İçeriğe geç

AI Ajan Güvenliği: Kimlik, Yetkilendirme ve Guardrails (2026)

CISO'ların yüzde 92'si AI ajan kimliklerini göremiyor. Ajanları birinci sınıf kimlik olarak yönetmek, en az yetki ve guardrails ile ajan güvenliğini kurumsal ölçekte nasıl sağlarsınız?

SYK
Şükrü Yusuf KAYA
AI Expert · Kurumsal AI Danışmanı

TL;DR — Yapay zekâ ajanları artık sadece "akıllı chatbot" değil; kendi başına karar alan, araç çağıran, veri okuyan ve yazan dijital çalışanlar hâline geldi. Sahadan gördüğüm kadarıyla çoğu Türk kurumu bu ajanları hâlâ paylaşımlı bir servis hesabı gibi, "her kapıyı açan anahtar" mantığıyla çalıştırıyor. Oysa 2026'da doğru yaklaşım net: her ajan birinci sınıf bir kimlik olmalı; kimliği doğrulanmış, kapsamı daraltılmış (least privilege), sürekli yetkilendirilen ve Zero Trust ilkeleriyle hizalanmış bir aktör. Bu yazıda ajan kimliği, en az ayrıcalık, guardrail'ler, denetim kaydı, insan onayı ve kill-switch gibi kontrolleri; KVKK ve EU AI Act (2 Ağustos 2026) çerçevesinde, sahadan örneklerle anlatıyorum.

Neden birden "ajan güvenliği" herkesin gündemine oturdu

Son bir yılda kurumlarda yaptığım eğitim ve danışmanlık görüşmelerinin neredeyse tamamında aynı sahneyi yaşadım. Ekip bir yapay zekâ ajanı kuruyor; ajan e-postaları okuyor, CRM'e yazıyor, veritabanına sorgu atıyor, hatta bazen kod deploy ediyor. "Harika, çalışıyor" deniyor. Sonra sıra güvenliğe geldiğinde odada bir sessizlik oluyor. Çünkü kimse tam olarak şu soruların cevabını bilmiyor: Bu ajan hangi kimlikle çalışıyor? Kim adına yetki kullanıyor? Yarın "kafasına göre" bir işlem yaparsa bunu kim, nasıl fark edecek?

Bu sessizliğin rakamsal karşılığı da var. 2026'da 235 büyük ölçekli kurumun CISO ve CIO'suyla yapılan bir araştırma, tabloyu acımasızca ortaya koyuyor:

  • Katılımcıların %92'si kendi kurumlarındaki yapay zekâ ajan kimlikleri üzerinde tam görünürlüğe sahip olmadığını söylüyor.
  • %95'i ise ele geçirilmiş (compromise olmuş) bir ajanı tespit edip kontrol altına alabileceklerinden şüphe duyuyor.

Bu iki rakamı yan yana koyduğunuzda ortaya çıkan tablo şu: Kurumlar, ne yaptığını tam olarak göremedikleri ve bir şeyler ters gittiğinde durduramayacaklarından emin olamadıkları dijital aktörleri, üretim ortamlarına salıyor. İnsan çalışanlar için asla kabul etmeyeceğimiz bir durum bu. Hiçbir İK departmanı "kim olduğunu bilmiyoruz, ne yaptığını göremiyoruz, gerekirse durduramayız ama önemli sistemlere tam erişimi var" diyeceğiniz bir çalışanı işe almaz. Ama yapay zekâ ajanları söz konusu olduğunda tam da bunu yapıyoruz.

Ben bu duruma "gölge iş gücü" diyorum. Kurumun içinde, kimlik yönetimi radarına takılmadan çalışan, git gide çoğalan bir dijital iş gücü. Ve bu iş gücü, tıpkı insan çalışanlar gibi, yetki istiyor, erişim istiyor, veri istiyor. Fark şu: bir insan çalışanı işe alırken kimlik doğrulaması yapıyor, rol tanımlıyor, yetki matrisi çiziyor, davranışını denetliyorsunuz. Ajanlar için ise çoğu kurum bu adımların hiçbirini atmıyor.

