EY Canada bir siber güvenlik raporu yayımladı ve alıntıların çoğu halüsinasyon çıktı

 (gptzero.me)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • EY Canada’nın 44 sayfalık sadakat dolandırıcılığı raporunun; uydurma alıntılar, yanlış kaynak gösterimleri, sahte istatistikler ve yapay zeka tarafından yazılmış metinler içeren bir belge olduğu ortaya çıktı
  • Kaynaklar tablosundaki URL’lerin çoğu bozuk ya da sahteydi, başlıkların yarısından fazlası gerçek kaynaklarla eşleşmiyordu ve AI Scan metnin %72’sini yapay zeka üretimi olarak işaretledi
  • BleepingComputer, Wired, Gartner, McKinsey, Forbes, Cisco Talos ve TechCrunch kaynaklarının çoğunun 404 hatası, etiket sayfaları veya var olmayan belgeler olduğu doğrulandı
  • 200 milyar dolar rakamı hem toplam sadakat puanı pazarı hem de kullanılmamış puanların değeri gibi birbiriyle bağdaşması zor anlamlarda kullanıldı ve buna dayanak gösterilen iki alıntının da uydurma olduğu ortaya çıktı
  • Kusurlu rapor Canberra Times’a ve 60’tan fazla gazeteye yayıldı; Claude, ChatGPT ve Perplexity de söz konusu halüsinasyon bilgileri gösterdi

EY Canada raporundaki sorunlar

  • EY Canada, 2025 sonlarında sadakat sistemlerindeki siber tehditler ve dolandırıcılığı ele alan 44 sayfalık Points of Attack: Uncovering Cyber Threats and Fraud in Loyalty Systems raporunu yayımladı
  • Rapor için iki partnere ve bir kıdemli yöneticiye kredi verilmiş olsa da, içinde uydurma alıntılar, yanlış kaynak gösterimleri, sahte istatistikler ve yapay zeka tarafından yazılmış metinler tespit edildi
  • EY Canada, Ernst & Young’ın Kanada yapılanması olup Kanada hükümetine her yıl milyonlarca dolarlık hizmet veriyor
  • GPTZero’nun Hallucination Check aracı, son aylarda büyük danışmanlık şirketlerinin kamuya açık raporlarını bulup tarayan otomatik bir iş akışında kullanıldı ve büyük kurumsal raporlarda da vibe citing eğiliminin yayıldığına işaret ediyor

Alıntılama yöntemi ve doğrulama sonuçları

  • EY Canada raporu, dipnotlar veya klasik akademik atıflar yerine kaynakları doğrudan metin içinde anıyor ya da 41–43. sayfalardaki resources table içinde topluyor
  • Bu tabloda kaynak başlıkları, açıklamalar, URL’ler ve bazı yayıncılarla tarihler yer alıyor; ancak URL’lerin çoğu bozuk ya da sahteydi ve başlıkların yarısından fazlası gerçek kaynaklarla eşleşmiyordu
  • GPTZero, yanlış pozitiflerin yaratacağı itibar maliyetini dikkate alarak halüsinasyon alıntıları belirli ölçütlerle tanımlıyor ve Hallucination Check sonuçlarını elle doğruluyor
  • Rapor metni, GPTZero AI Scan tarafından %72 oranında yapay zeka üretimi olarak işaretlendi; sahte istatistikler, yanlış kaynak gösterimleri ve iç çelişkiler gibi LLM hataları tekrar tekrar görüldü

Öne çıkan sahte veya hatalı kaynaklar

  • BleepingComputer havayolu sadakat ihlali haberi

    • Airline Loyalty Breach: BleepingComputer, milyonlarca havayolu sadakat hesabının credential stuffing saldırılarıyla ele geçirildiğini anlatan bir haber olarak sunuluyor
    • https://bleepingcomputer.com/news/security/… adresi 404 hatası veriyor; bu yoldaki haberin ya silinmiş olduğu ya da en baştan hiç var olmadığı anlaşılıyor

