Yapay zeka masaüstüne geldi.
Geçen yıl kullanıma sunulan Microsoft 365 Copilot artık geniş çapta kullanıma sunuldu. Apple Intelligence, son model Mac’lerin, iPhone’ların ve iPad’lerin kullanıcıları için genel beta kullanılabilirliğine ulaştı. Ve Google Gemini’nin yakında Project Jarvis adlı geliştirme aşamasındaki bir aracı özelliği kapsamında Chrome tarayıcısı aracılığıyla işlem yapabileceği bildiriliyor.
İş bilgilerini tarayan ve eylemlerin otomatik olarak yazılmasını sağlayan büyük dil modellerinin (LLM’ler) entegrasyonu (sözde “ajans” yetenekleri) bilgi çalışanları için büyük umut vaat ediyor, ancak aynı zamanda iş liderleri ve baş bilgi güvenliği görevlileri (CISO’lar) için de önemli endişeler taşıyor. . Şirketler hâlihazırda aşırı bilgi paylaşımı ve erişim izinlerinin sınırlandırılmaması nedeniyle önemli sorunlardan muzdarip. Firmaların %40’ı bu tür güvenlik endişeleri nedeniyle Microsoft 365 Copilot’un kullanıma sunulmasını üç ay veya daha fazla erteledi. Gartner araştırması.
Bulut hizmetlerine yönelik bir kimlik ve erişim yönetimi platformu olan Oleria’nın CEO’su Jim Alkove, masaüstü yapay zeka sistemlerinin sunduğu geniş yelpazedeki yeteneklerin birçok işletmede sıkı bilgi güvenliği eksikliğiyle birleştiğinde önemli bir risk oluşturduğunu söylüyor.
“Aslında herkesi endişelendirmesi gereken şey buradaki kombinatorikler” diyor. “Bu kategorik riskler daha büyük [native language] model tabanlı teknoloji ve bunları, üzerinde çalıştığımız çalışma zamanı güvenlik riskleri ve bilgi erişimi ve denetlenebilirlik riskleri ile birleştirdiğinizde, risk üzerinde çarpan etkisi ortaya çıkıyor.”
Masaüstü yapay zeka muhtemelen 2025’te yükselişe geçecek. Şirketler halihazırda Microsoft 365 Copilot ve diğer masaüstü yapay zeka teknolojilerini hızla benimsemek istiyor ancak şirketlerin yalnızca %16’sı teknolojiyi tüm çalışanlara yaymak için ilk pilot projeleri geride bıraktı. Gartner’ın “Microsoft 365 Copilot’un Durumu: Anket Sonuçları.” Ezici çoğunluk (%60) hâlâ teknolojiyi pilot projede değerlendiriyor, işletmelerin beşte biri ise bu noktaya bile ulaşamadı ve hâlâ planlama aşamasında.
Çoğu çalışan, günlük görevlerde kendilerine yardımcı olacak bir masaüstü yapay zeka sistemine sahip olmayı sabırsızlıkla bekliyor. Gartner’a göre yanıt verenlerin yaklaşık %90’ı, kullanıcılarının yapay zeka asistanlarına erişimi korumak için mücadele edeceğine inanıyor ve %89’u teknolojinin üretkenliği artırdığına katılıyor.
Güvenliği Yapay Zeka Asistanına Getiriyoruz
Ne yazık ki teknolojiler mimarileri ve korumaları açısından kara kutular ve bu da güven eksikliği anlamına geliyor. Oleria’dan Alkove, bir insan kişisel asistanla şirketlerin özgeçmiş kontrolleri yapabileceğini, belirli teknolojilere erişimlerini sınırlayabileceğini ve çalışmalarını denetleyebileceğini söylüyor; bu önlemler şu anda masaüstü yapay zeka sistemleriyle benzer bir kontrole sahip değil.
Yapay zeka asistanlarının (masaüstünde, mobil cihazda veya bulutta) ihtiyaç duyduklarından çok daha fazla bilgiye erişebileceklerini söylüyor.
Alkove, “Modern teknolojinin, asistanımın benim adıma belirli elektronik görevleri yapabilmesi, başka hiçbir şey yapamaması gerektiği gerçeğiyle başa çıkmak için ne kadar yetersiz donanıma sahip olduğunu düşünürseniz,” diyor. “Asistanınıza e-postaya ve takviminize erişim izni verebilirsiniz ancak asistanınızın belirli e-postaları ve belirli takvim etkinliklerini görmesini kısıtlayamazsınız. Her şeyi görebilirler.”
Görevleri devretme yeteneğinin, yapay zeka asistanlarının güvenlik yapısının bir parçası olması gerektiğini söylüyor.
Siber Risk: Hem Kullanıcılar hem de Yapay Zeka Sosyal Mühendisliği
Bu tür güvenlik tasarımı ve kontrolleri olmadan saldırıların gelmesi muhtemeldir.
