Sırları Sızdırmadan Yapay Zeka Kullanımı
Bir hata aldınız. Stack trace'i kopyaladınız. Yapay zekadan bunu düzeltmesini istediniz. DATABASE_URL ve şifrenizin o metnin içinde olduğunu unuttunuz. Yapay zeka dört saniye içinde cevap veriyor. Artık sırrınız bir istek günlüğünde (request log) veya bir eğitim setinde. Onu silemezsiniz.
Sırları bir yapay zekaya yapıştırmak, onları halka açık bir siteye yapıştırmak gibidir. Onları geri alamazsınız.
Kod yayınlamak için her gün yapay zeka kullanıyorum. Ondan kaçınmıyorum. Onu bir tehdit modeliyle birlikte kullanıyorum.
Çoğu insan bir istemin (prompt) özel bir sohbet olduğunu düşünür. Öyle değildir. O, dışarı giden bir istektir (outbound request).
- Ücretsiz katmanlar genellikle verilerinizi modelleri eğitmek için kullanır.
- Ücretli katmanlar genellikle verilerinizle eğitim yapmayacaklarına dair söz verirler.
- Ücretli katmanlar bile kötüye kullanımı tespit etmek ve insan incelemesi yapmak için günlükler (logs) tutar.
Veriler üç şekilde sızar:
- Yapıştırdıklarınız: kod parçacıkları, konfigürasyonlar veya izler (traces).
- Araçların otomatik olarak ekledikleri: açık dosyalar, depo (repo) bağlamı veya terminal çıktısı.
- Modelin geri gönderdikleri: bir PR açıklamasında veya günlükte yankılanan (echoed) sırlar.
Yapay zeka sağlayıcısı güvenilir bir üçüncü taraftır. Onların dahili süreçlerini (pipelines) denetleyemezsiniz. İstem kutusuna güvenilmeyen bir ağ çağrısıymış gibi davranın.
Şunları göndermeyi bırakın:
- Canlı API anahtarları veya token'lar.
.envdosyalarının içeriği.- Özel anahtarlar veya sertifikalar.
- Gerçek müşteri isimleri, e-postaları veya ödeme verileri.
- Açık kaynak yapmayacağınız tescilli mantıklar (proprietary logic).
Bunun yerine yer tutucular (placeholders) kullanın. [API_KEY] veya [DB_PASSWORD] kullanın. Yapay zeka maskelerle de aynı derecede iyi çalışır.
Şu üç alışkanlığı edinin:
- Bir yapay zeka "ignore" dosyası kullanın.
.envve gizli klasörleri aracın bağlamının (context) dışında tutun. - Göndermeden önce tarayın. Yapıştırmadan önce metniniz üzerinde bir gizli veri dedektörü çalıştırın.
- Sırları şifreli tutun. Eğer sırlar çalışma zamanında (runtime) sadece bellekte mevcutsa, onları yapıştıramazsınız.
Seçeneklerinizin bir özeti:
- Ücretsiz/Tüketici: Genel dokümanlar veya geçici kod parçacıkları için kullanın.
- Ücretli Pro/Ekip: Çoğu mühendislik işi için kullanın. Sözleşmeli korumaları vardır.
- Yerel/Kendi sunucunuzda barındırılan (Self-hosted): Makinenizde kalması gereken düzenlemeye tabi veriler için kullanın.
Eğitim yapılmayacağına dair garanti bir sözleşmedir. Teknik bir kalkan değildir. Riski azaltır ancak tamamen ortadan kaldırmaz.
Yapay zeka kodunuza dokunmadan önce şu adımları izleyin:
- Yapay zeka araçlarınız için bir "ignore" dosyası ekleyin.
- Yapıştırdığınız her şeyi tarayın.
- Tüm kimlik bilgilerini yer tutucularla maskeleyin.
- Tescilli işler için ücretli katmanları kullanın.
- Sırları düz metin (plaintext) olmaktan çıkarmak için bir KMS kullanın.
- Yapay zeka çıktısını günlüklerinize veya commit'lerinize düşmeden önce inceleyin.
Dört saniyelik cevap hâlâ hızlıdır. Sadece güvenliğinize mal olmaz.
İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi
