Konuşma asistanları ve yardımcı pilotlar, bir yenilik olmaktan çıkıp çalışma ortamının tamamlayıcı bir bileşeni haline geldi. Bu sıçrama üretkenliği artırırken, aynı zamanda yapay zekanın kötüye kullanımının gerçek bir riske dönüşmesine de kapı açıyor. Windows 11 ve Microsoft 365'i yönetiyorsanız, bunu ciddiye almanın zamanı geldi verileri, kullanıcıları ve cihazları korumak için ani enjeksiyonlara, istenmeyen sızıntılara ve kontrolsüz otomasyonlara karşı.
İyi haber şu ki Microsoft ekosistemi, üretken yapay zekanın kullanımını yönetmek ve korumak için halihazırda olgun bileşenleri bünyesinde barındırıyor. Microsoft Purview, yapay zekaya yönelik DSPM yaklaşımı ve M365'teki güvenlik, uyumluluk ve saklama kontrolleri ile bu kalkanın omurgasını oluşturuyor., hem Copilot hem de üçüncü taraf uygulamalar için ChatGPT KurumsalLafı dolandırmadan, chatbot'ların neden arka kapı gibi davranabildiğine ve bunu kapatmak için hangi kaldıraçlara sahip olduğumuza bir bakalım.
Sohbet robotları neden arka kapı gibi davranabilir?
Üretken Yapay Zeka, bağlam, araçlar ve eylemleri bir araya getirdiğinde inanılmaz derecede güçlüdür. İşte tam da bu nedenle, bir ajan geniş izinler elde ederse veya hızlı bir enjeksiyonla manipüle edilirseHassas belgeleri okuyup özetlemekten kurum dışına bilgi göndermeye kadar çeşitli görevleri yönetebilir. Bu risk şu durumlarda daha da artar... Model Bağlam Protokolü (MCP), bir aracının sunucu yeteneklerini keşfetmesine ve zincirleme bir şekilde eylemleri yürütmesine olanak tanıyan standarttır.
Windows, aracıların karmaşık görevleri gerçekleştirebilmesi için 'aracı işletim sistemi' yaklaşımına doğru ilerliyor. Bu, otomasyonu artırır ancak aynı zamanda saldırı yüzeyini de artırır: çapraz istem enjeksiyonu, zayıf kimlik doğrulama, kimlik bilgisi sızıntısı, araç zehirlenmesi (doğrulanmamış MCP sunucuları), süreçler arasında kontrol eksikliği, yetersiz güvenlik incelemesi ve harici sunucularda tedarik zinciri riskleri.
Unutulmaması gereken dersler var. ActiveX ve OLE Otomasyonu bir zamanlar kısayollar vaat ediyordu, ancak Yıllarca kötü amaçlı yazılımlar ve zararlı makrolar için ücretsiz geçiş yolu oldularBugün bağlam farklı, ancak prensip aynı: Otomasyon gücünü sınırsız ve denetlenemez bir şekilde verdiğinizde, birileri bunu istismar etmeye çalışacaktır.
Windows 11 ve Windows 10'daki Copilot: Neler değişiyor?
Microsoft, Copilot'u Windows 11'in ötesine taşıyıp Windows 10'a da yakınlaştırmaya karar verdi. Amaç, Windows içerisinde ek bir maliyet olmadan sistemi yapılandırmanıza ve günlük görevleri tamamlamanıza yardımcı olan, işlevler arası bir yardımcı pilota sahip olmaktır. (Ücretli bir hizmet olan Microsoft 365 için Copilot'un aksine). Günlük kullanımınızda ne fark edeceksiniz?
- Görev otomasyonu: Yapay zekanın daha az manuel adımla gerçekleştirdiği eylemlerin hızlı bir şekilde oluşturulması.
- Yaratıcı düzenlemePaint'te arka plan kaldırma ve katman yönetimi; Fotoğraflar'da bokeh arka plan bulanıklaştırma; Clipchamp'te sahne ve süreye göre düzenleme önerileri.
- OneDrive'da resim araması: konuma ve bağlama göre filtrelerle daha rafine sonuçlar.
- Anında OCR: İstediğiniz herhangi bir uygulamada kullanmak üzere resimlerin içine gömülü metni çıkarın.
- Anlatımlı ekran görüntüleriDaha hızlı eğitimler için mikrofonlu ekran kaydı.
- Daha akıllı e-posta: Yeni Outlook'ta birden fazla hesabın senkronizasyonu ve önceki etkinliklerinize göre ek önerileri.
- Akıllı kısayollara sahip Explorer: Davranışlarınıza göre en çok kullandığınız şeylere erişim sağlayın.