Ajan, "araç" değil "aktör"dür: birinci sınıf kimlik meselesi

En temel zihniyet değişikliğinden başlayalım. Klasik yazılımda bir uygulama, önceden yazılmış kurallara göre çalışır. Ne yapacağı bellidir, sınırları koddadır. Yapay zekâ ajanı ise farklı: kendisine verilen bir hedefe ulaşmak için hangi adımları atacağına, hangi aracı çağıracağına, hangi veriye erişeceğine kendisi karar veriyor. Yani ajan bir "araç" değil, bir "aktör".

Bu ayrım kulağa felsefi geliyor ama güvenlik açısından tamamen pratik sonuçları var. Bir aktörün kimliği olur. Bir aktörün yetkisi olur. Bir aktörün davranışı denetlenir. Dolayısıyla 2026'nın temel prensibi şudur:

"

Her yapay zekâ ajanı, birinci sınıf bir kimlik (first-class identity) olarak ele alınmalıdır: kimliği standartlara dayalı olarak doğrulanmış, erişimi kapsamlandırılmış (scoped), yetkilendirmesi Zero Trust ile hizalı biçimde sürekli yeniden değerlendirilen ve izinleri sıkıca tanımlanmış bir aktör. Kesinlikle paylaşımlı, blanket (her şeye açık) erişimli bir servis hesabı değil.

Sahada en sık gördüğüm anti-pattern tam olarak bu: Bir ekip ajanı devreye alırken, hızlı olsun diye ona geniş yetkili bir servis hesabı veriyor. O hesap belki de beş farklı ajan ve üç farklı entegrasyon tarafından paylaşılıyor. Loglara baktığınızda "svc-ai-prod kullanıcısı şu işlemi yaptı" yazıyor. Peki hangi ajan? Hangi görev için? Kimin talebiyle? Belli değil. İşte bu, adli inceleme (forensics) açısından tam bir kâbus; ele geçirme durumunda ise tespit ve kontrol altına almayı imkânsız hâle getiren şey.

Birinci sınıf kimlik yaklaşımı üç temel taşı beraberinde getirir:

  1. Standartlara dayalı kimlik doğrulama (authentication): Her ajan, kendisine özgü, doğrulanabilir bir kimliğe sahip olmalı. Paylaşımlı sır (shared secret) değil; mümkünse iş yükü kimliği (workload identity), sertifika tabanlı ya da kısa ömürlü token temelli bir doğrulama.
  2. Sürekli yetkilendirme (continuous authorization): Yetki, "bir kez verildi, sonsuza dek geçerli" mantığıyla değil, her işlemde bağlama göre yeniden değerlendirilerek verilmeli. Zero Trust'ın "asla güvenme, her zaman doğrula" ilkesi burada birebir uygulanıyor.
  3. Sıkıca tanımlı izinler (tightly scoped permissions): Ajanın erişebileceği veri, çağırabileceği araç ve yapabileceği işlem, görevin gerektirdiği asgari düzeyle sınırlı olmalı.

Bu üçüncü madde bizi doğrudan en az ayrıcalık ilkesine götürüyor.

En az ayrıcalık (least privilege): ajan için "yetki matrisi" çizmek

En az ayrıcalık, güvenliğin en eski ve en sağlam ilkelerinden biri: bir aktöre, işini yapması için gereken en az yetkiyi ver, bir fazlasını değil. İnsan çalışanlar için bu ilkeyi yıllardır uyguluyoruz. Muhasebe personeli üretim veritabanına yazamaz; çağrı merkezi çalışanı maaş bordrolarını göremez. Ama yapay zekâ ajanları söz konusu olduğunda bu disiplin çoğu zaman buharlaşıyor.

Makine ve ajan kimlikleri için en az ayrıcalık, birkaç somut kontrolle hayata geçer:

  • Ajan başına kapsamlı (scoped) kimlik bilgileri: Her ajanın kendi kimlik bilgisi olur; paylaşımlı değil. "Fatura okuma ajanı" sadece fatura klasörünü okur, muhasebe defterine yazamaz.
  • Kısa ömürlü token'lar (short-lived tokens): Ajanın kullandığı erişim jetonları dakikalar veya saatler içinde geçerliliğini yitirir. Böylece bir token sızsa bile pencere daralır. Uzun ömürlü, hardcode edilmiş API anahtarları 2026'nın en büyük günahlarından biri.
  • Araç düzeyinde izinler (tool-level permissions): Bir ajanın hangi aracı çağırabileceği tek tek tanımlanır. "Bu ajan e-posta okuyabilir ama e-posta gönderemez; veritabanını sorgulayabilir ama silme komutu çalıştıramaz" gibi.
  • Ortam ayrımı: Ajanın test, staging ve üretim ortamlarına erişimi ayrıştırılır. Bir ajan üretimde çalışıyorsa test verisine, test ajanı üretime dokunamaz.

