Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP), kuruluşların dağıttıkları aracı sistemler ile bu sistemlerin ihtiyaç duyduğu yönetişim arasındaki boşluğu kapatmalarına yardımcı olmayı amaçlayan yeni bir aracı yapay zeka güvenlik olgunluk çerçevesini kullanıma sundu.
Çerçeve, OWASP GenAI Güvenlik Projesi'nin 3 Haziran'da yayınlanan en son makalesi olan State of Agentic AI Security and Governance'da yer alıyor ve sürekli büyüyen kuralların bir kataloğu yerine pratik bir karar aracı olarak sunuluyor.
Pillar Security'nin CTO Ofisi'nde yapay zeka güvenlik araştırmacısı ve raporun ortak liderlerinden biri olan Ariel Fogel, 4 Haziran'da Infosecurity Europe 2026'da düzenlenen OWASP GenAI Güvenlik Zirvesi'nde yeni çerçeveyi tanıttı.
Yeni rehbere 'Kurumsal Benimseme Olgunluk Modeli' adı verildi.
Sistem Güvenliği
Fogel, "Çoğu kuruluş aracıları yönetebileceklerinden daha hızlı bir şekilde dağıtıyor. Ekipler özel ve çok aracılı sistemleri sevk ederken ve çalıştırırken yönetişim hala yapay zeka yardımcı pilotları için tasarlanan olgunluk seviyelerinde çalışıyor" dedi.
OWASP'ın Yeni Aracı Yapay Zeka Güvenlik Olgunluk Modeli Nasıl Çalışıyor?
Çerçeve, yönetişim sorununu birbiriyle bağlantılı iki boyuta göre haritalandırıyor. Bir eksen, gölge yapay zeka ve tek satıcılı araçlardan özel aracılara, çoklu aracılı ve birleşik sistemlere kadar dağıtılanları yakalar.
Nasıl Önlem Alınmalı?
Yazarlar, ajansal yapay zekanın benimsenmesinin altı düzeyini tanımladılar:
AT0 – Gölge AI: Kurumsal farkındalık veya onay yok. Kullanıcılar, yönetim dışında yapay zeka araçlarını kendi kendine benimsiyor
AT1 – Satıcının yerleşik asistanı: Tamamen satıcı tarafından kontrol edilir. Onu tüketiyorsun, inşa etmiyorsun
AT2 – Platform entegre: Verilerinizi içeren yapay zeka tabanlı platform. Rastgele kod çalıştırılamıyor
AT3 – Citizen geliştirici aracısı: Az kodlu/kodsuz platform. Kullanıcı, kodu değil akışları ve istemleri yapılandırır. Gerçek organizasyon verilerine ilişkin eylemler
AT4 – Kod yürütme aracısı: Yerel/bulut ayrıcalıklarıyla kod üretir ve yürütür
Önemli Gelişmeler
AT5 – Özel şirket içi temsilci: Onu siz yarattınız. Kimliği, araçları ve sınırları siz kontrol edersiniz
Diğer kriter, geçici süreçlerden sürekli izlemeye ve uyarlanabilir otomatik uygulamaya kadar yönetişimin olgunluğunu ölçer.
Gelecekte Ne Bekleniyor?
Yazarlar dört olgunluk düzeyi tanımladılar:
Seviye 0 – Farkında değil ve geçici: Ajan yapay zekanın, geleneksel yapay zekanın ötesindeki farklı yönetişim/güvenlik riskleri resmi olarak tanınmamaktadır. Gölge BT deneyleri politikalardan, yapay zeka yazılımı malzeme listelerinden (SBOM'lar) veya korkuluklardan yoksundur; minimum düzeyde günlük kaydı ve genel BT olay yönetimi ile gözetim gayrı resmidir
Seviye 1 – Korkuluksuz deneme: Tek aracılı/küçük iş akışlı pilot projeler, tanımlanmış özerklik sınırlarından, karar kapsamlarından veya üst kademeye yükseltme kriterlerinden yoksundur. Genel yapay zeka politikaları ve ara sıra kırmızı ekip oluşturma, sürekli izleme veya risk kademelendirmesi olmadan yönetişim sağlar; sorumluluk yaygındır
Seviye 2 – Politika tanımlı, döngüdeki insan: Resmi politikalar, yüksek etkili kararlar için zorunlu döngüdeki insan içeren kullanım örneklerini düzenlemelerle (AB Yapay Zeka Yasası, GDPR) eşleştirir. İşlevler arası yönetişim, adlandırılmış sahibi (ör. CAIO) içerir; günlük kaydı/sürüm oluşturma/AI-SBOM oluşturuldu ancak izleme periyodiktir
Uzmanların Görüşleri
Seviye 3 – Entegre, sürekli gözetim: Ajans yapay zekası, düzenlenmiş alanlarda risk katmanlı iş akışları ve özerklik merdivenleri ile kritik bir altyapı olarak ele alınır. Gerçek zamanlı kontrol panelleri sapmaları/anomalileri takip eder; kill anahtarları özerklik duraklamalarını etkinleştirir. Kod olarak yönetişim, yapay zeka yaşam döngüsü boyunca makine tarafından okunabilen politikaları zorunlu kılar
Aracı Yapay Zekanın Benimsenmesi-Olgunluk Eşleşmeleri ve Uyuşmazlıklarının Değerlendirilmesi
Bu iki kriteri birleştirerek, her aracılı yapay zeka iş akışı için kuruluşlar, yönetişimlerinin dağıtımlarıyla eşleşip eşleşmediğini değerlendirebilir veya yönetim, aracıların ne yaptığını göremez.
Fogel bunu yeşil alanları (yönetim dağıtımla eşleştiğinde), sarı alanları (güvenlik ve yönetim ekiplerinin tam gözetime sahip olamayabileceği durumlarda) ve kırmızı alanları (doğru yönetim düzeyi olmadan dağıtım uygulandığında) gösteren bir tabloyla sundu.
Detaylar ve Etkileri
Fogel, "Alyuvarlarda ameliyat yapmayın" diye uyardı.