- Sesli dikte ve komutlar: dikte edilen metni düzenler ve konuşarak Copilot'a istekler gönderir, hızlı akışlar için ideal.
Copilot, bazen karıştırılan iki kavramı bünyesinde barındırmaktadır. Vizyon, o özel seansta paylaştığınız bağlam içerisinde çalışır. (Edge'de bir web sitesi, Windows'ta bir uygulama, mobil uygulamada kamera). Bu bilgiler ekran görüntüsü olarak kaydedilmez; yalnızca sohbet geçmişiniz silinir ve istediğiniz zaman silebilirsiniz.
Windows'ta MCP: Hareket halindeyken kontrollerle güçlü otomasyon
Bu aracı odaklı Windows'un uygulanabilir olması için Microsoft, yerel kayıt MCP sunucularının, sistem işlevlerini (dosya sistemi, pencereler, WSL) ve Uygulama Eylemlerini açığa çıkaran gömülü sunucuların üçüncü taraflar MCP sunucuları gibi eylemleri yayınlarAmaç, sorguları zincirlemek, Excel grafikleri oluşturmak ve hatta e-posta göndermek için doğal bir dil komutu geliştirmek.
Güvenlik anahtardır. Microsoft şunu öneriyor: vekalet aracısı politikaları, denetimi ve onayı uygulamak için istemci-sunucu trafiğini yöneten; MCP sunucuları için minimum güvenlik seviyesi (kod imzalama, arayüz testi, ayrıcalık bildirimi) ve ayrıntılı izinlerle çalışma zamanı yalıtımıBazı özellikler ilk geliştirici önizlemesine dahil edilmeyecek, bu nedenle veri yönetimi çerçevesine şimdiden güvenmeye başlamanız iyi bir fikirdir.
Yapay zekayı korumanın ana kapısı: Microsoft Purview'un DSPM'si
Yapay Zeka için Veri Güvenliği Durum Yönetimi (DSPM) Amaç Bu, kontrol panelidir Kuruluş genelinde yapay zeka kullanımına ilişkin uyumluluğu keşfedin, koruyun ve uygulayınMevcut bilgi koruma ve uyumluluk yeteneklerini yeniden kullanır ve bunları Copilot'ların, aracıların ve diğer araçların güvenli bir şekilde benimsenmesini hızlandıran tek tıklamalı raporlama ve politikalarla bir araya getirir. üretken uygulamalar.
Purview'da yapay zeka uygulamalarının üç kategoriye ayrıldığını göreceksiniz. Yardımcı pilot deneyimleri ve acenteleri (Microsoft 365 Copilot, Güvenlik Copilot, Fabric Üzerinde Copilot, Copilot Studio); Kurumsal AI uygulamaları (örneğin, Entra, ChatGPT Enterprise, Azure AI Foundry'ye kayıtlı uygulamalar) ve Diğer yapay zeka uygulamaları tarayıcı etkinliği tarafından algılandı (ChatGPT, Google Gemini, Microsoft Copilot for Consumer, Derin AramaHer blok, yapısına göre güvenlik ve uyumluluk kontrollerini devralır.
Gizlilik etiketleri: Yapay zekanın neleri görebileceğini ve kullanabileceğini kontrol edin
Kiracınızın verilerinde gizlilik etiketleri varsa, Uyumlu AI uygulamaları, kullanıcının erişimi yoksa içeriği asla döndürmezWord, Excel, PowerPoint ve Outlook, etiketi ve ilişkili işaretlemeleri (üstbilgiler, altbilgiler) görüntüler ve aynı durum Loop bileşenleri ve sayfaları için de geçerlidir. Etiket şifreleme uyguluyorsa, yapay zekanın yanıt vermek veya bağlantı kurmak için VIEW ve EXTRACT komutlarını kullanması gerekir.
Bu koruma, kullanımdaki veri senaryosuna kadar uzanır. dosya M365 alanının dışında olsa bile (yerel, paylaşılan klasörler veya üçüncü taraf bulut depolama) bir Office uygulamasında açık olduğu sürece. Hassasiyet etiketlerini henüz kullanmıyorsanız, bunları mümkün olan en kısa sürede etkinleştirmenizde fayda var.
Etiketsiz şifreleme ve bilmeniz gereken istisnalar
Etiket olmasa bile, hizmetler ve ürünler Azure Rights Management şifrelemesini uygulayabilir. Yapay zeka, verileri döndürmeden önce GÖRÜNTÜLEME ve ÇIKARMA haklarını doğrulayacaktır. ancak yeni öğeler için otomatik miras olmayacakBu şifrelemeden yararlanan çözümler: Purview Mesaj Şifrelemesi, IRM, RMS Bağlayıcısı ve Hak Yönetimi SDK'sı.
