Suni zeka, işyerlerinde son zamanlardaki öteki teknolojilerden daha süratli yayılıyor. Çalışanlar her gün, çoğu zaman BT güvenlik ekiplerinin izni yada nezarete olmadan suni zeka teknolojilerini kurumsal sistemlere bağlıyor. Netice, uzmanların söylediği şey gölge yapay zekası – şirket verilerine izlenmeden erişen, büyüyen bir vasıta ve entegrasyon ağı.
Dr.Tal Shapira, SaaS güvenliği ve suni zeka yönetişim çözümü sağlayıcısının kurucu ortağı ve CTO’su Rekobu görünmez yayılmanın, bilhassa de mevcut suni zeka benimseme hızının kurumsal koruma önlemlerini geride bıraktığı göz önüne alındığında, günümüzde kuruluşların karşı karşıya olduğu en büyük tehditlerden biri haline gelebileceğini söylüyor.
Shapira, “Ortalama 18 ay içinde ‘Suni zeka geliyor’ durumundan ‘Suni zeka her yerde’ durumuna geçtik. Mesele, yönetişim çerçevelerinin buna yetişememesidir” dedi.
İçindekiler
Şirket sistemlerindeki görünmez risk
Shapira, bir çok kurumsal güvenlik sisteminin, her şeyin güvenlik duvarlarının ve ağ sınırlarının arkasında kalmış olduğu eski bir dünya için tasarlandığını söylemiş oldu. Shadow AI, firmanın kendi araçlarına gizlenerek içeriden çalmış olduğu için bu modeli bozuyor.
Birçok çağıl suni zeka aracı, Salesforce, Slack yada Google Workspace şeklinde günlük SaaS platformlarına direkt bağlanır. Bu kendi başına bir risk olmasa da suni zeka bunu çoğu zaman kurulumdan sonrasında etkin kalan izinler ve eklentiler vasıtasıyla yapar. Bu ‘sessiz’ bağlantılar, onları kuran şahıs bu tarz şeyleri kullanmayı bıraktıktan yada kuruluştan ayrıldıktan sonrasında bile suni zeka sistemlerinin şirket verilerine erişmesini sağlamaya devam edebilir. Bu büyük bir gölge suni zeka problemi.
Shapira şunları söylemiş oldu: “Daha derin mesele, bu araçların kimi zaman aylarca yada senelerce fark edilmeden kendilerini firmanın altyapısına yerleştirmesidir.”
Birçok suni zeka sistemi olasılığa dayalı olduğundan, yeni risk sınıfını izlemek bilhassa zor olsa gerek. Suni zeka, net komutlar uygulamak yerine kalıplara dayalı tahminler yapıyor, böylece eylemleri bir durumdan diğerine değişebiliyor, bu da onların gözden geçirilmesini ve denetim edilmesini zorlaştırıyor.
Suni zeka haydut olduğunda
Gölge suni zekanın verdiği hasar, gerçek dünyadaki vakalarda esasen açıkça görülüyor. Reco kısa sürede sistemlerinin güvenli ve uyumlu olduğuna inanan bir Fortune 100 finans firmasıyla çalıştı. Reco’nun seyretme sisteminin devreye alındığı günlerde şirket, Salesforce ve Microsoft 365 ortamlarında 1000’den fazla yetkisiz üçüncü taraf entegrasyonunu ortaya çıkardı; bunların yarısından fazlası suni zeka tarafınca destekleniyordu.
Zoom’a bağlı bir transkripsiyon aracı olan entegrasyon, fiyatlandırma tartışmaları ve gizli saklı geri bildirimler de dahil olmak suretiyle her satın alan görüşmesini kaydediyordu. Shapira, “Bilmeden en duyarlı verileri üstünde üçüncü taraf bir modeli eğitiyorlardı” dedi. “Hiçbir sözleşme yoktu, bu verilerin iyi mi saklandığına yada kullanıldığına dair bir anlayış yoktu.”
