OWASP (Açık Dünya Uygulama Güvenliği Projesi), kuruluşların dağıttıkları ajan yapay zeka sistemleri ile bu sistemlerin gerektirdiği yönetişim arasındaki boşluğu kapatmalarına yardımcı olmak amacıyla yeni bir ajan AI güvenlik olgunluk çerçevesi yayımladı. 'Kurumsal Benimseme Olgunluk Modeli' olarak adlandırılan bu çerçeve, OWASP GenAI Güvenlik Projesi'nin 3 Haziran'da yayımlanan 'Ajan AI Güvenliği ve Yönetişiminin Durumu' başlıklı raporunda yer alıyor. Raporun eş liderlerinden ve Pillar Security'nin CTO Ofisi'nden AI güvenlik araştırmacısı Ariel Fogel, yeni çerçeveyi 4 Haziran'da Infosecurity Europe 2026'daki OWASP GenAI Güvenlik Zirvesi'nde tanıttı.
Fogel, 'Çoğu kuruluş, yönetebileceklerinden daha hızlı bir şekilde ajan dağıtıyor. Yönetişim hala AI yardımcı pilotları için tasarlanmış olgunluk seviyelerinde çalışırken, ekipler özel ve çoklu ajan sistemleri geliştirip çalıştırıyor' dedi. Çerçeve, iki boyutlu bir haritalama ile yönetişim sorununu ele alıyor: Bir eksen, gölge AI'dan tek satıcı araçlarına, özel ajanlara ve çoklu ajan/federe sistemlere kadar dağıtılan sistemi tanımlarken; diğer eksen, yönetişim olgunluğunu ad hoc süreçlerden sürekli izleme ve uyarlanabilir otomatik uygulamaya kadar ölçüyor.
Model, ajan AI benimsemesi için altı seviye tanımlıyor: AT0 (Gölge AI - organizasyonel farkındalık veya onay yok), AT1 (Satıcı gömülü asistanı - tamamen satıcı kontrollü), AT2 (Platform entegre - AI-native platform, verilerinizle çalışır), AT3 (Vatandaş geliştirici ajanı - düşük kod/kodsuz platform), AT4 (Kod yürüten ajan - yerel/bulut ayrıcalıklarıyla kod oluşturup çalıştırır) ve AT5 (Özel kurum içi ajan - tam kontrol sizde). Yönetişim olgunluğu ise dört seviyede: Seviye 0 (Farkında olmayan ve ad hoc - resmi politika yok), Seviye 1 (Koruyucu önlemsiz deney - pilot projeler, sınırlı izleme), Seviye 2 (Politika tanımlı, insan-döngüde - resmi politikalar, zorunlu insan onayı) ve Seviye 3 (Entegre, sürekli denetim - kritik altyapı muamelesi, gerçek zamanlı panolar).
Bu iki kriterin birleştirilmesiyle, kuruluşlar her bir ajan AI iş akışı için yönetişimlerinin dağıtımla eşleşip eşleşmediğini değerlendirebilir. Fogel, sunumunda yeşil alanlar (yönetişim dağıtımla eşleşir), sarı alanlar (güvenlik ve yönetişim ekipleri tam gözetime sahip olmayabilir) ve kırmızı alanlar (dağıtım, uygun yönetişim seviyesi olmadan uygulanır) içeren bir tablo gösterdi. 'Kırmızı hücrelerde çalışmayın' uyarısında bulunan Fogel, çerçevenin sürekli büyüyen bir kural kataloğu yerine pratik bir karar aracı olarak tasarlandığını vurguladı.