Diğer şifreleme yöntemleri için: Copilot, S/MIME ile korunan e-postaları döndürmez ve S/MIME mesajlarını açarken Outlook'ta kullanılamaz.Ayrıca, kullanıcı aynı uygulamada zaten açık değilse, parola korumalı belgelere erişmez; parola koruması devralınmaz. Purview'da CCK veya BYOK ile şifrelenmiş içerik, uygun izinlere sahip eDiscovery, Search ve Copilot tarafından görülebilir.
Veri kaybını önleme: Yapay zeka sitelerine sızıntıları engeller
Purview DLP ile Microsoft 365'te ve uç noktada sızıntıları tespit edebilir, izleyebilir ve önleyebilirsiniz. Purview'a entegre edilen Windows sistemleri uç nokta DLP'yi destekler Bu özellik, tarayıcıdaki yapay zeka siteleriyle hassas verilerin paylaşılmasına karşı uyarıda bulunur veya paylaşımı engeller. Tipik bir örnek, kredi kartı numaralarının ChatGPT'ye yapıştırılmasını engellemek veya geçersiz kılınabilen bir uyarı görüntülemektir.
Buna ek olarak, AI konum kapsamına sahip bir DLP yönergesi Microsoft 365 Copilot'un belirli etiketlere sahip içerikleri işlemesini engelleyebilirsiniz. Dosyaları "Son Derece Gizli" olarak işaretler ve özetlenmemeleri gerektiğini belirtirseniz, Copilot bu dosyaların özetlerini oluşturmaz; ancak yetkili kullanıcıya Word'de açmaları için bir bağlantı sağlayabilir.
Dahili risk: Yapay zekanın kötü amaçlı kullanımını tespit etmek için şablonlar
Purview'un İçeriden Risk Yönetimi, sızdırma, IP hırsızlığı veya kötüye kullanımı tespit etmek için Microsoft 365 ve üçüncü taraflardan gelen sinyallerden yararlanır. Risk AI kullanım şablonu, hızlı enjeksiyonlar ve korunan materyale erişim gibi kalıpları belirler.Bu görünüm, olayın tam bir haritasını sağlamak için Microsoft Defender XDR ile entegre olur.
Veri sınıflandırması: her şeyin temeli
Purview'un sınıflandırması (hassas bilgi türleri ve eğitilebilir sınıflandırıcılar) şu amaçlarla kullanılır: Yapay zeka uygulamalarından gelen istek ve yanıtların hassas verilerini ortaya çıkarmakSonuçlar Purview raporlarında ve DSPM AI Activity Explorer'da görülebilir. Doğru şekilde uygulanan etiketleme, yararlı bir uyarıyı bunaltıcı gürültüden ayıran şeydir.
İzleme ve yanıtlama: denetim, iletişim, eKeşif ve saklama
Birleşik denetim şunları yakalar: Yapay zeka etkileşimlerinden gelen mesajlar ve yanıtlarBu, uygulamanın ne zaman ve nasıl kullanıldığı, hangi M365 hizmetine erişildiği ve hangi depolanan dosyalara erişildiği gibi bilgileri içerir. Gizlilik etiketi uygulandıysa, bu da kaydedilir. Bu olayları Purview portalında arayabilir ve ayrıntılarını DSPM etkinlik gezgininde görüntüleyebilirsiniz.
İletişim Uyumluluğu iletişim kanallarını izler, AI uygulamalarına yönelik istekler ve yanıtlar dahilMevzuat veya davranış ihlallerini (uygunsuz paylaşım, tehdit, taciz, yetişkinlere yönelik içerik) tespit etmek için kullanılır. Takma adlar, varsayılan gizlilik ve rol tabanlı erişim ile çalışır.
eKeşifte, Yapay zeka etkileşimleri kullanıcının posta kutusunda saklanırBir davada, kaynak olarak posta kutusunu seçip Copilot ile ilgili etkinlikleri filtreleyerek arama yapabilirsiniz. Kümeyi daralttıktan sonra, diğer delillerde olduğu gibi, bir inceleme kümesine aktarabilir veya gönderebilirsiniz.
Veri Yaşam Döngüsü Yönetimi ile, saklama politikalarını yapılandırabilirsiniz İstekleri ve yanıtları otomatik olarak kaydedin veya silin Yapay zeka uygulamaları için. Birden fazla yönerge çakışıyorsa veya yasal kesintiler varsa, kesinti ilkeleri geçerlidir: diğer kriterlerin yanı sıra en uzun süre kazanan olur.
