Infosecurity Europe 2026'da, Açık Dünya Uygulama Güvenliği Projesi (OWASP) tarafından Agentic Research Council (Ajanlı Araştırma Konseyi) resmen tanıtılacak. Bu koordineli araştırma çabası, hızla ilerleyen ajanlı yapay zeka yetenekleri ile geleneksel güvenlik araştırmaları ve standartlarının daha yavaş temposu arasındaki büyüyen uçurumu kapatmak için oluşturuldu. Konsey, OWASP'ın GenAI Güvenlik Projesi bünyesindeki Agentic Security Initiative (Ajanlı Güvenlik Girişimi) tarafından hayata geçiriliyor. Aynı topluluk, LLM güvenliği için geniş çapta benimsenen Top 10 rehberini de üretmişti. Konseyin resmi duyurusu, 4 Haziran Perşembe günü Infosecurity Europe'un OWASP GenAI Zirvesi'nde yapılacak.
Etkinlik öncesinde Infosecurity'e konuşan OWASP GenAI Güvenlik Projesi ve Agentic Security Initiative eş lideri ve yönetim kurulu üyesi John Sotiropoulos, yeni konseyi, temel gücü geniş topluluk girdisini uzman doğrulamasıyla birleştirmek olan bir projenin bir sonraki adımı olarak çerçeveledi. Agentic Security Initiative'i 'uzman destekli, ancak topluluk odaklı' olarak tanımlayan Sotiropoulos, Konsey'in akademi, endüstri, hükümet ve politika yapıcılar arasında küresel bir işbirliği oluşturmayı amaçladığını belirtti. Bu sayede araştırmaların önceliklendirilmesi, uyumlu hale getirilmesi ve geleneksel standart döngülerinin izin verdiğinden daha hızlı bir şekilde uygulanabilir önlemlere dönüştürülmesi hedefleniyor.
Sotiropoulos, 'Şu ana kadar Agentic Security Initiative olarak siber güvenlik uygulayıcılarına, CSO'lara, CISO'lara ve geliştiricilere odaklandık. Şimdi, araştırmayı da kapsayacak şekilde genişlemek ve iki grubun birbirini bilgilendirmesini sağlamak istiyoruz. Bu bugün zaten düzensiz bir şekilde oluyor, ancak bunu daha koordineli ve doğrudan hale getirmek istiyoruz' dedi. Konsey'in gerekçesinin doğrudan ajanlı sistemlerin hızından ve doğasından kaynaklandığını açıklayan Sotiropoulos, AI ajanlarının makine hızında hareket edebilmesi nedeniyle kullanımlarının birçok standart endüstri uygulamasını sorgulanır hale getirdiği konusunda uyardı. 'Bu değişim hızı, biraz daha uyumlu olmamızı gerektiriyor' dedi.
Önemli Gelişmeler
Ayrıca, etki süresinin çöküşüne (bir güvenlik açığını istismar etmek için gereken sürenin AI ajanlarının kullanımıyla azalması) dikkat çeken Sotiropoulos, savunmacıların geliştirme merkezli yönetişimden, makine hızında çalışan çalışma zamanı, ajan düzeyinde izleme ve kontrollere odaklanmaları gerektiğini savundu. 'OpenClaw ve şimdi NanoClaw gibi yerel olarak barındırılan ajanlı AI projeleri, teknolojiyi neredeyse herkes için erişilebilir kılarak AI ajanlarını demokratikleştirdi. Şimdi, ajanlı AI'nın metalaşması muhtemelen temel, sınır modeli yapıcılarından gelecek. Ve geliyor, hem de hızlı geliyor' diye ekledi. Anthropic'in Mythos'u yalnızca sınırlı bir kesime açık olsa da, OpenAI'in GPT-5.5 gibi benzer yeteneklere sahip modeller çok daha fazla kişi tarafından kullanılabiliyor.
