Bilgi Güvenliği Avrupa: OWASP, Aracı Yapay Zeka Güvenliği Olgunluk Çerçevesini Tanıtıyor Windows

Bilgi Güvenliği Avrupa: OWASP, Aracı Yapay Zeka Güvenliği Olgunluk Çerçevesini Tanıtıyor

Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP), kuruluşların dağıttıkları aracı sistemler ile bu sistemlerin ihtiyaç duyduğu yönetişim arasında...

Dünya Çapında Açık Uygulama Güvenliği Projesi (OWASP), kuruluşların dağıttıkları aracı sistemler ile bu sistemlerin ihtiyaç duyduğu yönetişim arasındaki boşluğu kapatmalarına yardımcı olmayı amaçlayan yeni bir aracı yapay zeka güvenlik olgunluk çerçevesini kullanıma sundu.

Çerçeve, OWASP GenAI Güvenlik Projesi'nin 3 Haziran'da yayınlanan en son makalesi olan State of Agentic AI Security and Governance'da yer alıyor ve sürekli büyüyen kuralların bir kataloğu yerine pratik bir karar aracı olarak sunuluyor.

Pillar Security'nin CTO Ofisi'nde yapay zeka güvenlik araştırmacısı ve raporun ortak liderlerinden biri olan Ariel Fogel, 4 Haziran'da Infosecurity Europe 2026'da düzenlenen OWASP GenAI Güvenlik Zirvesi'nde yeni çerçeveyi tanıttı.

Yeni rehbere 'Kurumsal Benimseme Olgunluk Modeli' adı verildi.

Sistem Güvenliği

Fogel, "Çoğu kuruluş aracıları yönetebileceklerinden daha hızlı bir şekilde dağıtıyor. Ekipler özel ve çok aracılı sistemleri sevk ederken ve çalıştırırken yönetişim hala yapay zeka yardımcı pilotları için tasarlanan olgunluk seviyelerinde çalışıyor" dedi.

OWASP'ın Yeni Aracı Yapay Zeka Güvenlik Olgunluk Modeli Nasıl Çalışıyor?

Çerçeve, yönetişim sorununu birbiriyle bağlantılı iki boyuta göre haritalandırıyor. Bir eksen, gölge yapay zeka ve tek satıcılı araçlardan özel aracılara, çoklu aracılı ve birleşik sistemlere kadar dağıtılanları yakalar.

Nasıl Önlem Alınmalı?

Yazarlar, ajansal yapay zekanın benimsenmesinin altı düzeyini tanımladılar:

AT0 – Gölge AI: Kurumsal farkındalık veya onay yok. Kullanıcılar, yönetim dışında yapay zeka araçlarını kendi kendine benimsiyor

AT1 – Satıcının yerleşik asistanı: Tamamen satıcı tarafından kontrol edilir. Onu tüketiyorsun, inşa etmiyorsun

AT2 – Platform entegre: Verilerinizi içeren yapay zeka tabanlı platform. Rastgele kod çalıştırılamıyor

AT3 – Citizen geliştirici aracısı: Az kodlu/kodsuz platform. Kullanıcı, kodu değil akışları ve istemleri yapılandırır. Gerçek organizasyon verilerine ilişkin eylemler

AT4 – Kod yürütme aracısı: Yerel/bulut ayrıcalıklarıyla kod üretir ve yürütür

Önemli Gelişmeler

AT5 – Özel şirket içi temsilci: Onu siz yarattınız. Kimliği, araçları ve sınırları siz kontrol edersiniz

Diğer kriter, geçici süreçlerden sürekli izlemeye ve uyarlanabilir otomatik uygulamaya kadar yönetişimin olgunluğunu ölçer.

Gelecekte Ne Bekleniyor?

Yazarlar dört olgunluk düzeyi tanımladılar:

Seviye 0 – Farkında değil ve geçici: Ajan yapay zekanın, geleneksel yapay zekanın ötesindeki farklı yönetişim/güvenlik riskleri resmi olarak tanınmamaktadır. Gölge BT deneyleri politikalardan, yapay zeka yazılımı malzeme listelerinden (SBOM'lar) veya korkuluklardan yoksundur; minimum düzeyde günlük kaydı ve genel BT olay yönetimi ile gözetim gayrı resmidir

Seviye 1 – Korkuluksuz deneme: Tek aracılı/küçük iş akışlı pilot projeler, tanımlanmış özerklik sınırlarından, karar kapsamlarından veya üst kademeye yükseltme kriterlerinden yoksundur. Genel yapay zeka politikaları ve ara sıra kırmızı ekip oluşturma, sürekli izleme veya risk kademelendirmesi olmadan yönetişim sağlar; sorumluluk yaygındır

Seviye 2 – Politika tanımlı, döngüdeki insan: Resmi politikalar, yüksek etkili kararlar için zorunlu döngüdeki insan içeren kullanım örneklerini düzenlemelerle (AB Yapay Zeka Yasası, GDPR) eşleştirir. İşlevler arası yönetişim, adlandırılmış sahibi (ör. CAIO) içerir; günlük kaydı/sürüm oluşturma/AI-SBOM oluşturuldu ancak izleme periyodiktir

Uzmanların Görüşleri

Seviye 3 – Entegre, sürekli gözetim: Ajans yapay zekası, düzenlenmiş alanlarda risk katmanlı iş akışları ve özerklik merdivenleri ile kritik bir altyapı olarak ele alınır. Gerçek zamanlı kontrol panelleri sapmaları/anomalileri takip eder; kill anahtarları özerklik duraklamalarını etkinleştirir. Kod olarak yönetişim, yapay zeka yaşam döngüsü boyunca makine tarafından okunabilen politikaları zorunlu kılar

Aracı Yapay Zekanın Benimsenmesi-Olgunluk Eşleşmeleri ve Uyuşmazlıklarının Değerlendirilmesi

Bu iki kriteri birleştirerek, her aracılı yapay zeka iş akışı için kuruluşlar, yönetişimlerinin dağıtımlarıyla eşleşip eşleşmediğini değerlendirebilir veya yönetim, aracıların ne yaptığını göremez.

Fogel bunu yeşil alanları (yönetim dağıtımla eşleştiğinde), sarı alanları (güvenlik ve yönetim ekiplerinin tam gözetime sahip olamayabileceği durumlarda) ve kırmızı alanları (doğru yönetim düzeyi olmadan dağıtım uygulandığında) gösteren bir tabloyla sundu.

Detaylar ve Etkileri

Fogel, "Alyuvarlarda ameliyat yapmayın" diye uyardı.

Paylaş: