Kurumsal ortamlara ajan tabanlı yetenekler eklemek kimlik sistemlerine tamamen yeni bir aktör sınıfı getiriyor. Yapay zeka ajanları hassas kurumsal sistemler içinde işlem yapıyor ve oturum açıyor. Veri çekiyor ve iş akışlarını yürütüyor. Bu süreçlerin büyük bölümü geleneksel kimlik ve erişim yönetimi sistemlerinin sağlayabileceği görünürlük ve kontrol olmadan gerçekleşiyor. 1Password CTO'su Nancy Wang konuyu şu sözlerle özetliyor: "Kurumsal kimlik ve erişim yönetimi mimarileri tüm sistem kimliklerinin insan olduğunu varsayacak şekilde tasarlandı." Wang'a göre yapay zeka ajanları bu varsayımları kökten yıkıyor. NIST'in Sıfır Güven Mimarisi de uygulamalar ve insan dışı varlıklar dahil tüm öznelerin kimlik doğrulaması yapılana kadar güvenilmez kabul edilmesi gerektiğini açıkça belirtiyor.
Geliştirme ortamları yeni güvenlik risk bölgelerine dönüşüyor
Kimlik varsayımlarının en hızlı bozulduğu alan modern geliştirme ortamları olarak öne çıkıyor. Entegre geliştirme ortamları artık sistemleri okuyabilen ve yazabilen ve çalıştırabilen ve yapılandırabilen düzenleyicilere dönüştü. Bu sürecin merkezinde bir yapay zeka ajanı bulunduğunda anlık enjeksiyon saldırıları soyut bir olasılıktan somut bir riske dönüşüyor. Görünüşte zararsız bir README dosyası bile bir ajanı kimlik bilgilerini ifşa etmeye yönlendiren gizli yönergeler içerebiliyor. Güvenilmeyen kaynaklardan gelen proje içeriği ajan davranışını beklenmedik biçimlerde değiştirebiliyor. Giriş kaynakları artık yalnızca kasıtlı olarak çalıştırılan dosyalarla sınırlı kalmıyor. Dokümantasyon ve yapılandırma dosyaları ve araç meta verileri ajanların karar verme süreçlerini doğrudan etkiliyor.
Geleneksel kimlik yönetimi yöntemlerinin yetersiz kaldığı noktalar
Geleneksel kimlik ve erişim yönetimi sistemleri ajan tabanlı yapay zekanın ihlal ettiği birkaç temel varsayıma dayanıyor. Statik ayrıcalık modelleri otonom ajan iş akışlarında işlevsiz kalıyor çünkü ajanlar farklı anlarda farklı ayrıcalık seviyeleri gerektiren eylem zincirleri yürütüyor. İnsan sorumluluğu yazılım ajanları söz konusu olduğunda belirsizleşiyor ve bu durum başlı başına büyük bir güvenlik açığı oluşturuyor. Davranış tabanlı tespit sistemleri sürekli ajan aktivitesi karşısında yetersiz kalıyor çünkü ajanlar aynı anda birden fazla sistemde kesintisiz çalışıyor. Wang bu durumu şöyle açıklıyor: "Burada asıl önemli olan bağlam ve bir ajanın ardındaki niyet. Geleneksel kimlik ve erişim yönetimi sistemleri bunu yönetme yeteneğine sahip değil." Ajan kimlikleri çoğu zaman geleneksel araçlar için tamamen görünmez hale geliyor ve bu durum BT ekiplerinin ortamlarını yönetme kapasitesini ciddi ölçüde kısıtlıyor.
Ajan tabanlı sistemler için güvenlik mimarisini yeniden kurmak
Ajan tabanlı yapay zekanın güvenliğini sağlamak kurumsal güvenlik mimarisini baştan aşağı yeniden düşünmeyi gerektiriyor. Kimlik artık birçok güvenlik bileşeninden biri olarak değil yapay zeka ajanları için temel kontrol düzlemi olarak ele alınmalı. Politikalar çok daha ayrıntılı hale gelmeli ve yalnızca bir ajanın neye erişebileceğini değil hangi koşullar altında erişebileceğini de tanımlamalı. Kimlik bilgilerini ajanların görüş alanının tamamen dışında tutan sıfır bilgiye dayalı yaklaşımlar umut verici bir model olarak öne çıkıyor. Ajan denetlenebilirliği ajanın kim olduğunu ve hangi yetki altında çalıştığını ve tüm eylem zincirini kayıt altına almayı zorunlu kılıyor. Wang'ın öngörüsü bu dönüşümün yönünü net biçimde ortaya koyuyor: "Üretimde ajanlar için basamak fonksiyonu yalnızca daha akıllı modellerden gelmeyecek. Öngörülebilir yetki ve uygulanabilir güven sınırlarından gelecek."
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