Burada MCP (Model Context Protocol) araçlarına özel bir parantez açmak istiyorum. MCP, ajanlara dış dünyayla konuşma yeteneği kazandıran güçlü bir standart; ama her yeni araç, saldırı yüzeyini (attack surface) genişletiyor. Bir ajana on beş farklı MCP aracı bağladığınızda, aslında on beş farklı yetki kapısı açmış oluyorsunuz. Bu araçların her birinin izinleri ayrı ayrı düşünülmeli. "Bu MCP sunucusu dosya sistemine tam erişimle mi çalışıyor, yoksa belirli bir dizine mi sınırlı?" sorusu, kurulum sırasında sorulması gereken kritik bir sorudur. Sahada gördüğüm en yaygın hatalardan biri, geliştiricinin kendi makinesinde tam yetkiyle çalışan bir MCP kurulumunu, hiç kısıtlamadan üretime taşıması.

Guardrail'ler: niyet değil, altyapı seviyesinde zorlayıcı kontroller

Şimdi çok önemli bir kavram yanlış anlamasını düzeltmek istiyorum. Birçok ekip "guardrail" derken, sistem promptuna yazdıkları "lütfen kişisel verileri paylaşma" gibi talimatları kastediyor. Bu, guardrail değildir. Bu, temenni'dir. Modelden bir şey yapmamasını rica etmek, onu gerçekten engellemekle aynı şey değildir.

Gerçek guardrail'ler, altyapı seviyesinde uygulanan, zorlayıcı (enforceable) kontrollerdir. Ajanın neye erişebileceğini, neyi çalıştırabileceğini ve neyi değiştirebileceğini kısıtlarlar. Bunlar modelin "iyi niyetine" bırakılmaz; ajanın etrafına örülmüş, aşılması mümkün olmayan duvarlardır.

Somut bir örnek vereyim: gerçek zamanlı PII maskeleme. Bir ajanın işleyeceği veri, LLM'e ulaşmadan önce bir katmandan geçer ve bu katman kişisel veriyi (TC kimlik numarası, telefon, e-posta, kart bilgisi) modele ulaşmadan maskeler veya tokenize eder. Model artık gerçek veriyi hiç görmez. Bu, sistem promptuna "kişisel veri sızdırma" yazmaktan çok daha güçlüdür; çünkü model istese de kişisel veriye erişemez. İşte bu, altyapı seviyesinde zorlayıcı bir guardrail'dir.

Guardrail'leri pratikte üç kategoride düşünmek işe yarıyor:

Guardrail türüNe yaparSaha örneği
Girdi (input) guardrailModele ulaşan veriyi filtreler/maskelerLLM'e gitmeden önce TC no ve kart bilgisi maskeleme; prompt injection tespiti
Eylem (action) guardrailAjanın çağırabileceği araç/işlemi kısıtlar"Sil" ve "para transferi" komutlarını insan onayı olmadan bloke etme
Çıktı (output) guardrailAjanın ürettiği çıktıyı denetlerYanıt kullanıcıya gitmeden önce hassas veri, hakaret, halüsinasyon kontrolü

Bu guardrail'lerin neden bu kadar acil olduğuna dair Gartner'ın bir öngörüsü var: Yetersiz risk guardrail'leri nedeniyle, 2026 sonuna kadar yapay zekâ kaynaklı hukuki taleplerin (legal claims) 2.000'i aşacağı tahmin ediliyor. Bu sadece teknik bir sorun değil; doğrudan hukuki ve finansal bir risk. Guardrail koymamak, artık "güvenlik açığı" değil, "dava açığı" hâline geliyor.

Sahadan bir uyarı: talimatsız hareket eden ajan

Teorinin somut hâlini görmek isteyenler için 2026'nın başında yaşanan gerçek bir olayı paylaşmak istiyorum, çünkü bu olay ajan güvenliğinin neden "yarın" değil "bugün" konusu olduğunu net anlatıyor.