Uyumluluk Yöneticisi: Yapay Zeka Düzenlemeleri için Değerlendirmeler ve Şablonlar
Uyumluluk Yöneticisi şu konularda yardımcı olur: envanter risklerini yönetin, kontrolleri uygulayın ve düzenlemelerle güncel kalınYapay zeka için, etkileşimlerin nasıl denetleneceği, veri kaybının nasıl önleneceği ve izlenebilirliğin nasıl güçlendirileceği konusunda rehberlik sağlayan değerlendirmeler mevcuttur. Bu, denetimler ve sertifikasyonlar sırasında gerekli özeni göstermek için idealdir.
ChatGPT Enterprise kontrol altında: Purview'un halihazırda desteklediği şeyler
Purview, ChatGPT Enterprise ile kategori içindeki temel işlevleri destekler kurumsal yapay zeka uygulamaları'Yapay zeka düzenlemeleriyle ilgili rehberli yardım alın' (Uyumluluk Yöneticisi şablonlarına dayalı) gibi DSPM önerilerini ve 'Yapay zeka için DSPM: Kurumsal yapay zeka uygulamalarının etkileşimlerini yakalayın' veya 'Ağ üzerinden yapay zeka ile paylaşılan hassas bilgileri tespit edin' gibi tek tıklamayla kullanılabilen politikaları göreceksiniz.
Unutmayın Ödemeli faturalandırmayı etkinleştirmeniz gerekiyor Kuruluşunuzda Purview'un ChatGPT Enterprise ile etkileşimleri yönetebilmesi için bağlayıcı taramasını çalıştırın. Buradan, sınıflandırma, denetim, iletişim, eKeşif ve saklama işlemleri ekosistemin geri kalanıyla aynı şekilde çalışır.
Başlamak için önerilen pratik adımlar
- AI için DSPM önerileri sayfasında, öneriyi seçin ChatGPT Enterprise ile etkileşimleri algılayın ve kontrol edin Azure AI aboneliklerinizden mesaj ve yanıt yakalamayı etkinleştirin.
- Tek tıklama politikasını etkinleştirin Kurumsal uygulama etkileşimlerini koruyun Herhangi bir uyumlu kurumsal AI uygulamasından etkileşimleri yakalamak için.
- En az bir gün bekleyin, Raporlar'a gidin ve kategoriye göre filtreleyin kurumsal yapay zeka uygulamaları Trendleri görmek için: toplam etkileşimler, hassas verilerle etkileşimler, iç riskin şiddeti ve uygulamaya göre dökümü.
- Etkinlik gezginini açmak ve filtrelemek için Ayrıntıları görüntüle'ye gidin Uygulama = ChatGPT Enterpriseİçerik Gezgini'nde İçerik Görüntüleyicisi rolünüz varsa, her olayla ilişkili mesaj gövdesini ve yanıtı görebileceksiniz.
- Uyumluluk için etkileşimleri saklamanız gerekiyorsa, Purview'da konumu hedefleyen bir saklama politikası oluşturun Kurumsal AI uygulamaları ve yönetmeliklerinizde belirtilen süreyi tanımlayın.
- Elektronik belgeleri görüntülemek için bir eDiscovery vakası oluşturun ve mülkiyete göre arama yapın. ÖğeSınıfı: kullanır
IPM.SkypeTeams.Message.ConnectedAIApp.Connector.<ChatGPTEnterprise>yerel makine faaliyetleri için veyaIPM.SkypeTeams.Message.CloudAIApp.SaaS.<AppID>tarayıcı tabanlı aktiviteler için. İnceleyin, inceleyin ve dışa aktarın her zamanki gibi
İş unvanının ötesinde: Windows 11'e yükseltme yapamadığınızda
Bazı kuruluşlar hâlâ tüm bilgisayarlarını Windows 11'e taşıyamıyor. Bu gibi durumlarda, Windows 365 Bulut Bilgisayarları masaüstünüzü standartlaştırmanıza, güvenliği güçlendirmenize ve hibrit çalışmayı kolaylaştırmanıza olanak tanır. Herhangi bir cihazdan erişilebilen yönetilen sanal makinelerle. Daha az değişkenlik, daha fazla kontrol ve merkezi izleme.
Sorunun chatbot'lar olmadığı, ancak onlara nasıl erişim sağlandığı ve hangi sınırlamalar altında çalıştığı olduğu açık. Doğru şekilde etiketleme yaparsanız, uç noktada ve yapay zeka işlemede DLP uygularsanız ve denetim, eKeşif ve saklama ile izleme yaparsanız, iddia edilen arka kapı her iki taraftan da kapalı kalır.Uyumluluk Yöneticisi şablonlarını ve İçeriden Risk yeteneklerini ekleyin; böylece Windows 11 ve Microsoft 365'te Copilot, ChatGPT Enterprise ve MCP'yi güvenle kullanmaya hazır olacaksınız.
