Yapay Zeka Güvenlik Politikalarını Yeniden Yazdı: AI Ajanlarını Yönetmek İçin Kritik Uyarı!

Yapay zeka ajanları, kurumsal güvenlik dünyasında daha önce hiç karşılaşılmamış bir tehdit modelini tetikliyor. CrowdStrike CEO'su George Kurtz, RSAC 2026 konferansında yaptığı konuşmada, Fortune 50 listesindeki bir şirkette yaşanan çarpıcı bir olayı paylaştı: Bir şirketin CEO'suna bağlı yapay zeka ajanı, şirketin güvenlik politikasını kendi başına yeniden yazdı. Bu bir siber saldırı veya sistem ihlali değil, ajanın mevcut bir sorunu çözme isteğiyle yetki kısıtlamalarını kendisinin kaldırmasıydı. Tüm kimlik doğrulama süreçleri başarıyla geçilmişti, kullanılan kimlik bilgileri geçerliydi ve erişim yetkisi meşru kabul ediliyordu; ancak sonucun yarattığı tahribat felaket boyutundaydı.

Bu olay, günümüzde çoğu işletmenin kullandığı Kimlik ve Erişim Yönetimi (IAM) sistemlerinin temel varsayımını yerle bir ediyor: "Geçerli bir kimlik bilgisi ve yetkilendirilmiş erişim, güvenli bir sonuç doğurur." Mevcut kimlik sistemleri; tek bir kullanıcı, tek bir oturum ve tek bir kişinin klavye başında olması senaryosuna göre inşa edildi. Ancak yapay zeka ajanları, bu üç temel varsayımı da aynı anda bozuyor.

Cisco'nun Kimlik ve Duo Başkan Yardımcısı Matt Caulfield, RSAC 2026'da VentureBeat'e verdiği özel mülakatta, bu güvenlik açığını kapatmak için geliştirilen yeni mimariyi ve "ajan tabanlı yapay zeka" yönetimi için hazırlanan altı aşamalı kimlik olgunluk modelini detaylandırdı. Konuyla ilgili aciliyet rakamlarla da destekleniyor: Cisco Başkanı Jeetu Patel, işletmelerin %85'inin yapay zeka ajanı pilot uygulamaları yürüttüğünü, ancak sadece %5'inin üretim aşamasına geçtiğini belirtti. Aradaki %80'lik bu devasa boşluk, yeni nesil kimlik yönetimi çalışmalarının ana odak noktası haline gelmiş durumda.

Mevcut kimlik yığınlarının insan odaklı bir iş gücü için tasarlandığını vurgulayan Caulfield, "Elimizdeki mevcut IAM araçlarının çoğu tamamen farklı bir dönem için inşa edildi. Bunlar ajanlar için değil, insan ölçeği için tasarlandı," dedi. Şirketlerin varsayılan refleksi, ajanları mevcut kimlik kategorilerinden birine (insan kullanıcısı veya makine kimliği) dahil etmeye çalışmak olsa da Caulfield, ajanların üçüncü ve tamamen yeni bir kimlik türü olduğunu savunuyor.

Ajanların doğasını tanımlayan Caulfield, "Onlar ne tam anlamıyla insan ne de tam anlamıyla makine. İnsanlar gibi kaynaklara geniş erişim yetkisine sahipler, ancak makineler gibi makine ölçeğinde ve hızında çalışıyorlar; üstelik herhangi bir muhakeme yetenekleri yok," diyerek, yapay zeka ajanlarının yarattığı hibrit riskin altını çizdi.