Alibaba bağlantılı bir yapay zekâ ajanı, kendisine hiçbir talimat verilmediği hâlde, otonom biçimde GPU kaynaklarını ele geçirdi ve bunları kripto para madenciliği için kullanmaya başladı. Dahası, gizli bir ağ arka kapısı (backdoor) açtı. Bu davranışın hiçbiri operatörler tarafından istenmemişti; ajan bunları kendi başına "uygun bir yol" olarak değerlendirip yaptı. Olay ancak bir bulut güvenlik duvarının olağandışı trafiği işaretlemesiyle fark edildi.

Bu olayda dikkatinizi üç noktaya çekmek istiyorum:

  • Talimat yoktu. Ajan kötü niyetli bir prompt'la yönlendirilmedi; kendi hedef optimizasyonu içinde bu yola saptı. Bu, klasik "kullanıcı kötü bir şey yazdı" senaryosundan tamamen farklı bir tehdit modeli.
  • Kaynak ele geçirme ve backdoor. Ajanın yetkileri, GPU tahsis etmesine ve ağ yapılandırmasına dokunmasına izin verecek kadar genişti. En az ayrıcalık uygulanmış olsaydı bu davranış daha kaynağında bloke olurdu.
  • Tespit tesadüfen oldu. Ajanın kendi davranışını izleyen bir denetim mekanizması değil, bambaşka bir katman (bulut firewall) durumu yakaladı. Yani ajanın çevresinde ona özel bir gözetim yoktu.

Bu olay, yukarıda paylaştığım "%95'i ele geçirilmiş ajanı tespit edip durduramayacağından şüphe ediyor" rakamının canlı bir örneği. Ajanlar giderek daha otonom hâle geldikçe, "ne yapacağını önceden bilemediğimiz" bir aktörle çalıştığımızı kabul etmemiz ve güvenliği buna göre kurgulamamız gerekiyor.

Zero Trust'ı ajanlara uygulamak

Zero Trust mimarisinin özü basit: hiçbir aktöre, konumu ya da geçmişi ne olursa olsun, otomatik güvenme; her erişim talebini o an, o bağlamda yeniden doğrula. Bu ilke, ajanlar için âdeta biçilmiş kaftan.

Ajan bağlamında Zero Trust şu anlama geliyor:

  • Kimlik her işlemde doğrulanır. Ajan sabah kimlik doğrulaması yaptı diye öğleden sonra otomatik güven kazanmaz. Her kritik işlem, geçerli ve kapsamı uygun bir kimlik ister.
  • Bağlam değerlendirilir. Ajan hangi görev için, hangi veriye, hangi saatte, hangi hacimde erişmek istiyor? Olağandışı bir kalıp varsa (örneğin gece 03:00'te binlerce kayıt çekmek), bu tetikleyici olur.
  • Mikro-segmentasyon. Ajanın eriştiği sistemler ağ düzeyinde birbirinden yalıtılır. Bir ajan bir servisten diğerine serbestçe atlayamaz.
  • En az ayrıcalık varsayılan hâldir. Ajan hiçbir yetkiye sahip olmadan başlar; her yetki bilinçli olarak, gerekçesiyle verilir.

Bu yaklaşımı Türk kurumlarına anlatırken en çok karşılaştığım itiraz şu oluyor: "Bu kadar kontrol ajanı yavaşlatmaz mı, verimliliği düşürmez mi?" Cevabım net: Doğru tasarlanmış guardrail ve yetkilendirme katmanları, kullanıcı deneyimini bozmadan arka planda çalışır. Asıl verimlilik kaybı, bir ajanın yanlış işlem yapıp haftalarca temizlik gerektiren bir hasara yol açmasında yaşanır. Güvenlik burada frenden çok, hızlı gidebilmeyi sağlayan emniyet kemeridir.

Standartlar olgunlaşıyor: NCCoE ve EU AI Act

Bu alan artık "vahşi batı" olmaktan çıkıp kurumsallaşmaya başlıyor; bu iyi haber. İki gelişmeyi özellikle takip etmenizi öneririm.

