anonym.legal

By · Last updated 2026-06-05

Bloga DönAI Güvenliği

Gerçek Zamanlı KKB Önleme: Yapay Zeka Veri Sızıntılarını Durdurun

Bir çalışan ChatGPT'ye müşteri adı yazdığında, veri kurumsal kontrolden anlık olarak çıkar. Sonradan devreye giren DLP bu çanı geri çalamaz.

June 5, 20267 dk okuma
AI data preventionChatGPT PIIreal-time anonymizationDLP alternativeChrome Extension

Gerçek Zamanlı KKB Önleme: Yapay Zeka Veri Sızıntılarını Gerçekleşmeden Durdurmak

2026 itibarıyla güncellenmiştir.

Mart 2023'te bir Samsung mühendisi tescilli kaynak kodunu ChatGPT'ye yapıştırdı. Kod, Samsung'un kontrolünden tek bir tuşa basışla çıktı. Hiçbir izleme ya da önleme sistemi devreye giremedi.

Günlük izleme, uç nokta DLP ve sonradan uygulanan anonimleştirme araçlarının hepsi tespit araçlarıdır. Size olanı, olduktan sonra söylerler. Yapay zeka veri sızıntısında iletim sonrası tespit çok geç kalır; veri yapay zeka modeli tarafından çoktan işlenmiştir.

Sorunun Boyutu

2025 tarihli bir Cyberhaven araştırması, binlerce kuruluştaki kurumsal yapay zeka araçlarının kullanımını inceledi:

  • ChatGPT'ye gönderilen tüm istemlerin %11'i gizli ya da kişisel veri içeriyor
  • Ortalama bir çalışan yapay zeka araçlarıyla günde 14 kez etkileşime giriyor
  • Yoğun kullanıcılar (avukatlar, analistler, müşteri hizmetleri personeli) günde 30–50 yapay zeka etkileşimi gerçekleştiriyor
  • %11 oran göz önüne alındığında: yoğun kullanıcı başına günde 3–5 gizli veri iletimi

500 yoğun kullanıcılı bir kuruluşta bu, her gün 1.500–2.500 gizli veri iletimi demektir. Kişisel veri içerenler, GDPR Madde 83 kapsamında potansiyel ihlal oluşturur.

Yapay zeka istemlerinde gizli ya da kişisel veri sayılan başlıca içerikler:

  • Müşteri adları ve iletişim bilgileri
  • Hesap numaraları ve finansal ayrıntılar
  • Tıbbi bilgiler (sağlık çalışanları klinik rehberlik için sorarken)
  • Hukuki dava ayrıntıları (avukatlar sözleşme analizi talep ederken)
  • Çalışan bilgileri (İK performans değerlendirmesi için destek isterken)
  • İç iş verileri (finansal projeksiyonlar, yayınlanmamış ürün planları)

Cyberhaven araştırması, kasıtlı veri paylaşımı ile kaza sonucu paylaşımı birbirinden ayırt etmiyor. Her ikisi de aynı riski yaratıyor.

Tespitin Neden Yetersiz Kaldığı

Ağ düzeyinde izleme: HTTPS şifrelemesi, TLS denetimi olmadan ağ cihazlarının istem içeriğini incelemesini engeller. TLS denetimi ise kendi başına gizlilik ve güvenlik kaygıları doğurur; modern tarayıcılar bunu sıkça engeller.

Uç nokta DLP: Uç nokta ajanları pano içeriğini ve tuş vuruşlarını izler, ancak doğası gereği gecikmeli çalışır. DLP ajanı bir ihlal örüntüsü tespit ettiğinde veri çoktan gönderilmiş olabilir.

Yapay zeka satıcısı denetim günlükleri: Bazı kurumsal yapay zeka planları istem günlüklemesi sunar. Bu, neyin paylaşıldığını paylaşıldıktan sonra gösterir. Olay müdahalesi için yararlıdır, önleme için değil.

Çalışan eğitimi: "Müşteri verilerini ChatGPT'ye yapıştırma" bir politikadır, kontrol mekanizması değil. Cyberhaven araştırması, net politikaların yürürlükte olduğu kuruluşlarda bile istemlerin %11'inin gizli veri içerdiğini gösteriyor.

Yapay zeka araçlarını engellemek: Tüm yapay zeka araçlarını engelleyen kuruluşlar verimliliği kaybeder. Gölge BT genellikle engellenen araçların yerini alır; çalışanlar kişisel cihazlarını veya hesaplarını kullanır.

