kapsamı; yapay zekâ DLP ile birlikte cihaz kontrolü; kanıtlanmış uyumluluk geçmişine sahip köklü kurumsal satıcı.
Sınırlılıklar: Tüm cihazlara uç nokta ajanı gerektirir (haftalarca BT dağıtımı); yalnızca engelleme — anonimleştirme veya yeniden kişiselleştirme yok; yüksek kurumsal fiyatlandırma; yalnızca İngilizce tespit.
4. Teramind — Davranışsal Analitik + Yapay Zekâ İzleme
Platformlar: ChatGPT, Gemini, Claude
Nasıl çalışır: Teramind, yapay zekâ sohbet araçları dahil web uygulamalarında çalışan davranışını izler. Kullanıcıların yazdıklarını, kopyalayıp yapıştırdıklarını ve gönderdiklerini takip ederek politika ihlallerini gerçek zamanlı olarak işaretler veya engeller ve oturumları kaydeder.
Güçlü yönler: Derin davranışsal analitik ve içeriden tehdit tespiti; gerçek zamanlı uyarı; araştırmalar için oturum kaydı.
Sınırlılıklar: Çalışan izleme, AB'de GDPR uyumluluk endişeleri doğurur; anonimleştirme tabanlı değildir; karmaşık kurumsal dağıtım; çok dilli destek yok.
5. Microsoft Purview — Kurumsal Uç Nokta DLP'si
Platformlar: Purview'a kayıtlı Windows uç noktalarında tarayıcı üzerinden erişilen yapay zekâ siteleri
Nasıl çalışır: Microsoft Purview'a kayıtlı Windows uç noktalarında, uç nokta DLP politikaları kullanıcıları Chrome, Edge veya Firefox aracılığıyla erişilen üretken yapay zekâ sitelerine hassas bilgi yapıştırmaları konusunda uyarabilir veya engelleyebilir.
Güçlü yönler: Yerel Microsoft yığını entegrasyonu; kapsamlı denetim günlükleme; M365 E5'te dahil.
Sınırlılıklar: Yalnızca Windows; M365 E5 lisansı gerektirir (kullanıcı başına aylık 54$+); yalnızca engelleme/uyarı/bildirim — anonimleştirme yok; yanıt yeniden kişiselleştirme yok.
Karşılaştırma: 2026'da Yapay Zekâ için Tarayıcı DLP Araçları
| Özellik | anonym.legal | Nightfall | Endpoint Protector | Teramind | Microsoft Purview |
|---|---|---|---|---|---|
| ChatGPT DLP | ✓ | ✓ | ✓ | ✓ | ✓ |
| Claude DLP | ✓ | ✓ | ✓ | ✓ | ✓ |
| Gemini DLP | ✓ | ✓ | ✓ | ✓ | ✓ |
| DeepSeek DLP | ✓ | ✓ | ✗ | ✗ | ✗ |
| Perplexity DLP | ✓ | ✗ | ✗ | ✗ | ✗ |
| Yanıt yeniden kişiselleştirme | ✓ | ✗ | ✗ | ✗ | ✗ |
| Geri alınabilir şifreleme | ✓ | ✗ | ✗ | ✗ | ✗ |
| Ajansız dağıtım | ✓ | İsteğe bağlı | ✗ Gerekli | ✗ Gerekli | ✗ Gerekli |
| Dağıtım süresi | 5 dakika | Günler | Haftalar | Haftalar | Haftalar |
| Diller | 48 | İngilizce | İngilizce | İngilizce | İngilizce |
| GDPR uyumlu tasarım | ✓ | ✓ | ✓ | ⚠ | ✓ |
| Başlangıç fiyatı | €3/ay | ~1.000$/ay | Kurumsal | Kurumsal | M365 E5 |
Platforma Özgü DLP Notları: ChatGPT, Claude, Gemini, DeepSeek
ChatGPT DLP
ChatGPT günde 100 milyonun üzerinde sorgu işlemektedir. Çalışanlar bunu e-posta taslağı hazırlamak, belge özetlemek ve destek yanıtları yazmak için kullanmaktadır — hepsinde doğal olarak KKB, müşteri adları ve gizli bilgiler bulunmaktadır. anonym.legal uzantısı, gönder düğmesi tetiklenmeden önce ChatGPT'nin #prompt-textarea öğesine (contenteditable yazı editörü) müdahale eder. Tespit 200-800 ms'de tamamlanır. Akış sonrası şifre çözme, son token üretildikten 1,5 saniye sonra çalışır; böylece işlem başlamadan önce yanıtın tamamı yakalanmış olur.