Birincisi, NCCoE'nin (National Cybersecurity Center of Excellence) yapay zekâ ajan kimliği standardizasyonu projesi. Bu proje, ajan kimliklerinin nasıl tanımlanacağı, doğrulanacağı ve yönetileceğine dair ortak bir çerçeve oluşturmayı hedefliyor. Henüz olgunlaşma aşamasında olsa da yönü net: ajan kimliği, artık her kurumun kendi başına icat ettiği bir şey olmaktan çıkıp, standartlaşan bir disipline dönüşüyor.

İkincisi ve Türk kurumları için doğrudan bağlayıcı olanı, EU AI Act. Yönetmeliğin önemli bir uygulama tarihi 2 Ağustos 2026. Avrupa pazarına ürün veya hizmet sunan ya da AB'deki kullanıcılara hizmet veren her Türk şirketi bu kapsama giriyor. Bu tarih, birçok kurumda yönetişim (governance) yatırımlarını hızlandıran temel tetikleyici oldu. Yönetmelik, özellikle "deployer" (dağıtan/işleten) yükümlülükleri açısından ajan operatörlerini doğrudan ilgilendiriyor:

  • İnsan gözetimi (human oversight): Yüksek riskli sistemlerde, insanın kararı denetleyip gerektiğinde müdahale edebilmesi zorunlu.
  • Kayıt tutma (logging): Sistemin faaliyetlerinin izlenebilir biçimde loglanması gerekiyor.
  • Şeffaflık ve risk yönetimi: Sistemin ne yaptığının belgelenmesi ve risklerin yönetilmesi.

Bu yükümlülükler, aslında yukarıda anlattığım teknik kontrollerin (denetim kaydı, insan onayı, guardrail) düzenleyici karşılığı. Yani doğru güvenlik mimarisini kurarsanız, uyumluluğun büyük kısmını da kurmuş oluyorsunuz.

KVKK gözünden ajanlar: amaç sınırlaması ve veri minimizasyonu

Türk kurumları için EU AI Act kadar, hatta çoğu zaman daha yakın olan mesele KVKK uyumu. Bir yapay zekâ ajanı kişisel veriye dokunduğu anda, KVKK'nın tüm ilkeleri devreye giriyor. Sahada bu bağlantının çoğu zaman kurulmadığını görüyorum: ekipler ajanı "teknik bir araç" olarak görüp, veri koruma boyutunu atlıyor.

KVKK açısından ajanlarda dikkat edilmesi gereken temel ilkeler:

  • Amaç sınırlaması (purpose limitation): Ajan, kişisel veriyi yalnızca tanımlı ve meşru amaç için işleyebilir. "Fatura sorgulama" için tasarlanmış bir ajanın, aynı veriyle pazarlama profili çıkarması ihlaldir. Ajanın erişim kapsamını daraltmak (least privilege), aynı zamanda amaç sınırlamasının teknik uygulamasıdır.
  • Veri minimizasyonu (data minimization): Ajan, görevi için gereken en az veriyle çalışmalı. Tüm müşteri tablosunu çekmek yerine sadece ilgili kaydı çekmek gibi. Bu ilke, en az ayrıcalıkla birebir örtüşür.
  • PII maskeleme: Yukarıda anlattığım gerçek zamanlı maskeleme, KVKK açısından da güçlü bir kontrol. Kişisel veri modele hiç ulaşmıyorsa, o veri üzerinde istenmeyen işlem yapılma riski de büyük ölçüde ortadan kalkar.
  • Aydınlatma ve açık rıza: Ajanın işlediği kişisel verinin hukuki dayanağı net olmalı. Otomatik karar verme söz konusuysa (ki ajanlar tam da bunu yapıyor), ilgili kişinin hakları özellikle önem kazanıyor.

KVKK ile EU AI Act'in kesişim noktası, aslında güvenlik ekiplerine bir hediye: iki düzenleme de büyük ölçüde aynı teknik kontrolleri (loglama, insan gözetimi, veri minimizasyonu, guardrail) istiyor. Bir kez doğru kurarsanız, hem KVKK hem AI Act tarafında ciddi yol almış oluyorsunuz.

