ChatGPT'nin piyasaya sürülmesinin üzerinden yaklaşık dört yıl geçmesine rağmen, yapay zeka benimsenmesi güvenlik ve yönetişim uygulamalarının çok önünde ilerliyor. Kullanıcılar, iş ve kişisel yaşamlarını iyileştirmek için AI araçlarını denemeye hevesli bir şekilde, kurumsal verileri, finansal kayıtları ve hatta sağlık bilgilerini büyük dil modellerine (LLM) yüklüyor. Bu başıboş aktivite bariz riskler taşısa da, çoğu kullanıcı ve işletme şu ana kadar ciddi sonuçlardan kaçınmayı başardı. Ancak IBM'in bir parçası olan HashiCorp'un saha baş teknoloji sorumlusu Stephen Wilson'a göre, çoğu kişi AI araçlarını hâlâ büyük ölçüde 'asistan' olarak kullanıyor; yani teknoloji yalnızca insan kullanıcının yönlendirmesiyle harekete geçiyor. AI ajanlarına daha fazla bağımsız hareket yetkisi verildikçe, risk hesaplamaları değişiyor ve güvenlik ile yönetişim uygulamaları bu değişime ayak uyduramıyor.
Wilson, şu anda kuruluşların AI araçlarını tam ortak olarak kullanmaya başladığını ancak onları hâlâ asistan olarak kullanıldıkları dönemdeki gibi yönettiğini belirtiyor. 'AI asistan olduğunda, kullanıcı yürütmeye çok yakındır ve API anahtarları, sosyal medya kimlik bilgileri ve banka bilgilerini teslim eder. Ancak şimdi AI'dan bizim adımıza otonom olarak bir şeyler yapmasını istemeye başlıyoruz.' Bu nedenle, kuruluşların asistan kullanım durumlarından daha otonom iş akışlarına geçerken, yönetişim modellerini üç yaygın benimseme modeline göre olgunlaştırmaları gerekiyor: AI asistan, AI ajan ve AI operatör.
AI asistan aşamasında, insan işe yakın kalır ve teknolojiyi bilgi özetleme, içerik taslağı oluşturma, kod üretme gibi görevler için kullanır. Kullanıcı bir istem girer, yanıtı değerlendirir ve ne yapacağına karar verir. Bu aşamada insan yürütmeye yakın olsa da, hassas veriler, kimlik bilgileri veya izinler iş akışına kolayca dahil olabilir. Örneğin, ayrıcalıklı bir kullanıcı bir API anahtarını isteme yapıştırabilir veya bir LLM'den gizli kayıtları analiz etmesini isteyebilir. Wilson, 'İnsan kimliğinden makine kimliğine çok sıkı bir geçişe sahip olmanız gerekiyor' diyor ve 'Ayrıca, makinenin hizmetten hizmete erişimini yönetebilmeniz gerekiyor, çünkü yükseltilmiş ayrıcalık alırsam, bu ayrıcalığı bağlam penceresine enjekte etmek zor değil.' Asistan aşamasında, kuruluşların AI aktivitesinin kullanıcılar için belirlenen sınırlarla aynı kurallara tabi olmasını sağlaması yeterli. Ancak AI istemleri yanıtlamaktan işleri tamamlamaya geçtikçe, bu yönetişim sınırlarının genişlemesi gerekiyor.
Detaylar ve Etkileri
AI ajan aşamasında, kullanıcılar AI araçlarından belirli görevleri otonom olarak tamamlamalarını ister. Örneğin, bir içerik parçasını taslaklamak ve yazmak için bir LLM ile ileri geri gitmek yerine, kullanıcı AI aracına bir dizi girdi ve temel talimat verir ve aracın parçayı kendi başına oluşturmasını ister. Hatta yazma ajanı, bitmiş taslağı bir düzenleme ajanına veya diğer AI araçlarına devredebilir. Wilson, 'Bu olduğunda, yönetişim kontrolleri, kimlik ve denetlenebilirlik artmak zorunda çünkü insanı döngüden daha da fazla çıkarıyorsunuz' diyor. Bu aşamada, kuruluşlar farklı ajanların belirli görevleri tamamlamak için hangi erişim seviyesine ihtiyaç duyduğunu ve AI ajanlarına kimlik vermeyi belirlemelidir. AI operatör aşamasında ise AI ajanları sadece bireysel görevleri değil, tüm projeleri üstlenir. Örneğin, bir kuruluş bir AI ajan ekibinden tüm bir pazarlama kampanyasını tasarlamasını ve yürütmesini isteyebilir. Wilson, 'İnsan iki veya üç saat sonra geri gelir ve tüm projeyi, nerede yayınlanacağı, bireysel sosyal medya gönderileri ve katılım stratejileri dahil olmak üzere alır' diyor. Bu aşamada, veri erişiminin yanı sıra doğruluk etrafında da güçlü yönetişim kurulması kritik. AI ajanları olasılıksal sistemler olduğu için, kuruluşlar AI tarafından üretilen işin nerede bitmesi ve kontrollü yürütmenin nerede başlaması gerektiğini dikkatlice düşünmelidir.