  • Wired ses deepfake ve API güvenliği haberleri

  • Gartner ve McKinsey raporları

    • Gartner Market Trends – Loyalty Fraud, dijital sadakat programları ve mobil cüzdanlardaki dolandırıcılığın evrimine dair stratejik rehber olarak sunuluyor
    • https://www.gartner.com/en/documents/4000201 yalnızca Gartner ana sitesine yönlendiriyor ve bu başlıkta bir Gartner belgesi bulunmuyor
    • McKinsey & Company – Loyalty Economics Report (2022), dünya genelinde kullanılmamış ödül puanlarının değerini 200 milyar dolar olarak tahmin eden bir rapor diye sunuluyor; ancak böyle bir rapor yok

  • Forbes sadakat ekonomisi yazısı

    • Forbes – The $200 Billion Loyalty Economy, sadakat programlarını önemli bir dijital varlık olarak açıklayan dayanak olarak gösteriliyor
    • URL bozuk; Blake Morgan Forbes’ta yazmış olsa da bu başlıkla eşleşen bir yazı yok
    • Bununla birlikte, 2020 tarihli bir Forbes yazısında “$200 billion loyalty economy” ifadesi geçiyor

  • Cisco Talos ve TechCrunch

200 milyar dolarlık istatistiğin iç çelişkisi

  • Özet bölümündeki iddia

    • Executive Summary, küresel sadakat puanı pazarının 200 milyar dolar büyüklüğünde olduğunu ve bunun %30–50’sinin kullanılmadığını öne sürüyor
    • Bu iddia sahte bir Forbes alıntısıyla destekleniyor

  • 10. sayfada değişen anlam

      1. sayfada aynı 200 milyar dolarlık rakam, küresel puanların toplam değeri olmaktan çıkıp kullanılmamış sadakat puanlarının tahmini değerine dönüşüyor
    • Puanların en fazla %50’sinin kullanılmadığı zaten iddia edildiğinden, iki iddianın aynı anda doğru olabilmesi için küresel sadakat puanı pazarının en az 400 milyar dolar olması gerekir

  • McKinsey alıntısının izini sürme

      1. sayfadaki uydurma McKinsey & Company raporu, küresel ölçekte kullanılmamış puanların 200 milyar dolar değerinde olduğu yönündeki ikinci iddiayı desteklemek için kullanılıyor
    • Aynı rakam birbiriyle bağdaşması zor iki farklı anlamda kullanılmış ve bunları destekleyen iki alıntının da uydurma olduğu doğrulanmış durumda
    • Bu McKinsey alıntısının izi, EY raporundan 6 ay önce yayımlanan Financial IT’nin fintech blog yazısına kadar gidiyor
    • Söz konusu yazı, “more than $200 billion in points sit idle each year” iddiasında bulunuyor ve kaynak bölümünde var olmayan McKinsey & Company: Loyalty Economics Report (2022) raporunu anıyor
    • Bu uydurma alıntı, EY raporunun kaynaklar tablosuna aynen taşınmış; böylece düşük kaliteli bir blogdaki sahte kaynak, Big Four yayını görünümü kazanmış oluyor

Kaynakları karışmış %72 ve %89 istatistikleri

  • Sadakat programlarında %72 dolandırıcılık istatistiği

      1. sayfada müşteri sadakat programlarının %72’sinin hırsızlık veya dolandırıcılık bildirdiği iddia ediliyor
    • Bu rakam, Kanadalı ödeme işleme şirketi Paystone’un 2019 tarihli yazısına atfediliyor
      1. sayfada aynı istatistik, dijital dolandırıcılık önleme şirketi Forter’ın NRF 2020 summary sayfasına atfediliyor
    • Ne Paystone ne de Forter raporun kaynaklar tablosunda yer alıyor; asıl kaynağın Ipsos’un 2017 anketi olduğu anlaşılıyor