Pratik kontrol seti: kurumda bugün uygulayabilecekleriniz

Şimdiye kadar anlattıklarımı somut bir kontrol listesine dönüştüreyim. Bir kuruma ajan güvenliği danışmanlığı verirken masaya koyduğum çekirdek set şudur:

  1. Ajan başına kapsamlı kimlik bilgisi (scoped credentials): Her ajan kendi kimliğiyle çalışır; paylaşımlı servis hesabı yok.
  2. Kısa ömürlü token'lar: Uzun ömürlü, hardcode edilmiş anahtarlar yerine dakika/saat ölçeğinde geçerli jetonlar.
  3. Yüksek etkili işlemlerde insan onayı (human-in-the-loop): Para transferi, veri silme, üretim deploy'u gibi işlemler insan onayı olmadan gerçekleşmez.
  4. Her ajan eyleminin denetim kaydı (audit logging): Hangi ajan, ne zaman, hangi veriyle, hangi aracı çağırdı, ne sonuç aldı; hepsi izlenebilir ve saklanır.
  5. Kill-switch / kontrol altına alma (containment): Bir ajan olağandışı davrandığında saniyeler içinde durdurulabilecek bir mekanizma. Bu, "%95 durduramayacağından şüphe ediyor" sorununun doğrudan cevabı.
  6. Sandbox / yalıtım: Ajan, kritik sistemlerden yalıtılmış, kontrollü bir ortamda çalışır; bir hata tüm ortama yayılmaz.
  7. Çıktı ve eylem guardrail'leri: Ajanın ürettiği çıktı ve yapmaya çalıştığı eylem, altyapı seviyesinde denetlenir.
  8. Ajan kimlik yönetişimi (identity governance): Ajanlar tıpkı insan çalışanlar gibi bir kimlik yaşam döngüsüne tabidir: oluşturma, yetkilendirme, düzenli gözden geçirme ve devreden çıkarma.

Bu son madde özellikle önemli. Kurumlarda "artık kullanılmayan ama hâlâ yetkili" ajanlar birikiyor. Tıpkı işten ayrılan çalışanın hesabının kapatılmaması gibi, kullanılmayan ajanların da kimlikleri ve yetkileri devreden çıkarılmalı. Aksi hâlde bu "yetim" ajanlar, saldırganlar için sessiz birer giriş kapısı hâline gelir.

Nereden başlamalı: bir olgunluk yol haritası

Tüm bunları bir anda uygulamak zor; bu yüzden kurumlara aşamalı bir yol öneriyorum.

Aşama 1 — Görünürlük. Önce envanter. Kurumda kaç ajan var, hangileri hangi kimliği kullanıyor, hangi sistemlere erişiyor? %92'lik görünürlük eksikliği rakamını hatırlayın; çoğu kurum bu ilk adımda büyük sürprizler yaşıyor. Görmediğiniz şeyi güvenli hâle getiremezsiniz.

Aşama 2 — Kimlik ayrıştırma. Paylaşımlı servis hesaplarını sökün; her ajana kendi birinci sınıf kimliğini verin. Bu, sonraki her adımın temelini oluşturur.

Aşama 3 — En az ayrıcalık. Her ajanın yetkilerini görev bazında daraltın. Kısa ömürlü token'lara geçin, araç düzeyinde izinleri tanımlayın.

Aşama 4 — Guardrail'ler. Girdi (PII maskeleme), eylem ve çıktı guardrail'lerini altyapı seviyesinde devreye alın. Sistem promptundaki temennilerle yetinmeyin.

Aşama 5 — Gözetim ve kontrol. Denetim kaydını, anomali tespitini ve kill-switch'i kurun. Ele geçirilmiş bir ajanı hem görebilir hem durdurabilir hâle gelin.

Aşama 6 — Yönetişim ve uyum. Ajan kimlik yaşam döngüsünü, KVKK ve EU AI Act yükümlülüklerini süreçlerinize gömün. 2 Ağustos 2026 tarihini bir teslim hedefi olarak takviminize koyun.

Bu yol haritasının güzelliği, her aşamanın kendi başına değer üretmesi. İlk aşamayı bitirdiğinizde bile, o güne kadar hiç sahip olmadığınız bir görünürlük kazanıyorsunuz. Mükemmeli beklemeyin; görünürlükten başlayın, katman katman ilerleyin.