Sistem Güvenliği
Agentic Research Council, kamuya açık bir araştırma konuları listesi tutacak, düzenli çalışma grupları toplayacak ve akademik çalışmaları operasyonel gerçekliklerle bağlamayı amaçlayacak. Örneğin, Konsey doktora çalışmalarına sponsor olacak, akademik yol haritalarını acil uygulayıcı ihtiyaçlarıyla uyumlu hale getirecek ve doğrudan rehberlik, araç ve standartlara beslenen koordineli çıktılar üretecek. Sotiropoulos, Konsey'in OWASP'ın mevcut uygulayıcı çalışmalarının yerini almasının amaçlanmadığını, aksine araştırma ve uygulama arasındaki köprüyü resmileştirip ölçeklendirerek ortaya çıkan akademik keşiflerin izole kalmasını veya gerçek dünya saldırılarının gerisinde kalmasını önlemeyi hedeflediğini vurguladı.
OWASP Agentic Security Initiative, çoklu ajan güvenliği üzerine bir ön baskı makalesi yayınladı. Sotiropoulos'un ortak yazarlarından biri olduğu 'Open Challenges in Multi-Agent Security: Towards Secure Systems of Interacting AI Agents' başlıklı makale, 29 Nisan'da arXiv'de yayınlandı. Makale, ajanları izole olarak analiz etmenin artık yeterli olmadığını, çünkü birden fazla ajanın yeni araçlar keşfedebileceğini, dinamik araç zincirleri oluşturabileceğini ve tasarım zamanında görülmemiş saldırı yüzeyleri yaratan ortaya çıkan davranışlar üretebileceğini savunuyor. Güvenli-tasarım düşüncesinin, ajan etkileşimlerine ve davranışlarına odaklanan çalışma zamanı yönetişimi ve gözlemlenebilirlik ile tamamlanması gerektiği belirtiliyor. Sotiropoulos, analiz biriminin 'bir ajan veya bir sistem inşa etmekten o çalışma zamanına' kayması gerektiğini söyledi.
Pratikte bu, olay müdahalesi, kırmızı takım ve ilişkilendirme modellerinin makine hızındaki saldırıları ve çoklu ajan sürülerini hesaba katacak şekilde değişmesi gerektiği anlamına geliyor. Sotiropoulos, çoklu ajan kurulumlarının insan-döngüde varsayımlarını (AI sistemleri tarafından alınan herhangi bir eylemin bir insan tarafından doğrulanmasını sağlama) bozabileceği konusunda uyardı. Savunmacıların bunun yerine insan-döngüde (eyleme özgü doğrulama yerine insan gözetimini vurgulayan) ve daha yavaş insan merkezli inceleme döngüleri yerine ajan düzeyinde politika izleyicileri planlaması gerektiğini savundu. 'Savunma sektörünü düşünün, bence ajanlı AI siber güvenliğe, dronların kinetik savaşa yaptığını yapıyor. Eskiden savaşmak için süper pahalı, karmaşık ekipmanların gerekli olduğunu düşünürdük, sonra ucuz dronlar geldi ve alanı metalaştırdı' diye açıkladı. Ajan sürülerini, 'birçok küçük varlığın o kadar hızlı birlikte hareket ettiği ki, bir seferde milyonlarca yanıt gerektiren ve bir insan için imkansız olan' drone sürülerine benzetti.
Detaylar ve Etkileri
Agentic AI yönetişimi üzerine bir makale de araştırmayı tamamlıyor. OWASP'ın bu girişimi, yapay zeka ajanlarının güvenliğine yönelik kapsamlı bir yaklaşım sunarak, hem teknik hem de yönetişimsel boyutları ele alıyor. Konsey'in çalışmaları, özellikle çoklu ajan senaryolarında ortaya çıkan yeni güvenlik açıklarını anlamaya ve bunlara karşı önlemler geliştirmeye odaklanacak. Bu, siber güvenlik dünyasında ajanlı AI'nın hızla benimsenmesiyle birlikte kritik bir öneme sahip. OWASP'ın bu hamlesi, sektörün bu yeni tehditlere karşı hazırlıklı olmasını sağlamak için önemli bir adım olarak değerlendiriliyor.
Kaynak: infosecurity-magazine.com