Açık Dünya Uygulama Güvenliği Projesi (OWASP), kuruluşların dağıttıkları ajan yapay zeka sistemleri ile bu sistemler için gereken yönetişim arasındaki boşluğu kapatmalarına yardımcı olacak yeni bir ajan yapay zeka güvenlik olgunluk çerçevesi yayınladı. 'Enterprise Adoption Maturity Model' olarak adlandırılan çerçeve, OWASP GenAI Güvenlik Projesi'nin 3 Haziran'da yayınlanan 'State of Agentic AI Security and Governance' raporunda yer alıyor. Çerçeve, sürekli büyüyen bir kural kataloğu yerine pratik bir karar aracı olarak sunuluyor. Raporun eş liderlerinden ve Pillar Security'nin CTO Ofisi'nde yapay zeka güvenlik araştırmacısı olan Ariel Fogel, yeni çerçeveyi 4 Haziran'da Infosecurity Europe 2026'daki OWASP GenAI Güvenlik Zirvesi'nde tanıttı.
Çerçeve, yönetişim sorununu iki bağlantılı boyut üzerinden haritalandırıyor: neyin dağıtıldığı ve yönetişimin ne kadar olgun olduğu. Dağıtım boyutu, gölge yapay zeka ve tek satıcılı araçlardan özel ajanlara ve çoklu ajan ile federe sistemlere kadar uzanıyor. Yazarlar, altı ajan yapay zeka benimseme seviyesi tanımladı: AT0 – Gölge Yapay Zeka (örgütsel farkındalık veya onay yok), AT1 – Satıcı Gömülü Asistan (tamamen satıcı kontrollü), AT2 – Platforma Entegre (yapay zeka yerel platform, verilerinizle), AT3 – Vatandaş Geliştirici Ajan (düşük kod/kodsuz platform), AT4 – Kod Yürüten Ajan (yerel/bulut ayrıcalıklarıyla kod üretir ve yürütür) ve AT5 – Özel Dahili Ajan (sizin oluşturduğunuz).
Diğer boyut olan yönetişim olgunluğu ise dört seviyede tanımlanmış: Seviye 0 – Farkında Olmayan ve Gelişigüzel (ajan yapay zekanın geleneksel yapay zekadan farklı risklerini resmen tanımama), Seviye 1 – Korkuluk Olmadan Deney (pilot projelerde tanımlı sınırların olmaması), Seviye 2 – Politika Tanımlı, İnsan Döngüde (resmi politikalar, insan döngüde zorunluluğu) ve Seviye 3 – Entegre, Sürekli Gözetim (ajan yapay zekanın kritik altyapı olarak ele alınması, gerçek zamanlı panolar, yönetişim-kod). Bu iki boyut birleştirilerek, her bir ajan yapay zeka iş akışı için kuruluşlar yönetişimlerinin dağıtımla eşleşip eşleşmediğini değerlendirebilir.
Teknik Analiz
Fogel, sunumunda yeşil (yönetişim dağıtımla eşleşiyor), sarı (güvenlik ve yönetişim ekiplerinin tam gözetimi olmayabilir) ve kırmızı (doğru yönetişim seviyesi olmadan dağıtım yapılıyor) alanları gösteren bir tablo kullandı. 'Kırmızı hücrelerde çalışmayın' uyarısında bulunan Fogel, çoğu kuruluşun ajanları yönetebildiklerinden daha hızlı dağıttığını, yönetişimin hâlâ yapay zeka yardımcı pilotları için tasarlanmış olgunluk seviyelerinde çalışırken ekiplerin özel ve çoklu ajan sistemleri geliştirip çalıştırdığını belirtti. Bu çerçeve, kuruluşlara ajan yapay zeka benimsemelerinde güvenliği ve yönetişimi dengelemek için somut bir yol haritası sunuyor.