  • Sadakat dolandırıcılığı saldırılarında %89 artış istatistiği

      1. sayfada sadakat programı dolandırıcılık saldırılarının 2019’dan bu yana %89 arttığı iddia ediliyor
      1. sayfada ise bu %89 artış, 2018’den 2019’a tek yıllık değişimle sınırlandırılıyor ve Forter’ın Fraud Attack Index raporuna atfediliyor
    • Bu kaynak gerçekten mevcut ve iddianın ikinci versiyonunu kısmen doğruluyor; ancak EY raporunda kullanılan diğer birçok kaynak gibi bu da eski bir veri
    • Birbiriyle çelişen kaynaklar, düşük kaliteli kaynaklar, eski istatistikler ve hatalı yeniden anlatımlar AI slop işareti olarak sunuluyor

Kamusal etki ve veri kirliliği riski

  • Points of Attack Kanada’da büyük ses getirmiş görünmüyor; ancak yakın tarihli bir Canberra Times haberinde alıntılandı ve bu haber Avustralya genelinde 60’tan fazla gazeteye dağıtıldı
  • Rapor, kamuya açık olmayan müşteri brifingleri, iç sunumlar ve özel medya kanalları üzerinden de dolaşıma girmiş olabilir
  • İnternette rapor yayımlamak, internetin bilgi havuzuna veri enjeksiyonu yapmak gibi; tanınmış bir danışmanlık şirketi yüksek trafikli sitelere sahte bilgiler veya halüsinasyon alıntılar koyduğunda sonraki araştırmacıları yanıltabilir
  • Yapay zeka “deep research” araçları, insanlardan farklı sinyallere göre kaynak seçtiği için bu tür veri kirliliğine daha açık olabilir
  • Claude, ChatGPT ve Perplexity, EY’nin kusurlu raporundan gelen halüsinasyon bilgileri gösterdi

Hallucination Check’in amacı

  • GPTZero, vibe citing’in araştırmacılar, akademi, danışmanlar ve web aramasına dayanan kişiler için güncel bir risk haline geldiğini düşünüyor
  • Hallucination Check, tüm alıntıları tek tek manuel doğrulamadan halüsinasyon alıntıları ve yanlış bilgileri tespit etmeye yarayan bir araç olarak sunuluyor
  • Araç, IJCAI, ICLR ve ICSE gibi akademik konferanslara gönderilen çalışmaların incelenmesinde de kullanılıyor
  • Sonuç olarak, Ernst & Young gibi itibarlı kaynaklardan gelen alıntıları bile yalnızca güvene dayanarak kabul etmek artık zorlaştı
  • GPTZero’nun Hallucination Check bağlantısı veriliyor

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Birçok meslekte görülen sorun şu: AI çıktıları, bilgili kişilerin — deneyimli analistler, kıdemli mühendisler, uzman avukatlar, asistan doktorlar gibi — düzgün incelemesinden geçmiyor
    En iyi ihtimalle üstünkörü bakılıyor; en kötü ihtimalde ise yayımlanmadan, dağıtıma çıkmadan, prodüksiyona alınmadan, müşteriye gönderilmeden ya da mahkemeye sunulmadan önce hiç bakılmıyor
    Çoğu durumda gerekli inceleme yetkinliği kurumun içinde var, ama o kişiler zaten günlük işleriyle aşırı yük altında
    Birkaç ay önce Amazon'un üretken yapay zeka çıktılarının kıdemli mühendislerce incelendiğine dair bir yazı(https://news.ycombinator.com/item?id=47323017) görünce sadece gülebildim. Zaten meşgul olan insanlarken, Amazon'un proje ve temel altyapı geliştirme genelinde insan darboğazlarının artmasına izin vereceğini sanmıyorum

