Infosecurity Europe 2026'da, Açık Dünya Uygulama Güvenliği Projesi (OWASP), 'Agentic Research Council' (Ajan Araştırma Konseyi) adlı yeni bir yapıyı resmen tanıtacak. Bu konsey, hızla ilerleyen ajan tabanlı yapay zeka yetenekleri ile geleneksel güvenlik araştırmaları ve standartlarının daha yavaş temposu arasındaki giderek büyüyen boşluğu kapatmak için koordineli bir araştırma çabası olarak tasarlandı. Konsey, OWASP'ın GenAI Güvenlik Projesi bünyesinde, LLM güvenliği için yaygın olarak benimsenen Top 10 rehberini hazırlayan Ajan Güvenlik Girişimi tarafından oluşturuluyor.
Resmi duyuru, 4 Haziran Perşembe günü Infosecurity Europe kapsamında düzenlenecek OWASP GenAI Zirvesi'nde yapılacak. Etkinlik öncesinde konuşan OWASP GenAI Güvenlik Projesi ve Ajan Güvenlik Girişimi eş lideri ve yönetim kurulu üyesi John Sotiropoulos, yeni konseyi, temel gücü geniş topluluk girdisini uzman doğrulamasıyla birleştirmek olan bir projenin bir sonraki adımı olarak tanımladı. Ajan Güvenlik Girişimi'ni 'uzman destekli, ancak topluluk odaklı' olarak nitelendiren Sotiropoulos, Konsey'in akademi, endüstri, hükümet ve politika yapıcılar arasında küresel bir iş birliği oluşturmayı hedeflediğini belirtti.
Konsey, araştırmaların önceliklendirilmesini, uyumlaştırılmasını ve geleneksel standart döngülerinin izin verdiğinden daha hızlı bir şekilde uygulanabilir önlemlere dönüştürülmesini sağlayacak. Sotiropoulos, 'Bugüne kadar siber güvenlik uygulayıcılarına, CSO'lara, CISO'lara ve geliştiricilere odaklandık. Şimdi araştırmayı da kapsayacak şekilde genişlemek ve iki grubun birbirini bilgilendirmesine izin vermek istiyoruz. Bu bugün ad hoc bir şekilde oluyor, ancak daha koordineli ve doğrudan hale getirmek istiyoruz' dedi.
Sistem Güvenliği
Sotiropoulos, Konsey'in gerekçesinin doğrudan ajan sistemlerinin hızı ve doğasından kaynaklandığını açıkladı. AI ajanlarının makine hızında hareket edebilmesi nedeniyle birçok standart endüstri uygulamasını sorguladığını vurgulayan Sotiropoulos, 'Bu değişim hızı, biraz daha uyum sağlamamızı gerektiriyor' dedi. Ayrıca, etki süresinin kısalması (bir güvenlik açığını istismar etmek için gereken sürenin azalması) nedeniyle savunucuların geliştirme merkezli yönetişimden çalışma zamanına, ajan düzeyinde izleme ve makine hızında çalışan kontrollere odaklanması gerektiğini savundu.
OWASP'ın Ajan Araştırma Konseyi, kamuya açık bir araştırma konuları hattı tutacak, düzenli çalışma grupları toplayacak ve akademik çalışmaları operasyonel gerçekliklerle bağlamayı amaçlayacak. Örneğin, Konsey doktora çalışmalarına sponsor olacak, akademik yol haritalarını acil uygulayıcı ihtiyaçlarıyla uyumlu hale getirecek ve doğrudan rehberlik, araç seti ve standartlara beslenen koordineli çıktılar üretecek. Sotiropoulos, Konsey'in mevcut uygulayıcı çalışmalarının yerini almasının amaçlanmadığını, aksine araştırma ve uygulama arasındaki köprüyü resmileştirip ölçeklendirerek ortaya çıkan akademik keşiflerin izole kalmamasını veya gerçek dünya saldırılarının gerisinde kalmamasını sağlayacağını belirtti.
OWASP'ın Ajan Güvenlik Girişimi, çoklu ajan güvenliği üzerine bir ön baskı makalesi yayınladı. Sotiropoulos'un ortak yazarlarından olduğu 'Open Challenges in Multi-Agent Security: Towards Secure Systems of Interacting AI Agents' başlıklı makale, ajanların etkileşime girdiğinde ortaya çıkan birleştirilebilirlik risklerini açıklıyor. Makale, ajanları izole olarak analiz etmenin artık yeterli olmadığını, çünkü birden fazla ajanın yeni araçlar keşfedebileceğini, dinamik araç zincirleri oluşturabileceğini ve tasarım zamanında görülmeyen saldırı yüzeyleri oluşturan ortaya çıkan davranışlar sergileyebileceğini savunuyor. Güvenli tasarım düşüncesinin, ajan etkileşimlerine ve davranışlarına odaklanan çalışma zamanı yönetişimi ve gözlemlenebilirlik ile tamamlanması gerektiği belirtiliyor.
Sotiropoulos, analiz biriminin 'bir ajan veya sistem inşa etmekten o çalışma zamanına' kayması gerektiğini söyledi. Pratikte bu, olay müdahalesi, kırmızı takım çalışmaları ve atıf modellerinin makine hızındaki saldırıları ve çoklu ajan sürülerini hesaba katacak şekilde değişmesi gerektiği anlamına geliyor. Çoklu ajan kurulumlarının insanın döngüde olduğu varsayımlarını bozabileceği uyarısında bulunan Sotiropoulos, savunucuların bunun yerine insanın döngüde değil, döngü üzerinde olduğu bir model planlaması gerektiğini savundu. 'Savunma sektörünü düşünürseniz, bence ajan AI, siber güvenliğe dronların kinetik savaşa yaptığını yapıyor. Eskiden savaş için süper pahalı ve karmaşık ekipman gerektiğini düşünürdük, sonra ucuz dronlar geldi ve alanı metalaştırdı' diyen Sotiropoulos, ajan sürülerini, 'birçok küçük varlığın o kadar hızlı birlikte hareket ettiği ki aynı anda milyonlarca yanıt gerektiren, bir insan için imkansız olan' dron sürülerine benzetti.
Teknik Analiz
Makaleye ek olarak, Ajan Güvenlik Girişimi ajan AI yönetişimi üzerine bir bildiri yayınlayarak araştırma bulgularını politika önerileriyle birleştirecek. Tüm bu çalışmalar, OWASP'ın Ajan Araştırma Konseyi'nin ilk odak alanı olan çoklu ajan güvenliği etrafında şekilleniyor. Konsey, farklı geçmişlere ve misyonlara sahip insanları bir araya getirerek şeffaf tüzüklerle çalışmayı ve herkesin katılımını sağlamayı hedefliyor. Sotiropoulos, 'Kilit amaç, farklı geçmişlere ve misyonlara sahip insanları bir araya getirmek. Nasıl çalışacağımız konusunda anlaşacağız ve herkesin katılabilmesini sağlamak için şeffaf tüzükler uygulayacağız. Bunu yaptıktan sonra, Konsey'e adanmış bir sayfamız OWASP'ın GenAI Güvenlik Projesi web sitesinde yer alacak' dedi.
Kaynak: infosecurity-magazine.com