Claude DLP
Claude.ai, DOM'dan ayrı dahili durum yönetimine sahip zengin metin editörü olan ProseMirror'u kullanmaktadır. Standart DOM manipülasyonu ProseMirror durumunu güncellemez. Uzantı, editör durumunu düzgün biçimde güncellemek için document.execCommand('insertText') kullanmakta ve Claude'un aynı öğedeki kendi keydown yöneticisini engellemek için stopPropagation() değil stopImmediatePropagation() uygulamaktadır. Uzantı ayrıca Claude'un SPA gezintisini (ilk mesajdan sonra /new'dan /chat/xxx'e geçiş) şifre çözme önbelleğini bağlantı yeniden başlatmalar arasında koruyarak yönetmektedir.
Gemini DLP
Google Gemini, özel bir Quill tabanlı editör bileşeni (rich-textarea) kullanmaktadır. Uzantı, metin çıkarmak için iç .ql-editor öğesine erişir. Yanıt konteyneri: kenar çubuğu olan değil, ana konuşma ekranı olan main.chat-app'dir.
DeepSeek DLP
DeepSeek Chat, özellikle DeepSeek-R1 sürümünün ardından hızlı bir benimseme süreci yaşamış olup artık pek çok mühendislik ve araştırma ekibinde standart hâle gelmiştir. Eski DLP satıcılarının büyük çoğunluğu henüz DeepSeek desteği eklememiştir. anonym.legal uzantısı, köklü yapay zekâ platformlarının yanı sıra DeepSeek'i de yerel olarak desteklemektedir.
Yapay Zekâ DLP için GDPR ve HIPAA Uyumu
GDPR Madde 25 — Tasarım Gereği Veri Minimizasyonu
GDPR, kişisel verilerin kaynakta minimize edilmesini zorunlu kılmaktadır. Yapay zekâ sağlayıcılarına KKB göndermek Madde 25'i ihlal etmektedir — kötü niyetle değil, yapay zekâ sistemleri etkileşim günlüklerini tuttuğu ve verileri model eğitiminde kullanabileceği için.
İstemin yapay zekâya ulaşmadan önce anonimleştirilmesi, doğru teknik uygulamadır:
Geri dönülemez anonimleştirme (Değiştir, Sil, Maskele): Yeniden tanımlama riski ortadan kalktığında, çıktı Gerekçe 26 uyarınca GDPR kapsamı dışında kalabilir. Yapay zekâ artık kişisel veri olmayan veriler alır.
Geri alınabilir takma ad kullanımı (Şifrele/AES-256-GCM): Madde 4(5) ve veri minimizasyonu güvencesi olarak Madde 25'i karşılar. Yapay zekâ gerçek veriyi hiçbir zaman görmez. Yalnızca yetkili anahtar sahibi, kişisel anahtarını kullanarak orijinalleri geri yükleyebilir.
Klinik Yapay Zekâ için HIPAA Güvenli Liman
Sağlık ekipleri vaka dokümantasyonu, klinik öğrenim ve idari görevler için giderek daha fazla yapay zekâ kullanmaktadır. Tüm 18 HIPAA Güvenli Liman tanımlayıcısının (45 CFR § 164.514(b)) veri kurumu terk etmeden önce kaldırılması gerekmektedir. anonym.legal uzantısı, tüm 18 kategoriyi kapsamaktadır — adlar, tarihler, coğrafi veriler, telefon numaraları, e-posta adresleri, sosyal güvenlik numaraları, tıbbi kayıt numaraları, sağlık planı numaraları ve daha fazlası — böylece KHB maruziyeti olmaksızın klinik yapay zekâ iş akışları mümkün olmaktadır.