    • Sorunun bir kısmı, bitmiş belgeyi ancak tamamen piştikten sonra inceleyin diye önünüze koymaları
      Kurum genelinde temel mühendislik ilkeleri gerektiğini savunuyorum
      Bir mühendise neyin başarılmak istendiğine dair özgün bir şartname olmadan 1000 satır kodu incele denmez. En azından bağlam gerekir; ideal olarak inceleyen kişi iş ilk gündeme geldiğinde de orada olmalı ki genel bağlamı bilsin
      Ama bu belgeler hep ya her şey ya hiçbir şey şeklinde geliyor. 39. metrik en ince ayrıntısına kadar tanımlanmışken bunu geri mi çevireceksiniz, yoksa artık iş işten geçti deyip kabullenecek misiniz
      Tek sayfalık bir belge, Amazon tarzında belki 6 sayfalık bir belge bile olsa, sadece “önerim şu” demesi bile fikrin iskelet aşamasında genel şekline itiraz etmeye ve onu rafine etmeye yeter. Değerli raporun tamamlanmış olmasına dair duygusal yatırım oluşmadan önce olmalı
      Bu, geleneksel olarak ürün tarafının SCRUM ortamında şartnameyi gözden geçirmesine ve mühendislerin de gerçekten kod incelemesi yapmasına benziyor. Tabii SCRUM öldü ama o başka konu
    • Avukat olarak bakınca, AI çıktısını incelemek çoğu zaman en baştan kendim yapmaktan daha uzun sürüyor gibi geliyor. Mevcut şablonları kullanmakla kıyaslanınca zaten hiç değil
      AI kullanınca her şeyi okumak, neden yanlış olduğunu açıklamak ve sonunda çoğunu baştan yazmak zorunda kalıyorsunuz
      Faturalanabilir saatler çok artıyor ama bu, AI'nin konuyu anlamayan biri için hızlı ve erişilebilir olma avantajının nasıl ortadan kaybolduğunu gösteren bir belirti gibi
    • “Bilgili insanlar AI çıktısını incelemiyor” denirken, kovulan ve moralleri zaten bozulmuş olan o insanlardan mı söz ediyoruz diye düşünüyorum
      “Büyük adamlar ve kadınlar”ın vibe coding sevmesinin nedenlerinden biri, artık eskiden “bağlam uzmanına devretmeleri” gereken o sancılı süreci yaşamadan işi kendileri yapabildiklerini düşünmeleri
      Artık LLM'nin “yerleşik bağlam uzmanı” olduğunu düşünüyorlar; bu yüzden çıktıyı ayrıca gözden geçirmeye gerek duymuyorlar
    • Sorun şu ki, bazen çıktıyı doğrulamak en baştan üretmekten daha uzun sürüyor
      Böyle olunca AI, birçok kullanım alanında yatırım getirisinin ciddi biçimde negatif olduğu bir sisteme dönüşüyor
    • Özellikle eğitim ve insan bilgisinin yönetimi ile ilgileniyorum. BT eğitim hızının neredeyse sıfıra indiğini gördüm
      Hata yaptığınızda sonucunun akşam haberlerine çıkabileceği profesyonel eğitimleri düşünün
      Sayı matrislerinden çıkan dizeleri sorgulamayı bırakarak kabul etmek ve herkesin sadece kendi sorumluluğundan kaçmaya çalışması fikri bile ürkütücü
      Bu, Güney Asya havayollarının pilotlara manuel inişi yasaklayıp beceri erozyonunu artırması ve sonunda iyi bilinen felaketlere yol açması gibi
      Yüksek ücretli danışmanlar bile bağlantıları doğrulamıyorsa, durum daha da vahim

  • Bunun sadece düz metin olarak görülebilen bir kaynağı var mı? CSS stilleri yüzünden başım ağrıdı ve okuma modu ya çalışmıyor ya da engellenmiş gibi

    • Kaydırma gerçekten işkence ve okuma moduna geçince de bozuldu
    • Firefox'ta sayfadaki yalnızca metni çekip sadeleştirilmiş biçimde gösteren kullanışlı bir Reader view var. Mac'te Opt + CMD + R ile açabilirsiniz
      Yalnız bu özellik de kullanılan kaynakların bir kısmını içeren görselleri kaldırma sorunu yaşıyor
    • iOS'taki Lockdown Mode'da da durum aynı

