İngiltere ve İtalya’dan bilim insanları, OpenAI’nin ChatGPT’si, Microsoft Copilot, Google Chrome için geliştirilen Merlin AI gibi en çok kullanılan 10 yapay zeka destekli tarayıcıyı hem herkese açık sitelerde (örneğin çevrim içi alışveriş) hem de kapalı portallarda (örneğin üniversite sağlık sistemi) test etti.

Araştırmada, Perplexity AI dışındaki tüm asistanların bu bilgileri topladığı ve bunları kullanıcı profili oluşturmak ya da hizmetleri kişiselleştirmek amacıyla işlediğine dair kanıtlar bulundu. Bu durumun, veri gizliliği yasalarını ihlal edebileceği vurgulandı.

University College London’dan Anna Maria Mandalari, bu araçların kullanıcıların mahrem kalması gereken çevrim içi davranışlarına eşi görülmemiş bir erişim sağladığını belirterek, sağladıkları kolaylıkların çoğu zaman gizlilik pahasına elde edildiğini söyledi.

Araştırmacılar, özel portallara eriştikten sonra “son tıbbi ziyaretin amacı neydi?” gibi sorular yönelterek asistanların bu bilgileri saklayıp saklamadığını inceledi. İnceleme sırasında, tarayıcı asistanları ile sunucular arasındaki veri trafiği çözümlendi ve bilgilerin anlık olarak nereye gönderildiği belirlendi.

Merlin ve Sider gibi bazı uzantıların, kullanıcı özel alanlara girdiğinde bile veri toplamayı durdurmadığı görüldü. Merlin’in, çevrim içi bankacılık bilgileri, akademik ve sağlık kayıtları ile ABD vergi dairesi sitesine girilen sosyal güvenlik numarasını yakaladığı tespit edildi.

Sider ve TinaMind gibi uzantılar, kullanıcıların yazdığı komutları ve IP adresi gibi tanımlayıcı bilgileri Google Analytics’e iletti. Bu durum, siteler arası izleme ve reklam hedefleme riskini artırıyor.

Ayrıca Google, Copilot, Monica ve Sider tarayıcılarındaki ChatGPT asistanlarının, kullanıcıların yaşı, cinsiyeti, geliri ve ilgi alanları hakkında tahminlerde bulunduğu, bu bilgileri farklı tarama oturumlarında yanıtları kişiselleştirmek için kullandığı görüldü. Copilot’un ise tüm sohbet geçmişini arka planda sakladığı ve bu kayıtların oturumlar arasında devam ettiği belirlendi.

Araştırmacılar, elde edilen verilerin akıbetinin kullanıcılar tarafından bilinemediğini, bunun ciddi bir şeffaflık sorunu oluşturduğunu ifade etti.

Çalışma, ABD’de yürütüldü ve AI tarayıcılarının sağlık verilerini toplayarak Amerikan gizlilik yasalarını ihlal etmiş olabileceğini gösterdi. Avrupa’da ise bu durumun, kişisel veri kullanımını düzenleyen GDPR kurallarına aykırı olabileceği belirtildi.

Merlin’in AB ve İngiltere için yayımladığı gizlilik politikasında; isim, iletişim bilgileri, hesap bilgileri, işlem geçmişi, ödeme verileri gibi bilgilerin toplandığı yer alıyor. Kullanıcıların yazdığı metinlerden ve platformun anketlerinden de veri elde edilebiliyor. Şirket, bu bilgileri kullanıcı deneyimini kişiselleştirmek, bildirim göndermek, destek sağlamak ve yasal taleplere yanıt vermek için kullandığını belirtiyor.

Sider da benzer verileri topladığını, bunları kullanıcı davranışlarını analiz etmek, yeni özellik ve hizmetler geliştirmek amacıyla değerlendirebileceğini belirtiyor. Üçüncü taraflara (Google, Cloudflare, Microsoft vb.) satmadığını, ancak bu firmaların hizmetlerin işletilmesinde rol aldığını ve verileri korumakla yükümlü olduklarını ifade ediyor.

OpenAI’nin ChatGPT gizlilik politikasında ise AB ve İngiltere’den gelen verilerin bölge dışındaki sunucularda saklandığı, ancak kullanıcıların aynı haklara sahip olduğu belirtiliyor.