Başka bir durumda, bir çalışan ChatGPT’yi direkt Salesforce’a bağlayarak suni zekanın saatler içinde yüzlerce dahili rapor oluşturmasına olanak sağlamış oldu. Bu etkili görünebilir sadece hem de satın alan bilgilerini ve satış tahminlerini harici bir suni zeka sistemine de maruz bıraktı.
Reco tespit edilemeyenleri iyi mi tespit ediyor?
Reco’nun platformu, şirketlere hangi suni zeka araçlarının sistemlerine bağlı olduğu ve bu araçların hangi verilere erişebileceği mevzusunda tam görünürlük sağlamak için tasarlandı. SaaS ortamlarını OAuth izinleri, üçüncü taraf uygulamalar ve tarayıcı uzantıları açısından devamlı olarak tarar. Reco, tanımlandıktan sonrasında bu tarz şeyleri hangi kullananların yüklediğini, hangi izinlere haiz olduklarını ve davranışın şüpheli görünüp görünmediğini gösterir.
Bağlantı riskli görünüyorsa sistem yöneticileri uyarabilir yada erişimi otomatikman iptal edebilir. Shapira, “Hız önemlidir zira suni zeka araçları büyük miktarlarda veriyi günler değil, saatler içinde çıkarabilir” dedi.
Ağ sınırlarına dayanan geleneksel güvenlik ürünlerinden değişik olarak Reco, kimlik ve erişim katmanına odaklanır. Bu da onu, bir çok verinin geleneksel güvenlik duvarının haricinde yaşamış olduğu, günümüzün bulut öncelikli, SaaS ağırlıklı kuruluşları için oldukca uygun kılıyor.
Daha geniş bir güvenlik uyandırma çağrısı
Sektör analistleri, Reco’nun çalışmasının kurumsal güvenlikteki daha büyük bir eğilimi yansıttığını söylüyor: Suni zekayı engellemekten onu yönetmeye geçiş. Yakın tarihindeki bir habere nazaran Yapay zekaya hazırlığa ilişkin Cisco raporu2025’te kuruluşların %62’si, çalışanların işyerinde suni zeka araçlarını iyi mi kullandıklarına dair oldukca azca görünürlüğe haiz olduklarını ve neredeyse yarısı halihazırda suni zeka ile ilgili minimum bir veri vakası yaşadığını itiraf etti.
AI özellikleri Salesforce’un Einstein’ından Microsoft Copilot’a kadar ana akım yazılımlara dahil edildikçe güçlük da büyüyor. Shapira, “Güvenilir bir platform kullandığınızı düşünebilirsiniz, sadece bu platformun artık verilerinize otomatikman erişen suni zeka özelliklerini içerdiğini fark etmemiş olabilirsiniz.”
Reco’nun sistemi, onaylı ve onaysız suni zeka faaliyetlerini izleyerek, şirketlerin verilerinin nereye ve niçin aktığına dair daha net bir fotoğraf oluşturmasına destek olarak aradaki farkı kapatmaya destek oluyor.
Suni zekadan güvenli bir halde yararlanma
Shapira, işletmelerin suni zeka altyapı aşaması olarak adlandırdığı, her iş aracının görünür olsun yada olmasın bir tür suni zeka içereceği bir döneme girdiğine inanıyor. Bu, devamlı izlemeyi, minimum ayrıcalıklı erişimi ve kısa ömürlü izinleri olmazsa olmaz hale getirir.
“Başarı göstermiş olan firmalar suni zekayı engelleyenler olmayacak” diye gözlemledi. “Hem yeniliği hem de itimatı korumuş olan korkuluklarla, bunu güvenle benimseyenler onlar olacak.”
Shadow AI’nin çalışanların dikkatsizliğinin değil, değişen teknolojinin ne kadar süratli ilerlediğinin bir işareti bulunduğunu söylemiş oldu. “İnsanlar üretken olmaya çalışıyor” dedi. “Bizim işimiz, organizasyonu riske atmadan bunu yapabilmelerini sağlamak.”
Verilerinin kontrolünü kaybetmeden suni zekadan yararlanmaya çalışan kuruluşlar için Reco’nun mesajı rahat: Göremediğiniz şeyi güvence altına alamazsınız.
Fotoğraf deposu: Unsplash