Bu yaklaşımların hiçbiri gizli verinin yapay zeka sistemlerine gerçek zamanlı ulaşmasını engelleyemez.

Giriş Noktasında Önleme

Gerçek zamanlı yapay zeka veri sızıntısına karşı tek etkili savunma, veri gönderilmeden önce anonimleştirmektir. "Sarah Johnson" müşteri adı, tarayıcıdan çıkmadan önce "[KİŞİ_1]" ile değiştirilirse yapay zeka modeli hiçbir kişisel veri almaz.

Satır içi önleme nasıl çalışır:

  1. Çalışan Claude veya ChatGPT arayüzüne müşteri e-postasını giriyor
  2. Tarayıcı eklentisi, girdi alanındaki KKB'yi gerçek zamanlı olarak tespit ediyor
  3. KKB, varlık türü etiketleriyle vurgulanıyor (KİŞİ, E_POSTA_ADRESİ, HESAP_NUMARASI)
  4. Çalışan vurgulanan varlıkları gözden geçiriyor
  5. Tek tıklamayla anonimleştirme, KKB'yi etiketli token'larla değiştiriyor
  6. Anonimleştirilmiş istem gönderiliyor

Yapay zeka şunu alır: "[KİŞİ_1] müşterisi [E_POSTA_1] adresinde [HESAP_1] numaralı hesabıyla soruyor..."

Yapay zeka, gerçek müşteri verisine hiç ulaşmadan sorguyu yanıtlar.

Bu yöntemin önledikleri:

  • Kişisel verinin (GDPR Madde 4) uygun güvenceler olmaksızın harici yapay zeka işleyicilerine ulaşması
  • Müşteri KKB'sinin yapay zeka eğitim verilerine dahil edilmesi
  • Yapay zeka araçlarını tamamen engellemekten kaynaklanan verimlilik kaybı

Bu yöntemin önleyemedikleri:

  • Kasıtlı paylaşım (çalışan anonimleştirme önerisini gördükten sonra adları doğrudan yazarsa)
  • KKB olarak tanımlanmayan içerik
  • Dosya ekleri yoluyla paylaşım (ayrı bir iş akışı gerektirir)

Uygulama: Hukuk Bürosu Örneği

Bir hukuk bürosunun avukatları, sözleşme özetleri hazırlamak için Claude kullanıyordu. İş akışı: ilgili sözleşme bölümlerini kopyala, Claude'a yapıştır, özet iste.

Chrome Eklentisi öncesi (6 ay):

  • Üç aylık uyum incelemesinde keşfedilen 3 müşteri KKB olayı
  • Her olay: Claude istemine dahil olan müşteri adı ve dava referans numarası
  • 3'ü de kazaraydı — avukatlar dava referanslarının müşteri KKB'si sayıldığının farkında değildi

Chrome Eklentisi sonrası (6 ay):

  • Sıfır müşteri KKB olayı
  • Avukatlar, müşteri adı içeren sözleşme bölümlerini yapıştırdıklarında gerçek zamanlı vurgulama alıyor
  • Tek tıklamayla anonimleştirme: "Johnson Controls Dava 2024-0347" → "[KİŞİ_1] Dava [REFERANS_1]"
  • İş akışı değişmedi; avukatlar Claude'u taslak hazırlama amacıyla kullanmaya devam ediyor

Kıdemli ortak gelişmeyi daha iyi eğitime değil, önleme modeline bağladı: "Avukatlarımız eklentiden önce de politikayı biliyordu. Eklenti, uyumu en kolay yol haline getirdi."

GDPR Uyum Belgelendirmesi

Browser tabanlı yapay zeka anonimleştirmeyi teknik kontrol olarak uygulayan kuruluşlar için:

İşleme Faaliyetleri Kaydı (RoPA): Yapay zeka istemlerinin harici satıcılara iletilmeden önce istemci tarafı KKB anonimleştirmesinden geçtiğini belgeleyin.

Veri İşleyici Sözleşmesi: Hiçbir kişisel veri yapay zeka satıcısına ulaşmıyorsa DPA yükümlülükleri basitleşir.

Denetim kanıtları: Chrome Eklentisi dağıtım günlükleri; tespit edilen varlık sayısını, anonimleştirme oranını ve en sık tespit edilen varlık türlerini gösterir.

