22 Mayıs'ta düzenlenen Güvenlik Zirvesi 2026 forumunda, Viettel Siber Güvenlik Bilgi Güvenliği Hizmetleri Merkezi Direktörü Bay Mai Xuan Cuong, yapay zeka ajanları ile geleneksel öğrenme yönetim sistemleri arasındaki en tehlikeli farkın, sistemle doğrudan etkileşim kurabilme yeteneklerinde yattığını belirtti.
Geleneksel LLM'ler yalnızca komut alıp metin döndürürken, yapay zeka ajanları kabuk komutlarını yürütme (komut satırı aracılığıyla işletim sistemiyle etkileşim kurma), dosya sistemlerini okuma ve yazma için manipüle etme, otomatik olarak e-posta gönderme, API'leri çağırma ve tarayıcıları kontrol etme yeteneğine sahiptir. Bu yükseltme, istemeden de olsa, tipik dezenformasyon kampanyalarının kapsamının çok ötesine geçen daha geniş bir saldırı olasılığı yelpazesini ortaya çıkarıyor.
Yapay zekâ ajanları siber suçlular için yeni bir hedef haline geliyor.
Siber güvenlik uzmanlarına göre, yapay zekâ ajanlarını siber suçlular için yeni bir hedef haline getiren de bu "harekete geçme" yeteneğidir.
En büyük risklerden biri kurumsal verilerin sızmasıdır. Yapay zekâ ajanlarının etkili bir şekilde çalışabilmesi için genellikle kaynak kod, belgeler ve e-postalar gibi büyük miktarda dahili bilgiyi işlemesi gerekir. Bu veriler üçüncü taraf bulut yapay zekâ platformlarına gönderilirse, gizli bilgilerin ifşa edilme riski artar.
Samsung çalışanlarının ChatGPT aracılığıyla yeni kaynak kodunu sızdırdığı veya Meta çalışanlarının dahili yapay zekadan gelen talimatları izleyerek istemeden veri sızdırdığı vakalar kaydedilmiştir.
Veri sızıntısı riskine ek olarak, uzmanlar "dolaylı komut enjeksiyonu" konusunda da uyarıda bulunuyor. Hackerlar, yapay zekâ ajanlarını istenmeyen eylemler gerçekleştirmeye, örneğin iç verilere erişmeye veya hackere bilgi göndermeye kandırmak için e-postalara, web sitelerine veya belgelere kötü amaçlı talimatlar yerleştirebilirler.
Bir olayda, bir saldırgan sistemi atlatmak için bir mesajın içine Mors kodu gizlemiş ve bu sayede kripto para aracısı Grok-Bankrbot'un yetkisiz bir para transferi gerçekleştirmesine olanak sağlayarak 150.000 dolarlık bir kayba yol açmıştır.
Bir diğer risk ise yapay zekâ ajanları için geliştirilen eklenti ekosisteminden kaynaklanmaktadır. İşletmelerdeki birçok çalışan, yapay zekânın işlevselliğini genişletmek için topluluktan eklentiler yüklemektedir; ancak bilgisayar korsanları bu kanalı kötü amaçlı yazılım yaymak için kullanabilir. Sistem erişimi sağlandıktan sonra, bu sahte eklentiler veri, belirteç çalabilir veya cihazda arka kapılar oluşturabilir.
Bay Cuong'a göre, çalışanların BT departmanından geçmeden kendi başlarına iş bilgisayarlarına yapay zeka yazılımları kurmasıyla ortaya çıkan "Gölge Yapay Zeka" trendi de giderek yaygınlaşıyor. Bu durum, işletmelerin erişimi kontrol etmesini zorlaştırıyor ve sistem güvenliği ihlallerinin riskini artırıyor.
Dahası, yapay zeka kullanıcı niyetlerini yanlış yorumlayarak işletmelere önemli zararlar verebilecek komutların yürütülmesine yol açabilir. Örneğin, bir yapay zeka ajanı aşırı yetkiler verildiğinde yanlış bir işlem gerçekleştirebilir veya önemli verileri yanlışlıkla silebilir.
Riskleri azaltmak için, kuruluşların yalnızca geleneksel virüs koruma yazılımlarına güvenmek yerine çok katmanlı bir güvenlik modeli oluşturmaları ve uygun bir uygulama yol haritası geliştirmeleri önerilir.
İşletmelerin çok katmanlı bir güvenlik modeli oluşturmaları gerekiyor.
Bir işletmenin atması gereken ilk adım tehdit tespitidir. İşletmeler, tehditleri toplamak ve tanımlamak için uç noktaları ve web proxy trafiğini (cihazları internete bağlayan ara sunucular) kullanabilirler.
Ardından, tüm yapay zeka erişimi için tek kontrol noktası olacak bir yapay zeka ağ geçidi kurmamız gerekiyor. Bu ağ geçidi, verilerin genel buluta iletilmesini kontrol edecek.
Sonuç olarak, işletmelerin kötü amaçlı komutları belirlemek, veri sızıntılarını önlemek ve sisteme yetkisiz erişimi veya sistemin kötüye kullanılmasını tespit etmek için yapay zeka ağ geçitlerine ve diğer yapay zeka uygulamalarına ek bir özel kontrol katmanı (Guardrail) uygulamaları gerekmektedir.
Bir sonraki adım, yapay zeka ajanı için takviyeler oluşturmaktır. Uç noktadaki izleme sistemi, olağandışı "otonom davranışları" izleyecek şekilde yapılandırılmalıdır. Yapay zeka ajanı, bir olay meydana gelmesi durumunda yayılma riskini sınırlamak için minimum erişime sahip izole bir ortamda çalıştırılmalıdır. Son olarak, düzenli sistem izlemesi şarttır.
"Yapay zeka güvenlik yönetimi, tek seferlik bir uygulama değil, sürekli bir izleme sürecidir," diye belirtti Bay Cuong.
Yapay zeka ajanlarının hızlı gelişme döneminde, yapay zeka güvenlik yönetimi zorunlu bir gereklilik haline gelecektir. İşletmeler Sıfır Güven güvenlik modelleri ve titiz izleme sistemleri kurmaya hazır değilse, yapay zeka ajanlarını harekete geçirmek, sistem anahtarlarını son derece yetenekli ancak manipülasyona çok açık bir çalışana teslim etmek gibidir.
Kaynak: https://doanhnghiepvn.vn/cong-nghe/doanh-nghiep-can-lam-gi-de-tranh-bi-ai-agent-phan-chu/20260523080712445
![[Resim] Hanoi'nin "kavurucu sıcak" bir ortamın zorlukları altındaki kentsel yaşamı](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/25/1779706979265_nang-nong-t5-2026-minh-duy-7-4636-jpg.webp)
![[Resim] İki otoyolu ve Long Thanh Havalimanı'nı birbirine bağlayan kavşağın yakın çekim görüntüsü.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2026/05/25/1779703378210_ndo_br_z7863716673926-224453a31600126cce10622af6290afd-4549-jpg.webp)
Yorum (0)