Bu yılın başlarında, hızlı bir enjeksiyon saldırısı senaryosu işletmelere yönelik riskleri ortaya çıkardı. Güvenlik araştırmacısı Johann Rehberger, e-posta, Word belgesi veya web sitesi aracılığıyla dolaylı bir anlık enjeksiyon saldırısının gerçekleştiğini tespit etti. Microsoft 365 Copilot’u dolandırıcı rolünü üstlenmesi için kandırabilirkişisel bilgilerin alınması ve bir saldırgana sızdırılması. Rehberger, konuyu ilk olarak Ocak ayında Microsoft’a bildirdi ve yıl boyunca şirkete bilgi verdi. Microsoft’un soruna yönelik kapsamlı bir düzeltmesi olup olmadığı bilinmiyor.
Bir işletim sisteminin veya cihazın özelliklerine erişme yeteneği, masaüstü yapay zeka asistanlarını, bir kullanıcıyı harekete geçirmeye çalışan dolandırıcıların başka bir hedefi haline getirecek. Yapay zeka ajanı güvenlik şirketi Zenity’nin CEO’su Ben Kilger, bunun yerine artık bir yüksek lisans diplomasının harekete geçmesini sağlamaya odaklanacaklarını söylüyor.
“Yüksek Lisans onlara herhangi bir özel izin veya kontrol olmaksızın sizin adınıza bir şeyler yapma olanağı veriyor” diyor. “Bu ani enjeksiyon saldırılarının çoğu, sistemde sosyal mühendislik yapmaya çalışıyor; bir insana sosyal mühendislik yapmak zorunda kalmadan ağınızdaki diğer kontrolleri aşmaya çalışıyor.”
Yapay Zekanın Kara Kutusunda Görünürlük
Çoğu şirket genel olarak yapay zeka teknolojisinin güvenliği konusunda görünürlük ve kontrolden yoksundur. Kilger, teknolojiyi yeterince incelemek için şirketlerin yapay zeka sisteminin ne yaptığını, çalışanların teknolojiyle nasıl etkileşime girdiğini ve hangi eylemlerin yapay zekaya devredildiğini inceleyebilmesi gerektiğini söylüyor.
“Bunların hepsi temsilci platformun değil, organizasyonun kontrol etmesi gereken şeyler” diyor. “Bunu parçalara ayırmanız ve bu platformların gerçekte nasıl kullanıldığına ve insanların bu platformları nasıl oluşturup bunlarla etkileşime girdiğine daha derinlemesine bakmanız gerekiyor.”
Oleria’dan Alkove, Microsoft 365 Copilot, Google’ın sözde Project Jarvis’i, Apple Intelligence ve diğer teknolojilerin riskini değerlendirmenin ilk adımının bu görünürlüğü kazanmak ve bir AI asistanının erişimini ayrıntılı düzeyde sınırlandıracak kontrolleri yerinde tutmak olduğunu söylüyor.
Bir masaüstü yapay zeka sisteminin her zaman erişebileceği büyük bir veri kümesi yerine, şirketlerin veriyi nihai alıcısının erişimini, rolünü ve bilginin hassasiyetini kontrol edebilmesi gerektiğini söylüyor.
“Bilgilerinizin bir kısmına ve normalde bir birey olarak gerçekleştireceğiniz eylemlerin bir kısmına bu temsilciye, üstelik yalnızca bir süreliğine erişim iznini nasıl verirsiniz?” Alkove soruyor. “Temsilcinin yalnızca bir kez işlem yapmasını isteyebilirsiniz veya bunu yalnızca 24 saat boyunca yapmasını isteyebilirsiniz; bu nedenle, bugün bu tür kontrollere sahip olduğunuzdan emin olmak kritik öneme sahiptir.”
Microsoft ise veri yönetimi zorluklarını kabul ediyor ancak bunların yeni olmadığını, yalnızca yapay zekanın gelişiyle daha da belirgin hale geldiğini savunuyor.
“Yapay zeka, kuruluşların benzersiz, ilgili politikaları, sektör uyumluluk düzenlemeleri ve risk toleransının bilgi vermesi gereken kontrollerin proaktif yönetimini üstlenmesi için en son eylem çağrısıdır – örneğin hangi çalışan kimliklerinin farklı dosya türlerine, çalışma alanlarına erişmesi gerektiğini belirlemek, ve diğer kaynaklar” bir şirket sözcüsü yaptığı açıklamada söyledi.
Şirket, kuruluşların kimlikleri, izinleri ve diğer kontrolleri sürekli olarak yönetebilmelerinin bir yolu olarak Microsoft Purview portalına dikkat çekti. Şirket, portalı kullanarak BT yöneticilerinin yapay zeka uygulamaları için verilerin güvenliğinin sağlanmasına yardımcı olabileceğini ve tek bir yönetim konumu aracılığıyla yapay zeka kullanımını proaktif olarak izleyebileceğini söyledi. Google, yakında çıkacak AI ajanı hakkında yorum yapmayı reddetti.