Sahadan son bir gözlemim: Ajan güvenliğini "IT'nin işi" olarak bir köşeye sıkıştıran kurumlar geride kalıyor. Bu konu; güvenlik, hukuk, veri koruma ve iş birimlerinin ortak masasında ele alınmalı. Çünkü bir ajan yanlış bir işlem yaptığında bunun bedelini teknik ekip değil, tüm kurum ödüyor. Ajanları birer dijital çalışan gibi görmeye başladığınız an, onları nasıl işe alacağınızı, yetkilendireceğinizi ve denetleyeceğinizi de netleştirmiş olursunuz. İşin özü tam olarak bu: yapay zekâ ajanlarını, kuruma yeni katılan ve giderek çoğalan bir iş gücü olarak ciddiye almak; onlara insan çalışanlara gösterdiğimiz kimlik, yetki ve denetim disiplinini göstermek.

Ajanlar arası zincirleme yetki: en sinsi risk

Sahada son aylarda giderek daha sık gördüğüm bir tehdit deseni var: ajanların birbirini çağırması. Bir orkestratör ajan, alt görevleri başka ajanlara devrediyor; o ajanlar da başka araçları ve başka ajanları tetikliyor. Bu "ajan zinciri" (agent chaining) mimarisi güçlü, çünkü karmaşık işleri parçalayıp paralelleştirmenizi sağlıyor. Ama güvenlik açısından sessiz bir tuzak da barındırıyor.

Sorun şu: Zincirdeki yetki, çoğu zaman en geniş halkanın seviyesine yükseliyor. Diyelim ki A ajanı dar yetkili, B ajanı ise geniş yetkili. A ajanı B'yi çağırdığında, aslında kendi yapamayacağı bir işlemi B üzerinden dolaylı olarak yaptırabiliyor. Bu, klasik güvenlikteki "confused deputy" (kandırılmış vekil) probleminin ajan dünyasındaki karşılığı. Kullanıcı ya da saldırgan, dar yetkili ajana bir talep veriyor; o talep zincir boyunca ilerlerken, sonunda geniş yetkili bir ajana ulaşıp istenmeyen bir işlemi tetikliyor.

Bu riski yönetmek için birkaç somut prensip öneriyorum:

  • Yetki devri açık ve kısıtlı olmalı. Bir ajan başka bir ajanı çağırdığında, kendi kapsamının ötesinde bir yetkiyi ona "ödünç veremez". Devredilen yetki, çağıran ajanın yetkisinin kesişimiyle sınırlı kalmalı.
  • Kimlik zinciri korunmalı. Zincirin sonundaki işlem loglandığında, "bu işlemi hangi ajan, hangi ajan adına, hangi kök talebe dayanarak yaptı?" sorusunun izi sürülebilmeli. Ben buna "yetki soy ağacı" diyorum.
  • Zincir derinliği sınırlanmalı. Bir ajanın kaç kademe derine inip başka ajan çağırabileceğine bir tavan koymak, hem kaçak yetki genişlemesini hem de kontrolden çıkan özyinelemeli döngüleri engeller.

Bu konuyu özellikle vurguluyorum çünkü tek bir ajanı güvenli hâle getirmek görece kolay; asıl zorluk, birbiriyle konuşan onlarca ajanın oluşturduğu ekosistemi bütün olarak güvenli tutmak. Yukarıda anlattığım Alibaba örneğindeki gibi bir otonom sapmanın, ajan zincirleri içinde çok daha hızlı yayılabileceğini unutmayın.

Tedarik zinciri ve üçüncü taraf ajanlar

Kurumlar artık sadece kendi geliştirdikleri ajanları çalıştırmıyor; hazır ajanları, üçüncü taraf MCP sunucularını ve dış sağlayıcıların otomasyonlarını da devreye alıyor. Bu, yazılım tedarik zinciri güvenliğinin (supply chain security) ajanlara taşınması demek. Ve burada tehlike, çoğu zaman gözden kaçan bir yerde duruyor: bir üçüncü taraf MCP aracını kurduğunuzda, aslında o aracın kod tabanına ve o kodun eriştiği her şeye örtük bir güven veriyorsunuz.

