Bu makale VentureBeat’in “Siber dayanıklılık oyun kitabı: Yeni tehditler çağında gezinmek” özel sayısının bir parçasıdır. Bu özel sayıdan daha fazlasını burada okuyabilirsiniz.
Üretken yapay zeka, ilginç güvenlik sorunları gündeme getiriyor ve şirketler agentik dünyaya geçtikçe bu güvenlik riskleri artış gösteriyor.
Yapay zeka ajanları iş akışlarına entegre edildiğinde, etkili bir şekilde çalışabilmeleri için hassas verilere ve belgelere erişim sağlamaları gerekiyor. Bu durum, birçok güvenlik odaklı şirket için büyük bir risk oluşturuyor.
Neden AI Ajanları Bu Kadar Yüksek Güvenlik Riski Taşıyor?
Son birkaç ayda, otonom yapay zeka ajanları oldukça popüler hale geldi. Bu ajanlar, karmaşık görevleri yerine getirebilme yetenekleri sayesinde, iş süreçlerine entegre edilebiliyor. Ancak, güvenlik profesyonelleri için büyük bir sorun oluşturuyorlar: Ajanların etkili olabilmesi için verilere erişmeleri gerekirken, bunun sonucunda gizli bilgilerin yanlışlıkla açığa çıkma riski bulunuyor.
AWS’in CISO’su Chris Betz, edinme artırımlı üretim (RAG) ve agentik kullanım durumlarına ilişkin güvenlik açısının oldukça ilginç olduğunu belirtiyor. Betz, “Ajan, misyonunu destekleyecek her şeyi bulmak için arama yapacak. Eğer belgeleri aşırı paylaşım yapıyorsanız, organizasyonunuzun paylaşım politikalarına bakmanız gerekiyor.” diyor.
AI Ajanlarının Güvenlik Açıkları
Üretken yapay zeka, birçok işletmeyi potansiyel güvenlik açıklarının farkına varmasını sağladı ancak ajanslar, daha fazla sorunun kapısını açabilir.
Carignan, günümüzde tek ajan sistemler üzerinde etkili olan saldırıların (veri zehirlemesi, istek enjeksiyonu veya sosyal mühendislik gibi) çok ajanlı sistemlerde de zayıflıklara dönüşebileceğini vurguladı. Bu nedenle, şirketlerin ajanların erişebileceği veri noktalarına dikkat etmeleri gerekiyor.
Ajanlara Kimlik Verme İhtiyacı
Ajanlara belirli erişim kimlikleri vermek, bu sorunun bir çözümü olabilir. Ajanların, bir insan tarafından sertifikalandırılan izinlerle hareket etmesini sağlamak, erişim kontrolünü sağlamak açısından önemlidir. Jason Clinton, bu bağlamda, ajanların yanı sıra onların taleplerini yapan insanın kimliğini kaydetmenin de kritik olduğunu belirtiyor.
Her aşamada hangi verilerin erişime açılacağını düşünmek, özellikle büyük veri kullanımında şirketlerin güvenliği artırmak için bir fırsat oluşturabilir.
Eski Usul Denetim Yetersiz Kalıyor
Şirketler, ajanların çalışma biçimlerini de inceleyebilecekleri platformlara yönelmelidir. örneğin, Don Schuerman, Pega’nın kullanıcıların ajanın ne yaptığını görebilmesine olanak tanıdığını belirtti. Şirketin en yeni ürünü olan AgentX, insan kullanıcıların ajanın hangi adımlarla ilerlediğini görmelerini sağlıyor.
Denetim, zaman çizelgeleri ve kimliklendirme, AI ajanlarının oluşturduğu güvenlik sorunlarını tam anlamıyla çözmese de, şirketler ajanların potansiyelini keşfettikçe daha hedeflenmiş çözümler bulabilirler.
