OpenAI, ChatGPT kullanıcıları için iki yeni güvenlik kontrolü yayınladı: biri prompt injection yoluyla veri hırsızlığını önlemeyi amaçlayan Kilit Modu, diğeri ise hesap girişlerini izlemeye yarayan Aktif Oturumlar. Bu özellikler, özellikle hassas verilerle çalışan kullanıcılar ve kurumlar için önemli bir güvenlik katmanı sunuyor.
Kilit Modu, ChatGPT'nin web ve harici hizmetlere erişimini sınırlayan isteğe bağlı bir ayar olarak tanımlandı. Şubat ayında kurumsal planlara sunulan özellik, Haziran başında kişisel ve self-servis iş hesaplarına ulaşmaya başladı. Bu özellik, bir kullanıcının bağlı posta kutusundan veri çekme veya konuşmaları sızdırma gibi tehditlere karşı koruma sağlıyor.
Kilit Modu, kötü niyetli prompt'u yakalamak yerine, saldırganın çaldığı verileri dışarı göndermek için kullanacağı ağ isteklerini engelliyor. Enjekte edilen metin modele ulaşsa da, çıkış kanalı tıkanıyor. Siber güvenlik uzmanı ve açık kaynak geliştiricisi Simon Willison, bu değişikliği olumlu karşıladı ve prompt injection'ın en pratik savunmasının veri sızıntısı yolunu kesmek olduğunu belirtti.
Sistem Güvenliği
Ancak Willison, bu özelliğin varlığının varsayılan ChatGPT'nin kararlı bir veri sızıntısı girişimini tamamen engelleyemediğini de ima ediyor. Kilit Modu'nun bir bedeli var: canlı bağlayıcı erişimi ve yazma işlemleri kapanıyor, Finans aracı ve alışveriş asistanları gibi özellikler devre dışı kalıyor ve Geliştirici Modu ile birlikte çalışamıyor. OpenAI, bu özelliği genel kullanıcılardan ziyade hassas verilerle çalışan kullanıcı ve kuruluşlara sundu.
Teknik Analiz
İkinci kontrol olan Aktif Oturumlar, ChatGPT'nin güvenlik ayarlarına oturum yönetimi getiriyor. Kullanıcılar, hesaplarının giriş yaptığı cihazları ve tarayıcıları, yaklaşık konum ve giriş zamanını, hangi birinci taraf uygulamanın kullanıldığını (ChatGPT veya Codex gibi) ve güvenilir cihaz olup olmadığını görebiliyor. Kullanıcılar tek bir oturumu sonlandırabilir veya tüm oturumları aynı anda kapatabilir, ancak tam temizlik 30 dakika sürebilir. Tanımadık bir durum varsa, OpenAI şifre değiştirme, giriş yöntemlerini gözden geçirme ve destek ekibiyle iletişime geçme önerisinde bulunuyor.
Büyük kuruluşlar için bir eksiklik var: Bu özellik, SAML ve OpenID Connect dahil tek oturum açma (SSO) kullanan hesaplarda kullanılamıyor ve üçüncü taraf uygulama oturumlarını veya Codex CLI girişlerini izlemiyor. OpenAI, bu güvenlik kontrollerinin ChatGPT kullanıcıları için veri korumasını artırmayı hedeflediğini belirtiyor. Kullanıcılar, hassas verilerle çalışıyorsa Kilit Modu'nu etkinleştirmeli ve Aktif Oturumlar ile hesaplarını düzenli olarak denetlemelidir.
Kaynak: infosecurity-magazine.com