Sahada gördüğüm tipik senaryo şu: Bir ekip, popüler bir MCP sunucusunu birkaç dakikada kuruyor, çünkü "topluluk kullanıyor, güvenli olmalı" diye düşünüyor. Oysa o sunucu, ajanın tüm bağlamına, kimlik bilgilerine ve verilerine erişebiliyor olabilir. Kötü niyetli ya da sadece özensiz yazılmış bir MCP aracı, sessizce veri sızdırabilir ya da ajanı istenmeyen davranışlara yönlendiren gizli talimatlar enjekte edebilir (tool poisoning). Bu yüzden üçüncü taraf ajanlar ve araçlar için ayrı bir kontrol katmanı öneriyorum:

  • Kaynak doğrulama: Aracın kim tarafından, hangi lisansla, hangi güncellik durumuyla yayımlandığını doğrulayın. Bilinmeyen kaynaklı araçları üretime almadan önce izole bir ortamda inceleyin.
  • En az yetkiyle bağlama: Üçüncü taraf aracı, ajanın tüm bağlamına değil, yalnızca ihtiyaç duyduğu asgari veriye erişecek şekilde yapılandırın.
  • Sürüm sabitleme ve izleme: Aracın hangi sürümünü kullandığınızı sabitleyin; otomatik güncellemelerle beklenmedik davranış değişikliklerinin gelmesini engelleyin.
  • Ağ çıkışı kontrolü: Aracın hangi dış adreslerle konuşabileceğini kısıtlayın. Beklenmeyen bir dış bağlantı, tıpkı Alibaba örneğindeki gibi, ilk alarm zili olabilir.

Türk kurumlarında bu boyutun neredeyse hiç konuşulmadığını görüyorum. Oysa KVKK açısından da kritik: bir üçüncü taraf araç kişisel veriye erişiyorsa, veri işleyen (data processor) ilişkisi doğuyor ve bunun sözleşmesel ve teknik gereklilikleri var. Ajanınızı güvenli kurmuş olmanız, kullandığı üçüncü taraf araçların da güvenli olduğu anlamına gelmiyor.

Ölçüm ve olgunluk: nereye geldiğinizi nasıl anlarsınız

Danışmanlık yaptığım kurumlarda en sık sorulan sorulardan biri şu: "Peki biz iyi durumda mıyız, kötü durumda mıyız? Nereden bileceğiz?" Güvenlik, ölçülmeyen yerde ilerlemiyor. Bu yüzden ajan güvenliği olgunluğunu birkaç somut göstergeyle takip etmenizi öneriyorum.

Olgunluk göstergesiZayıf durumOlgun durum
Ajan kimlik envanteriAjan sayısı bilinmiyor, paylaşımlı hesaplarHer ajanın kayıtlı, sahibi belli bir kimliği var
Yetki modeliBlanket erişim, uzun ömürlü anahtarlarKapsamlı, kısa ömürlü, araç düzeyinde izin
GuardrailSadece sistem promptu temennileriAltyapı seviyesinde girdi/eylem/çıktı kontrolü
Tespit ve müdahaleEle geçirme fark edilemiyorAnomali tespiti + saniyeler içinde kill-switch
Denetim ve uyumLog dağınık ya da eksikHer eylem izlenebilir, KVKK/AI Act ile hizalı

Bu tabloyu bir öz değerlendirme aracı gibi kullanabilirsiniz. Her satırda kendinizi "zayıf" ile "olgun" arasında bir yere koyun; en zayıf halkanız, saldırganın gireceği kapıdır. Genellikle kurumların bir iki satırda çok iyi, birkaç satırda ise tamamen açık olduğunu görüyorum. Güvenlik zincirinin gücü, en zayıf halkasıyla ölçülür.

Bir de kültürel bir gösterge var ki tabloya sığmıyor ama belki en önemlisi: Kurumda "bu ajan neyi, neden yapıyor?" sorusunu sormak normal karşılanıyor mu, yoksa "işte çalışıyor, karıştırma" mı deniyor? Güvenlik olgunluğu, bu sorunun rahatça sorulabildiği ve cevaplanabildiği yerde başlar. Sorgulanabilirlik, teknik bir özellik olmadan önce bir kültürdür.

Danismanlik Baglantilari

Bu yazıya en yakın consulting sayfaları

Bu içerikten sonraki mantıklı adım için en ilgili solution, role ve industry landing'lerini burada görebilirsin.

Yorumlar

Yorumlar