Ana içeriğe geç
OzyCore
Bloga Dön
Yapay ZekâBilgi AsistanıRAGGDPR

Kurumsal Yapay Zekâ Bilgi Asistanı: Belgeleri, Politikaları ve Proje Bilgisini Daha Hızlı Bulun

Bir yapay zekâ bilgi asistanı, verilerinizin üzerinde bir chatbot değildir. İzinler, kaynaklar ve insan denetimiyle kontrollü bir retrieval mimarisidir. Doğru nasıl kurulur — ve nasıl başarısız olur.

Kurumsal Yapay Zekâ Bilgi Asistanı: Belgeleri, Politikaları ve Proje Bilgisini Daha Hızlı Bulun
OzyCore Team15 Mayıs 2026

Neredeyse her şirkette günde birkaç kez aynı şey olur: biri, hangi politikanın güncel geçerli olduğunu, bir teklifin son sürümünün nerede olduğunu veya belirli bir sürecin gerçekte nasıl işlediğini öğrenmek için iki-üç meslektaşını böler.

Bilgi vardır. PDF'lerde, Confluence sayfalarında, eski tekliflerde, proje dosyalarında ve e-posta zincirlerinde durur. Sadece bulunabilir değildir.

Kurumsal bir yapay zekâ bilgi asistanı tam da bunu çözmeyi vaat eder. Vaat gerçektir — ama yalnızca bunun bir chatbot değil, kontrollü bir retrieval mimarisi olduğunu anlarsanız.

"Belgelerimizin üzerinde ChatGPT" neden yanlış zihinsel çerçeve

Naif fikir: tüm belgeleri bir dil modeline yükleyip ona bir şeyler sormak.

Bu üç nedenle yanlıştır. Birincisi, bir model iç bilginizi bilmez — doğru pasajları yanıt anında bulmak zorundadır. İkincisi, herkes her şeyi göremez; bir İK politikası, herkese açık bir el kitabıyla aynı değildir. Üçüncüsü, kaynak eksik olduğunda sistem ikna edici ama yanlış yanıtlar üretmemelidir.

Doğru zihinsel çerçeve Retrieval-Augmented Generation (RAG)'dır: sistem önce ilgili, yetkili kaynak pasajlarını bulur ve modelin yalnızca bu temelde yanıt vermesine — kaynak göstererek — izin verir.

Mimari, dört ölçülü katmanda

1. Alım ve izinler

Belgeler okunur, anlamlı bölümlere ayrılır ve indekslenir. En çok hafife alınan nokta: kaynak sistemin erişim hakları içerikle birlikte taşınmalıdır. Bir belge orijinalinde yalnızca yönetime görünüyorsa, asistan onu bir uzmana arka kapıdan erişilebilir kılmamalıdır. İzinler sonraki bir özellik değil — alımın parçasıdır.

2. Retrieval

Sorgu anında sistem en alakalı bölümleri bulur — sadece anahtar kelimeyle değil, semantik olarak. En büyük kalite farkı buradadır: bir asistan, yanıtı ifade eden model kadar değil, bulduğu şey kadar iyidir.

3. Kaynaklı yanıt

Dil modeli yanıtı yalnızca getirilen pasajlardan oluşturur ve onları belirtir. Kaynak yoksa savunulabilir yanıt yoktur. Görünür bir kaynak gösterimi kozmetik değildir — halüsinasyon kontrolüdür.

4. İnceleme ve denetim izi

Hassas konularda bir insan inceler. Her sorgu ve yanıt izlenebilirdir: hangi kaynaklar, hangi yanıt, kim sordu. Bu iz olmadan asistan düzenlenmiş bir ortamda sürdürülebilir değildir.

OWASP çerçevesinin adlandırdığı üç risk

OWASP Top 10 for LLM Applications (2025) burada soyut bir güvenlik belgesi değil — bilgi asistanlarına tam oturan bir kusur listesidir.

  • LLM01 – Prompt Injection. Bilgi tabanındaki bir belge, modeli yönlendiren gizli talimatlar içerebilir. RAG sisteminde bu özellikle önemlidir, çünkü sistem dış içeriği aktif olarak içeri çeker. Bunu prompt injection üzerine ayrı bir yazıda derinlemesine ele alıyoruz.
  • Hassas bilgi. İzinler taşınmazsa, asistan başka türlü asla bulamayacağınız gizli içeriği sorgulamanın en hızlı yolu olur.
  • Vektör ve embedding zayıflıkları. Her şeyi tek bir ortak indekse koymak, kiracı veya departman sınırlarını kaybedebilir. Ayrım yapılandırma değil, mimaridir.

NIST'in üretken yapay zekâ profili çerçeveyi tamamlar: kaynaklar, izlenebilirlik ve insan denetimi eklenti değil, risk yönetiminin parçasıdır.

