Help Net Security videosunda konuşan Elba Security CTO'su Antoine Berton, şirketlerin yapay zekayı hızla benimsediğini ancak bu süreçte ortaya çıkan erişim boşluklarının göz ardı edildiğini vurguluyor. Bir Cuma öğleden sonra yapılan hızlı bir tıklama, hiçbir güvenlik incelemesi olmadan ücretsiz bir AI aracının Google Workspace'e bağlanmasına neden olabiliyor. Berton, bu durumu 'gölge SaaS' dönemine benzetiyor ancak AI ajanlarının çok daha hızlı hareket ettiğini belirtiyor.
Berton, yapay zeka yüzey alanındaki beş kritik açığı sıralıyor: kalıcı OAuth izinleri, insan izinlerini devralan copilot'lar, yapılandırma dosyalarında saklanan ajan kimlik bilgileri, eksik off-boarding süreçleri ve bir ajan hareket ettiğinde net olmayan yetki. Bu açıklar, şirketlerin AI araçlarını kontrolsüzce kullanmasıyla büyüyen bir güvenlik riski oluşturuyor. Özellikle copilot'ların insan izinlerini miras alması, yetki yükseltme saldırılarına zemin hazırlıyor.
Ancak Berton'a göre iyi haber, yeni bir disipline ihtiyaç duyulmaması. Kimlik yönetişimi (Identity Governance) zaten altı temel soruyu yanıtlıyor: envanter, sahiplik, onay, en az ayrıcalık, denetim ve iptal. Bu soruların her biri doğrudan AI ajanlarına uyarlanabilir. Örneğin, hangi AI araçlarının kullanıldığı, kimin onayladığı, hangi izinlere sahip oldukları ve gerektiğinde nasıl iptal edilecekleri netleştirilmeli.
Berton, ekiplerin Pazartesi sabahı başlayabileceği iki pratik adım öneriyor: İlk olarak, tüm AI araçlarının envanterini çıkarın ve her biri için bir sahip belirleyin. İkinci olarak, mevcut kimlik yönetişim politikalarınızı AI ajanlarına genişletin; örneğin, OAuth izinlerini düzenli olarak denetleyin ve copilot'lar için en az ayrıcalık ilkesini uygulayın. Bu adımlar, AI benimsemenin güvenli bir şekilde yönetilmesini sağlayacak. AWS'de AI İş Yükleri için Güvenli Temeller rehberini indirerek daha detaylı bilgi edinebilirsiniz.