İngiltere Ulusal Siber Güvenlik Merkezi (NCSC), ajan yapay zeka (agentic AI) kullanmak isteyen ancak beraberinde gelen siber risklerden endişe duyan kuruluşlar için yeni bir rehber yayınladı. Rehber, NCSC'nin Avustralya, Kanada, ABD ve Yeni Zelanda'daki Five Eyes ortaklarıyla birlikte hazırladığı daha kapsamlı bir raporu özetliyor. NCSC, ajan sistemlerinin özerkliği ve karmaşıklığı nedeniyle özellikle tehlikeli olduğunu vurguluyor; harici sistemlere, verilere ve araçlara aşırı geniş erişim ile öngörülemeyen davranışların risk oluşturduğunu belirtiyor.
NCSC, ajanların eylemlerinin insanların inceleyebileceğinden daha hızlı gerçekleşmesi durumunda sorunların tespit edilmesinin zorlaştığını ve ajanların kullanabileceği çok çeşitli davranış ve araçların belirli bir eylem planını açıklamayı daha zor hale getirdiğini ifade ediyor. Kuruluşları, ajanları devreye almadan önce dikkatlice düşünmeye çağıran NCSC, aşırı yetkilendirilmiş veya kötü tasarlanmış bir ajandaki tek bir hatanın hızla ciddi bir olaya dönüşebileceği uyarısında bulunuyor.
Rehberde, kuruluşların yanlış gidebilecek şeyleri düşünmeleri, yapay zekanın belirli kullanım durumları için gerçekten gerekli olup olmadığını değerlendirmeleri ve yalnızca aşamalı olarak, "net olarak tanımlanmış görevlerle sıkı bir şekilde sınırlandırılmış pilot uygulamalarla" başlamaları öneriliyor. Ayrıca, devreye almadan önce ajan sistemine kimin sahip olduğu, erişimini kimin onayladığı, davranışını kimin izlediği, olayları kimin incelediği ve bir şey ters gittiğinde sistemi kimin durdurabileceği gibi soruların yanıtlanması gerekiyor.
Nasıl Önlem Alınmalı?
NCSC, ajan yapay zeka riskini azaltmak için uluslararası ETSI EN 304 223 standardı tarafından tanımlanan en iyi uygulamaları da sıralıyor: En az ayrıcalık ilkesinin uygulanması, kapsamın sınırlandırılması, geçici kimlik bilgilerinin kullanılması, güvenli varsayılan ayarların tercih edilmesi, bağımlılıkların anlaşılması, davranışların izlenmesi, tehdit modellemesi yapılması ve olaylara hazırlıklı olunması. Rehber, "Ajan yapay zeka birçok senaryoda önemli faydalar sağlayabilir, ancak sorumlu, düşünceli ve ölçeklenebilir bir benimseme için küçük başlayın, mevcut siber hijyen ve yönetişimi baştan uygulayın ve başarısızlığa karşı plan yapın" uyarısıyla sona eriyor.