Üç Mühendislik Ekibi, Üç Olay, Bir Ay
Nisan 2023'te, Samsung Semiconductor, çalışanların tek bir ay içinde ChatGPT'ye mülkiyet verilerini ilettiği üç ayrı olayı açıkladı.
Olaylar birbirleriyle ilişkili değildi. Farklı günlerde, farklı görevlerde çalışan farklı çalışanları içeriyordu. Sadece iki ortak özellik paylaşıyorlardı: her çalışan, meşru bir iş hedefini gerçekleştirmek için ChatGPT'yi kullandı ve her biri, Samsung'un OpenAI'nin altyapısıyla paylaşmayı amaçlamadığı verileri yanlışlıkla iletti.
Olay 1: Bir yazılım mühendisi, yarı iletken ekipmanla ilgili kodu hata ayıklıyordu. Karmaşık sistemlerin hata ayıklanması, AI araçlarının yaygın bir kullanım durumudur — bir AI modeline kod sağlamak ve beklenmeyen davranışın kaynağını belirlemesini istemek. Mühendis, Samsung'un mülkiyet yarı iletken ekipman sistemlerinden kaynak kodunu ChatGPT'ye yapıştırdı. Kod, Samsung'un üretim süreçleriyle ilgili fikri mülkiyet içeriyordu.
Olay 2: Bir çalışan, bir toplantı özeti hazırlıyordu. AI destekli not alma ve toplantı özetleme, endüstriler arasında standart iş akışı araçları haline geldi. Çalışan, toplantı notlarını özetleme için ChatGPT'ye sundu. Bu toplantı notları, Samsung'un kamuya kapalı olarak değerlendirdiği gizli iç tartışmaları içeriyordu — iş stratejisi, teknik yol haritaları ve diğer bilgiler.
Olay 3: Üçüncü bir çalışan, bir veritabanı sorgusu için optimizasyon önerileri arıyordu. Veritabanı optimizasyonu, AI yardımının gerçek değer sağladığı teknik olarak zorlu bir görevdir. Çalışan, veritabanı yapısını ve sorgu mantığını ChatGPT'ye sağladı. Sorgu mantığı, mülkiyet veri yapıları ve iş mantığına atıflar içeriyordu.
Çalışanların Bunu Yapma Nedenleri
Üç Samsung çalışanı da kendi mesleki standartlarına göre sorumsuz davranmıyordu. AI araçlarının yardımcı olmak için tasarlandığı görevlerde — kod hata ayıklama, metin özetleme, teknik optimizasyon — bir AI aracını kullanıyorlardı.
Her durumda eksik olan unsur teknik sürtünmeydi. Hiçbir sistem, gönderim OpenAI'nin sunucularına ulaşmadan önce müdahale etmedi. Hiçbir kontrol, mülkiyet kodu tanımlayıcılarını kurumsal ağdan çıkmadan önce işaretlemedi. Çalışanın meşru iş ihtiyacı ile AI sağlayıcısının altyapısı arasında hiçbir mimari katman yoktu.
Çalışanlar mantıklıydu. AI aracı, meşru iş görevleriyle gerçek yardım sağlıyordu. Politika uyarısı vardı ama hiçbir teknik engel getirmiyordu. Uymamanın sonucu — kazara bir eylem için potansiyel disiplin cezası — aracın sağladığı anlık verimlilik faydasına kıyasla soyut ve uzaktı.
Sonuç: bir ayda üç olay, üç mülkiyet bilgisi ifşası ve küresel bir kurumsal AI yasak dalgasını tetikleyen bir kurumsal kriz.
Sektör Tepkisi
Samsung'un iç tepkisi hızlıydı: Kurumsal cihazlar için ChatGPT erişimi kısıtlandı. İfşa, temel durumun ne kadar yaygın olduğunu ortaya çıkaran daha geniş bir sektör tepkisini tetikledi.
Samsung ifşası sonrasında AI araç yasakları veya kısıtlamaları duyuran kuruluşlar arasında Bank of America, Citigroup, Goldman Sachs, JPMorgan Chase, Apple ve Verizon bulunuyordu. Finans sektörü tepkisi özellikle kapsamlıydı — birden fazla büyük kurum, teknik kontroller olmadan AI araçlarının risk profilinin uyum yükümlülükleriyle uyumsuz olduğuna aynı anda karar verdi.
