Semperis tarafından yayımlanan yeni bir araştırma, küresel kuruluşların büyük çoğunluğunun (%93) parola sıfırlama ve VPN erişimi gibi hassas güvenlik görevlerinde yapay zeka (AI) ajanları kullandığını veya kullanmayı planladığını ortaya koydu. Ancak bu eğilim, ciddi güvenlik ihlalleri ve veri sızıntıları potansiyelini de beraberinde getiriyor. ABD, İngiltere, Fransa, Almanya, İspanya, İtalya, Singapur ve Avustralya'dan 1100 kuruluşun katıldığı 'AI Çağında Kimlik Güvenliğinin Durumu' başlıklı çalışma, AI ajanlarının yaygınlaşmasının beraberinde getirdiği risklere dikkat çekiyor.
Araştırmaya göre, katılımcıların %92'si AI'nın SSH ve şifreleme anahtarlarına erişimi olan yerel makinelerde en azından bazı yazılımlarla yüklü olduğunu kabul ediyor. Bu durum, kuruluşları siber saldırılara karşı daha savunmasız hale getiriyor. Aynı zamanda, katılımcıların %74'ü AI'nın kimlik altyapısına yönelik saldırıları artıracağı konusunda hemfikir. Ancak kuruluşlar bu risklere rağmen hazırlıklı değil: Sadece %32'si AI kaynaklı bir kimlik bilgisi sızıntısından sonra kontrolü yeniden ele geçirebileceklerine 'çok güveniyor'.
Siber güvenlik girişim sermayesi şirketi Ten Eleven Ventures'in ortağı Grace Cassy, 'Çalışmada çarpıcı olan, AI'nın kimlik sistemlerine ne kadar hızlı entegre edildiği değil, birçok kuruluşun işler ters gittiğinde toparlanmaya ne kadar hazırlıksız olduğu' dedi. Cassy, AI'nın kimlik katmanına dahil edilmesinin operasyonel avantajlar sunduğunu ancak bunun güvenlik önlemleri, gözlemlenebilirlik ve kurtarma hazırlığı ile desteklenmesi gerektiğini vurguladı.
Teknik Analiz
Rapor, AI ajanları da dahil olmak üzere insan olmayan kimliklerdeki (NHI) patlamanın, güvenlik ekipleri için kimlik yönetimini zorlaştırdığını ortaya koyuyor. Bu kimliklerin çoğu terk edilmiş 'zombi' ajanlar veya gölge NHI'ler haline geliyor ve tehdit aktörleri tarafından ele geçirilebiliyor. Ayrıca, birçok AI kimliğine insan kullanıcılarla aynı yetkiler verildiği için aşırı yetkilendirme sorunu yaşanıyor. Araştırma, kuruluşların sadece %65'inin AI kimliklerini resmi bir sistemde tam olarak kaydettiğini, %6'sının ise hiç takip etmediğini gösteriyor. Olumlu tarafı, küresel kuruluşların %83'ü önümüzdeki 12 ay içinde AI kimlik yönetimine öncelik vereceğini belirtiyor.