Sonuç

Samsung ChatGPT olayı, gerçek zamanlı yapay zeka veri sızıntısının herhangi bir sonradan devreye giren güvenlik kontrolünden daha hızlı gerçekleşebildiğini kanıtladı. Cyberhaven araştırması bunu rakamlarla ortaya koydu: kurumsal ölçekte her çalışan başına günde birden fazla kez olmak üzere istemlerin %11'i.

Satır içi gerçek zamanlı anonimleştirme yoluyla önleme, semptomlara değil kök nedene müdahale eder. Kişisel veri yapay zeka modeline hiç ulaşmadığında tespit edilecek, günlüğe kaydedilecek ya da düzeltilecek bir sızıntı kalmaz. Çalışan yapay zeka verimliliğini korur, kuruluş GDPR uyumunu.

Tespit, önlemenin başarısız olduğu durumda yapılan şeydir. Yapay zeka veri sızıntısında başarısızlığın bedeli — idari para cezaları, itibar hasarı, müşteri güveninin erozyonu — önlemeye yapılan yatırımı haklı kılar.

Kaynaklar

İlgili Makaleler

AI Güvenliği

AI Coding Assistants Leak Production PII

Unit test fixtures with real customer records. Log files with production data for debugging. GitHub found 39 million secrets leaked in 2024.

AI Güvenliği

Internal Wiki PII: Confluence Customer Data

Support teams document processes with screenshots of customer accounts. Over 3 years, that's thousands of GDPR data minimization violations in your.

AI Güvenliği

Screenshot PII: Leaks in Internal Tools

Slack, Teams, Jira, and email regularly receive screenshots containing customer PII. This access-control violation bypasses every DLP tool.

Verilerinizi korumaya hazır mısınız?

48 dilde 285+ varlık türü ile PII anonimleştirmeye başlayın.

Ücretsiz Deneme BaşlatÖzellikleri Görüntüle

About this page

We update this page when our platform or the law changes.

Read our founder note for how we work.

Each change shows up in the timestamp at the top.

Related reading

We follow these rules

  • GDPR (EU 2016/679).
  • ISO/IEC 27001:2022.
  • NIS2 (EU 2022/2555).
  • HIPAA safe harbor under 45 CFR § 164.514(b)(2).

Our promise

We do not sell your data.

We do not train models on your text.

We store your files in Germany.

You can delete your account at any time.

You own your work.

Where we run

Our servers live in Falkenstein, Germany.

We use Hetzner. They hold ISO 27001 certification.

All data stays in the EU.

Backups run every day.

Need help?

Email support@anonym.legal.

We reply within one business day.

How we test

We run a full check suite on every release.

Each surface gets its own sweep script and report.

Human reviewers spot-check the output each week.

We track recall and precision on a labelled set.

Bad runs block the deploy.

What we never do

  • We never sell your information to third parties.
  • We never train models on what you upload.
  • We never keep your work after you delete it.
  • We never share keys with any outside firm.
  • We never run ads inside the product.

Plans in plain words

We sell credits, not seats.

One credit covers one short job.

Long jobs use a few credits each.

You can top up at any time.

Unused credits roll over each month.

Read the plans page for current rates.

Who built this

A small team of engineers and lawyers built this.

We ship from Europe and work in the open.

Our founder note spells out why we started.

Where to start

How the parts fit

A browser add-on cleans text inside Chrome.

A Word plug-in handles drafts in Office.

A small desktop tool works on whole folders.

An agent protocol link feeds large models safely.

All four share one core engine and one rule set.

Words from our team

We started this work after a lunch about cookies.

One friend kept getting odd ads on her phone.

We asked why a court file leaked through a draft.

We sketched the first build on a napkin that week.

By month three we had a tiny demo for a friend.

She used it on her first case the next day.

Common questions we hear

Can the tool read scanned PDFs? Yes, with OCR.

Does it work on long files? Yes, in small chunks.

Can I roll my own rule set? Yes, save it as a preset.

Does it run offline? The desktop build runs offline.

Do you keep my files? No, the cloud build wipes after each run.

Will it learn from my work? No, we never train on inputs.

A short tour of the workflow

Upload a file or paste a snippet of prose.

Pick the entities you want gone from the draft.

Choose a method: replace, mask, hash, encrypt, or redact.

Press run and watch the side panel show each hit.

Skim the result and tweak any rule that misfired.

Save the cleaned file or send it to a teammate.