  • Asıl komedi, böyle çöplerin üst yönetimden aşağı inmesini izlemek. Beceriksiz prompt'lar, halüsinasyon ürünü saçmalıklar, sıfır uygulanabilir bilgi ve gerçekten bilen hiçbir analiz olmadan sadece palavra
    “Jira'dan çekilmiş destek talepleri analizine bakın. Bu ilk üç sorunu mutlaka çözmeliyiz!!!” gibi geliyor ama aslında bunların hepsi herkesin yıllardır bildiği şeyler ve yönetim sadece kimseye düzeltme yetkisi vermemiş
    Bunu ikiden fazla gördüğüme göre buna bir ad lazım. Garbagemaxxing mi demeliyiz

    • “İlk üç sorunu çözmeliyiz” denilen şeyler aslında herkesin uzun zamandır bildiği ve yönetimin çözme yetkisi vermediği sorunlarsa, yine de net etki pozitif sayılmaz mı diye düşünüyorum

  • Gezinmesi gerçekten korkunç bir sayfa

    • Mobilde kaydırmayı ele geçiriyor; kelimenin tam anlamıyla daha aşağı inemiyorsunuz. Okuma modu da ancak ilk paragraf kadarını gösteriyor
      Sonra masaüstünde tekrar bakmam gerekecek. İçerik ilginç görünüyor ama pratikte okunması imkansız. Ernst and Young'ı tanıtan bölümü geçemiyorum
    • Sanki benim scroll'um halüsinasyon görüyor
    • Bu bambaşka bir kullanıcı düşmanlığı seviyesi. Daha önce böyle bir şey görmedim
    • iPhone otomatik olarak okuma modunu açtı, ne dendiğini görmek için kapatınca hak verdiğimi fark ettim
    • Kelimenin tam anlamıyla duraklamalı doğrusal olmayan geri bildirim, korkunç
      Bazı insanların web sitesi yapmaması lazım

  • Biri web sayfasında scroll'un nasıl çalışması gerektiği konusunda da mı halüsinasyon gördü?

  • Garip olan, bu raporun 12-18 ay önce çıksa devasa bir skandal olacağı ve kalıcı marka hasarı yaratacağı halde, artık kimsenin bunu hatırlamayacak ya da fark etmeyecek gibi görünmesi

  • Önce web sitesini düzeltmeleri lazım. Berbat JavaScript animasyonları çöpe gitmeli. Bunlar 2014'te D3JS ve jQuery ile zaten çözülmüş şeylerdi

  • Bunun nasıl olduğunu gerçekten anlamıyorum. Örneğin Qwen Chat ya da Perplexity, üretilen her cümlenin sonuna atıf koyuyor
    Böylece her atfın üzerine fareyle geldiğinizde hangi web sitesinden alındığını görebiliyorsunuz
    Yoksa web araması olmadan ChatGPT'ye prompt verip kopyala-yapıştır mı yaptılar?

  • EY geçen bir yıl boyunca sessiz sedasız insanları işten çıkarıyordu
    Daha az insanla daha çok iş yapmaya çalışınca bunun kalite düşüşüne yol açması şaşırtıcı değil

    • İlginç olan şu ki, hiçbir şey yapmayan bir hizmete bile epey talep olabiliyor
      Şirket işlerinin çoğu sadece kutucuk işaretleme
      Patron “X hakkında bir rapor getir. Ben de bunu kendi patronuma vereceğim, o da okumayacak” diyor
      Sonra yapı şu oluyor: “E&Y, bize bir rapor hazırlayın. Alın size 200 bin dolar.”

  • Web sayfasının kendisi de büyük ihtimalle vibe coding ile yapılmıştır ve yazan kişi bunu umursamamıştır