Her kuruluş aynı sonuca vardı: çalışanlar sorun değil ve politika uyarıları yeterli kontroller değil. Veriler, ağlarından çıkıyordu çünkü hiçbir teknik engel bunu önlemiyordu ve yalnızca politika, teknik bir engel oluşturamaz.
%71.6 Bypass Oranı
Yasak yaklaşımının belgelenmiş bir başarısızlık oranı vardır. 2025'teki LayerX araştırması, kurumsal AI yasaklarına tabi olan çalışanların %71.6'sının kişisel hesaplar veya cihazlar aracılığıyla AI araçlarını kullanmaya devam ettiğini buldu.
Bypass oranı, temel bir davranışı yansıtır: bir araç gerçek verimlilik değeri sağladığında, kullanıcılar aracı kalıcı olarak terk etmek yerine alternatif yollar bulurlar. AI yardımının iş çıktısını önemli ölçüde hızlandırdığını keşfeden bir çalışan, kurumsal politikanın kurumsal cihazlarda yasakladığı için bu araçları kullanmayı bırakmaz. Güvenlik ekibinin göremediği kanallar aracılığıyla kişisel hesaplar kullanacaklardır.
%71.6'lık bypass oranının pratik sonucu, AI yasağının en kötü olası sonucu elde etmesidir: kurumsal veriler, hiç güvenlik kontrolleri olmayan kanallar aracılığıyla AI sağlayıcılarına ulaşır. En azından kurumsal cihaz erişimi teorik olarak izlenebilir. Kişisel hesap kullanımı, güvenlik ekibine tamamen görünmezdir.
Samsung'un üç olayı, kurumsal cihazlar aracılığıyla kurumsal erişimde gerçekleşti. Yasağı aşan çalışanlar aynı şeyi yapıyor — iş ile ilgili verileri AI modellerine sağlıyor — kurumsal denetim olmayan kanallar aracılığıyla.
Temel Nedenle İlgili Teknik Kontrol
Samsung olayları, çalışanların dikkatsizliğinden kaynaklanmadı. Çalışanların AI kullanımına ve dış AI altyapısına müdahale katmanı sağlamayan bir mimariden kaynaklandı.
Model Bağlam Protokolü (MCP) mimarisi, AI istemcileri ile AI model API'leri arasında şeffaf bir proxy sağlar. Claude Desktop veya Cursor IDE kullanan geliştiriciler için — Samsung'un ilk olayını tetikleyen kod hata ayıklama türü için ana araçlar — MCP Sunucusu, protokol yolunda yer alır.
Herhangi bir metin AI modeline ulaşmadan önce, MCP Sunucusu bunu bir anonimleştirme motoru aracılığıyla işler. Kaynak kod, mülkiyet tanımlayıcıları için analiz edilir: işlev adları, değişken adları, iç API uç noktaları, veritabanı şeması detayları, yapılandırma değerleri. Bunlar, kod AI modeline ulaşmadan önce yapılandırılmış tokenlerle değiştirilir.
Claude'a mülkiyet Samsung yarı iletken kodunu hata ayıklaması için bir MCP Sunucusu aracılığıyla soran bir geliştirici, mülkiyet tanımlayıcılarının tokenlerle değiştirildiği bir kod iletecektir. AI modeli, anonimleştirilmiş kodu kullanarak hata ayıklama görevine yardımcı olur — bu, kod analizi için yeterlidir. Mülkiyet detayları asla AI sağlayıcısının sunucularına ulaşmaz.
Olay 1 teknik olarak imkansız hale gelir. Kaynak kod, anonimleştirilmiş formda ağdan çıkar. AI, mühendisin ihtiyaç duyduğu hata ayıklama yardımını sağlar. Samsung'un fikri mülkiyeti, Samsung'un kontrolünde kalır.
Aynı mimari, Olay 2 (tarayıcı tabanlı AI aracılığıyla toplantı notu özetleme, Chrome Uzantısı ile ele alınmıştır) ve Olay 3 (herhangi bir AI kodlama arayüzü aracılığıyla veritabanı sorgusu optimizasyonu, MCP anonimleştirmesi ile ele alınmıştır) için de geçerlidir.
Samsung olayları, sistematik bir sorunun önizlemesiydi. Temel nedeni ele alan teknik kontroller artık mevcuttur. Soru, işletmelerin bunları uygulayıp uygulamayacağı veya %71.6'sının zaten bypass ettiği yasaklara güvenip güvenmeyeceğidir.
Kaynaklar: