Yeni bir araştırmaya göre, yapay zeka (AI) web tarayıcı asistanları, tıbbi kayıtlar ve sosyal güvenlik numaraları da dahil olmak üzere hassas kullanıcı verilerini izliyor ve paylaşıyor.
İngiltere ve İtalya’dan araştırmacılar, OpenAI’nin ChatGPT’si, Microsoft’un Copilot’u ve Google’ın Chrome tarayıcısı için bir uzantı olan Merlin AI dahil olmak üzere en popüler yapay zeka destekli tarayıcılardan 10’unu çevrimiçi alışveriş gibi halka açık görevlerin yanı sıra bir üniversite sağlık portalı gibi özel web sitelerinde test etti.
Perplexity AI hariç tüm asistanların bu verileri topladığına ve potansiyel olarak veri gizliliği kurallarını ihlal ederek kullanıcıları profillemek veya AI hizmetlerini kişiselleştirmek için kullandığına dair kanıtlar buldular.
Çalışmanın kıdemli yazarı ve University College London’da yardımcı doçent olan Anna Maria Mandalari bir basın açıklamasında, “Bu AI tarayıcı asistanları, kullanıcıların çevrimiçi yaşamlarının özel kalması gereken alanlarındaki çevrimiçi davranışlarına benzeri görülmemiş bir erişimle çalışıyor,” dedi.
“Kolaylık sunsalar da, bulgularımız bunu genellikle kullanıcı gizliliği pahasına yaptıklarını gösteriyor … ve bazen gizlilik mevzuatını veya şirketin kendi hizmet şartlarını ihlal ediyorlar.”
‘Tarayıcı verilerinize ne olduğunu bilmenin hiçbir yolu yok’
Raporda, yapay zeka tarayıcılarının, özetler ve arama yardımı gibi özelliklerle web’de aramayı “geliştiren” araçlar olduğu belirtildi.
Çalışma için araştırmacılar özel portallara erişti ve ardından tarayıcının bu etkinlik hakkında herhangi bir veri tutup tutmadığını görmek için AI asistanlarına “mevcut tıbbi ziyaretin amacı neydi?” gibi sorular sordu.
Kamuya açık ve özel görevler sırasında araştırmacılar, bilgilerin gerçek zamanlı olarak nereye gittiğini görmek için AI tarayıcıları, sunucuları ve diğer çevrimiçi izleyiciler arasındaki trafiğin şifresini çözdü.
Merlin ve Sider’in AI asistanı gibi bazı araçlar, kullanıcılar özel alanlara girdiğinde etkinlik kaydetmeyi durdurmadı.
Bu da bazı asistanların “web sayfası içeriğinin tamamını, örneğin ekranda görünen her türlü içeriği sunucularına aktardığı” anlamına geliyordu. Merlin’in durumunda, kullanıcıların çevrimiçi bankacılık bilgilerini, akademik ve sağlık kayıtlarını ve bir ABD vergi web sitesine girilen bir sosyal güvenlik numarasını da yakaladı.
Sider ve TinaMind gibi diğer uzantılar, kullanıcıların girdiği istemleri ve bilgisayarın internet protokolü (IP) adresi de dahil olmak üzere her türlü tanımlayıcı bilgiyi Google Analytics ile paylaştı. Çalışma, bunun “potansiyel siteler arası izleme ve reklam hedefleme” olanağı sağladığını ortaya koydu.
Google, Copilot, Monica ve Sider tarayıcılarında ChatGPT asistanı, etkileşimde bulunduğu kullanıcının yaşı, cinsiyeti, geliri ve ilgi alanı hakkında varsayımlarda bulundu. Bu bilgileri, çeşitli tarama oturumları boyunca yanıtları kişiselleştirmek için kullandı.
Copilot’un durumunda, tüm sohbet geçmişini tarayıcının arka planında sakladı ve bu da araştırmacılara “bu geçmişlerin tarama oturumları boyunca devam ettiğini” gösterdi.
Mandalari sonuçların “tarama verileriniz toplandıktan sonra onlara ne olduğunu bilmenin hiçbir yolu olmadığını” gösterdiğini söyledi.
Tarayıcılar, AB veri koruma kurallarını büyük olasılıkla ihlal ediyor
Çalışma, Amerika Birleşik Devletleri’nde yürütüldü ve yapay zeka asistanlarının sağlık bilgileriyle ilgili Amerikan gizlilik yasalarını ihlal ettiği iddia edildi.
Araştırmacılar, tarayıcıların kişisel verilerin nasıl kullanılacağını veya paylaşılacağını düzenleyen Genel Veri Koruma Yönetmeliği (GDPR) gibi Avrupa Birliği kurallarını da ihlal edebileceğini söyledi.
Bulgular, yapay zeka destekli internet tarayıcıları kullanan kişiler için – ince yazılara aşina olsalar bile – sürpriz olabilir.
Merlin’in AB ve İngiltere için gizlilik politikasında, isimler, iletişim bilgileri, hesap kimlik bilgileri, işlem geçmişi ve ödeme bilgileri gibi verileri topladığı belirtiliyor. Kişisel veriler ayrıca kullanıcıların sisteme girdikleri istemlerden veya platformun gönderdiği anketlerden de toplanıyor.
Şirket, bu verilerin AI tarayıcısını kullanan kişilerin deneyimini kişiselleştirmek, bildirimler göndermek ve kullanıcı desteği sağlamak için kullanıldığını belirtti. Ayrıca yasal taleplere yanıt verirken de kullanılabiliyor.
Sider’ın gizlilik sayfası aynı verileri topladığını ve aynı amaçlarla kullandığını söylüyor ancak bu verilerin “kullanıcı davranışları hakkında bilgi edinmek” ve yeni özellikler, ürünler veya hizmetler hakkında araştırma yapmak için analiz edilebileceğini de ekliyor.
Kişisel bilgileri paylaşabileceğini ancak Google, Cloudflare veya Microsoft gibi üçüncü taraflara satmadığını söylüyor. Politika, bu sağlayıcıların Sider’in hizmetlerini işletmesine yardımcı olduğunu ve “sözleşme gereği kişisel bilgilerinizi korumakla yükümlü olduklarını” belirtiyor.
ChatGPT’nin durumunda, OpenAI gizlilik politikası, AB ve İngiliz kullanıcılarından gelen verilerin bölge dışındaki veri sunucularında barındırıldığını, ancak aynı hakların garanti edildiğini belirtiyor.
KAYNAK: EURONEWS TÜRKÇE