Samsung Dersi: Engelleme Neden Yeterli Değil
Mayıs 2023'te Samsung, üç ayrı mühendislik ekibinin tek bir ay içinde özel kaynak kodu, dahili toplantı notları ve donanım şemalarını yüklediğini keşfettikten sonra ChatGPT'yi yasakladı. Olaylar keşfedildiğinde, veriler çoktan OpenAI'nin sunucularına ulaşmıştı. Samsung'un dersi: tespit edip engelleyene kadar hasar zaten verilmiştir.
Yapay zekâ DLP için doğru model: veriyi yapay zekâya ulaşmadan önce anonimleştirin, yanıtı yeniden kişiselleştirin. Çalışanlar yapay zekâyı özgürce ve üretken biçimde kullanır. Yapay zekâ sağlayıcısı yalnızca tokenlar görür. Tarayıcı uzantısı, gösterilmeden önce orijinal değerleri geri yükler. Kanalı engellemekle kanalı güvenli hâle getirmek arasındaki farktır.
Ekibiniz için Tarayıcı DLP'yi 5 Dakikada Kurma
anonym.legal'ı yapay zekâ araçları için tarayıcı DLP olarak kurma:
- anonym.legal'da kayıt olun — ücretsiz katman aylık 200 analiz tokeni içerir
- İletişim sayfası aracılığıyla Chrome Uzantısı talep edin (Chrome Web Mağazası yayımı devam ediyor)
- Chrome Geliştirici Modu aracılığıyla kurun — Paket Dışını Yükle, kurulum sihirbazı gerekmez
- anonym.legal hesap bilgilerinizle giriş yapın
- Uzantı açılır penceresinden her yapay zekâ sitesinde korumayı etkinleştirin (ChatGPT, Claude, Gemini)
- Bir uyumluluk önayarı seçin — GDPR Standart, HIPAA Tıbbi, Finansal Hizmetler veya özel
- Hazır — uzantı, gönderdiğiniz bir sonraki mesajdan itibaren devreye girer
Grup İlkesi, MDM, zorunlu önayarlar ve denetim günlükleme ile kurumsal dağıtım için özel paketlenmiş kurumsal sürüm hakkında anonym.legal ile iletişime geçin.
Sonuç
Geleneksel DLP araçlarının çözemediği istem tabanlı veri maruziyeti sorununa karşı tarayıcı tabanlı yapay zekâ DLP doğru teknik yaklaşımdır. Yapay zekâ araçları için tarayıcı DLP'yi değerlendirmenin beş kriteri:
- Yalnızca ağ değil, tarayıcı düzeyinde mi devreye giriyor?
- İstemleri anonimleştiriyor mu, yoksa yalnızca engelleyip uyarı mı veriyor?
- Yapay zekâ yanıtlarını yeniden kişiselleştirerek orijinal bağlamı geri yükleyebiliyor mu?
- DeepSeek ve Perplexity gibi daha yeni araçlar dahil ekibinizin kullandığı platformları kapsıyor mu?
- Haftalar yerine dakikalar içinde devreye alınabiliyor mu?
anonym.legal Chrome Uzantısı bu beş kriteri de karşılamakta ve veri maruziyeti olmaksızın yapay zekâ üretkenliğini sağlayan — geri alınabilir şifreleme ve yanıt yeniden kişiselleştirme sunan — tek tarayıcı DLP aracıdır.
Kaynaklar:
- LayerX 2025 GenAI Güvenlik Raporu — çalışanların yüzde 77'si yapay zekâ araçlarına hassas veri yapıştırıyor; sızıntıların yüzde 32'si yapay zekâ aracılığıyla
- The Verge, Mayıs 2023 — Samsung ChatGPT kaynak kodu sızıntısı olayı
- GDPR Gerekçe 26 — anonimleştirme kriterleri; Madde 4(5) — takma ad kullanımı tanımı; Madde 25 — veri minimizasyonu
- HIPAA Güvenli Liman yöntemi, 45 CFR § 164.514(b) — kimlik gizleme için gereken 18 KSB tanımlayıcısı
- anonym.legal KKB Tespit Testi — yüzde 95,5 doğruluk, 44 bağımsız testten 42'si başarılı