Veri koruma bir tasarım kararıdır, feragatname değil

Alman ve AB şirketleri için GDPR burada soyut değil somuttur. Üç nokta dipnota değil mimariye aittir:

  • Veri minimizasyonu. Tüm veri varlığının indekse girmesi gerekmez — yalnızca use case'lerin gerçekten ihtiyaç duyduğu.
  • Hosting bölgesi ve işleme. İndeks ve model işleme nerede? Kişisel içerikte AB hosting bir konfor değil, bir gerekliliktir.
  • Silinebilirlik. Bir kaynak belge silinirse indeksten kaybolmalıdır. Unutamayan bir indeks bir veri koruma sorunudur.

Gerçekçi ilk use case'ler

İyi bir ilk bilgi asistanı "tüm bilgiyi" çözmez. Net sınırlı bir acıyı çözer:

  • İç politikaları ve çalışma talimatlarını bulunabilir kılmak (kaynak ve geçerlilik tarihiyle).
  • Geçmiş teklifleri ve proje dosyalarını teklif hazırlığı için aranabilir kılmak.
  • Onboarding: yeni çalışanlar üç kişiyi bölmeden süreç bilgisini bulur.
  • Destek: benzer geçmiş vakaları bulmak, taslak önermek — bir insan onayıyla.

Ortak örüntü: sınırlı, yetkili bir bilgi alanı ve her zaman bir kaynağa işaret eden bir yanıt.

Başlamadan önce kontrol listesi

  • Bilgi alanı "her şey" yerine sınırlı mı (hangi kaynaklar, hangi departman)?
  • Kaynak sistemlerin erişim hakları indekse taşınıyor mu?
  • Her yanıt izlenebilir bir kaynak gösteriyor mu?
  • Savunulabilir kaynak yoksa bir eskalasyon yolu var mı?
  • Hosting bölgesi ve silme kuralları netleşti mi?
  • Bir metrik var mı (örn. bulunan-vs-eskale sorgular, önlenen geri sorular)?
  • Hassas konuları kimin incelediği net mi?

Sık sorulan sorular

Kendi dil modelimize ihtiyacımız var mı? Nadiren. Belirleyici faktör model değil; retrieval kalitesi, izinler ve kaynak kontrolüdür. Model değiştirilebilir; mimari değildir.

Belgeler yapılandırılmamışsa? Bu normal durumdur, engel değil. Alım ve bölme bunu çözer — ama bu, sonradan akla gelen bir şey değil plana ait bir iştir.

RAG sistemi yine de halüsinasyon görmez mi? Yanıt yalnızca getirilen kaynaklardan üretildiğinde ve "savunulabilir kaynak yok" izinli bir yanıt olduğunda risk belirgin biçimde düşer. "Bilmiyorum" diyebilen bir asistan, her zaman cevap verenden daha güvenilirdir.

Böyle bir ilk proje ne kadar büyük? Sınırlı bir bilgi alanı, bir use case, haftalar içinde bir üretim ilk sürümü — ilk adım olarak şirket çapında bir bilgi portalı değil.

Sonuç

Kurumsal bir bilgi asistanı, dosyalarınızın üzerinde bir chatbot değildir. İzinler, kaynaklar, izlenebilirlik ve insan denetimiyle bir retrieval mimarisidir. Güveni belirleyen bu dört özelliktir — dil modeli değil.

Küçük, yetkili ve kaynak temelli başlayan, her gün kullanılan bir araç elde eder. "Tüm bilgi, bir chatbot" diye başlayan, etkileyici bir demo ve bir veri koruma riski elde eder.

Sonraki adım

Somut bir bilgi acınız mı var — politikalar, teklifler, onboarding? Bir yapay zekâ hazırlık kontrolüyle başlayın. Bilgi alanını sınırlar, izinleri ve hosting'i netleştirir ve iddiayla değil kaynakla yanıt veren kontrollü bir pilot tasarlarız.

Kaynaklar

  • OWASP, Top 10 for Large Language Model Applications (2025)owasp.org
  • NIST, Generative AI Profile for the AI RMFnist.gov
  • Avrupa Komisyonu, GDPR kuralları KOBİ'lere uygulanır mı?commission.europa.eu
  • EDPB, Practical resources for SMEsedpb.europa.eu

İlgili Yazılar

GDPRYapay Zekâ

GDPR Uyumlu Yapay Zekâ Uygulamaları: Veri Koruma, Roller ve Teknik Sınırları Doğru Planlamak

15 May 2026

Yapay ZekâOtomasyon

KOBİ'ler için Yapay Zekâ Otomasyonu: Bir Playbook Olarak 90 Günlük Pilot

15 May 2026

LLM GüvenliğiPrompt Injection

Prompt Injection'ı Anlamak: Yapay Zekâ Uygulamaları Neden Kendi Güvenlik Kontrollerine İhtiyaç Duyar

15 May 2026

Bu konuyla ilgileniyor musunuz? İşletmenize nasıl yardımcı olabileceğimizi konuşalım.