AI Ajanlarında Yeni Güvenlik Gerçeği: Sorun Prompt Değil, Yetki

AI ajanları artık yalnızca cevap üretmiyor; e-posta okuyor, API çağırıyor, veri çekiyor, ödeme başlatıyor ve sistemler arasında işlem yapıyor. Bu yazı, prompt injection riskinin neden sadece “girdi filtresi” ile çözülemeyeceğini ve gerçek güvenliğin eylem katmanında nasıl kurulması gerektiğini inceliyor.

Yapay zekâ güvenliği tartışmalarında uzun süredir aynı yere bakıyoruz: modele verilen girdiye.

Prompt injection var mı?

Model kandırıldı mı?

Sistem prompt’u yeterince güçlü mü?

Gelen içerik filtrelendi mi?

Bunların hepsi önemli. Ama eksik.

Çünkü AI ajanlarının asıl riski artık ne söylediğinde değil, ne yapabildiğinde ortaya çıkıyor.

Bir chatbot yanlış cevap verdiğinde sorun sınırlıdır. Yanlış özet çıkarır, hatalı yorum yapar, kullanıcıyı yanıltır. Kötü tabii, ama sistemin tamamı çökmez. Fakat bir AI ajanı e-posta okuyorsa, CRM’e erişiyorsa, API çağırıyorsa, ödeme başlatıyorsa, dosya siliyorsa veya müşteri verisi taşıyorsa mesele değişir.

Artık risk “model kandırıldı mı?” sorusu değildir.

Asıl soru şudur:

Model kandırılsa bile hangi işlemi yapmasına izin veriyoruz?


Prompt Injection Neden Bitmeyecek?

Prompt injection, klasik anlamda bir yazılım açığı gibi düşünülmemeli. Bu, dil modellerinin çalışma biçiminden doğan yapısal bir problem.

Model aynı bağlam içinde birçok şeyi birlikte okur: sistem talimatı, kullanıcı isteği, web sayfası, e-posta içeriği, doküman, API çıktısı, geçmiş konuşma. İnsan gözüyle bunlar ayrı katmanlar gibi görünür. Model açısından ise hepsi aynı bağlamın parçasıdır.

İşte problem burada başlar.

Bir saldırgan zararlı talimatı bir e-posta içine, form alanına, web sayfasına veya doküman açıklamasına gömebilir. AI ajanı bunu okuduğunda, teknik olarak yalnızca “veri” okuduğunu sanırız. Ama model için bu veri, potansiyel bir talimat kaynağına dönüşebilir.

Bu yüzden yalnızca “prompt injection tespit edelim” yaklaşımı yetersizdir. Çünkü saldırganın yaratıcılığı sonsuzdur. Savunmanın her varyasyonu önceden tahmin etmesi mümkün değildir.

İnsanlık burada yine klasik refleksini gösteriyor: Sonsuz ihtimalli bir problemi, üç satır filtreyle çözeceğini sanıyor. Sevimli bir iyimserlik, ama üretim sistemlerinde pek hayatta kalmıyor.

Yanlış Perimetre: Girdi Katmanı

Bugün birçok kurum AI güvenliğini hâlâ girdi katmanında çözmeye çalışıyor.

  • Kullanıcı girdisini temizle.
  • Sistem prompt’unu güçlendir.
  • Modele “başka talimatları dinleme” de.
  • Zararlı metinleri sınıflandır.
  • Şüpheli içerikleri engelle.

Bunlar yapılmalı. Ama yeterli değil.

Çünkü bu yaklaşımın temel varsayımı şu:

Model kandırılmazsa sistem güvendedir.

Bu varsayım tehlikelidir.

Üretim ortamında doğru varsayım bunun tam tersidir:

Model bir gün kandırılacaktır. Buna rağmen sistem zarar görmemelidir.

Bu bakış açısı, AI güvenliğini prompt seviyesinden mimari seviyeye taşır.


Gerçek Güvenlik Eylem Katmanında Başlar

AI ajanı bir işlem yapmak istediğinde, o işlemin modelden çıkmış olması yeterli olmamalıdır. İşlem, bağımsız ve deterministik bir politika katmanından geçmelidir.

Yani model şöyle bir öneri üretebilir:

“Bu faturayı onayla.”

Ama sistem hemen onaylamamalıdır. Önce şu sorular deterministik olarak kontrol edilmelidir:

  • Tutar limitin altında mı?
  • Tedarikçi onaylı listede mi?
  • Bu işlem için insan onayı gerekiyor mu?
  • İşlem kullanıcının rolüyle uyumlu mu?
  • Hedef sistem güvenilir mi?
  • Veri dışarı çıkıyor mu?
  • Bu API çağrısı izin verilen kapsamda mı?

Buradaki kritik nokta şudur:

Bu kontrolü başka bir LLM yapmamalıdır.

Çünkü “bu işlem tehlikeli görünüyor mu?” diye başka bir modele sormak, aynı problemi bir katman aşağı taşımaktır. Güvenlik kararı deterministik kod, açık kurallar ve denetlenebilir politika ile verilmelidir.

AI ajanı önerir.

Politika katmanı karar verir.

Dünya ancak ondan sonra değişir.


Yapılandırılmış İşlem Zorunluluğu

AI ajanlarının güvenli çalışması için kritik şartlardan biri, işlemlerin serbest metin olarak değil, yapılandırılmış tool call olarak geçmesidir.

Kötü örnek:

“Acme faturasını onayla.”

İyi örnek:

approve_invoice

vendor: Acme

amount: 120000

currency: USD

Bu yapı olduğunda sistem tutarı, tedarikçiyi, para birimini ve yetki sınırını kontrol edebilir.

Eğer işlem doğal dilde kalırsa, onu anlamlandırmak için yine modele ihtiyaç duyulur. Böylece belirsizlik geri gelir.

Bu yüzden yüksek etkili işlemlerde serbest metin değil, şemalı ve tiplenmiş aksiyonlar kullanılmalıdır.


Least Privilege Artık Ajan Bazında Değil, Aksiyon Bazında Düşünülmeli

Klasik yaklaşımda bir kullanıcıya veya servise belirli yetkiler verilir. Ancak AI ajanları için bu model risklidir.

Çünkü aynı ajan bir anda özet çıkarabilir, sonra kod yazabilir, sonra veri tabanı sorgulayabilir, sonra e-posta gönderebilir. Her eylemin riski farklıdır.

Bu yüzden yetki ajan üzerinde kalıcı durmamalıdır. Yetki, eylem anında ve dar kapsamlı verilmelidir.

Belge okumak düşük risklidir.

Veri tabanı sorgulamak daha risklidir.

Para transferi başlatmak yüksek risklidir.

Müşteri verisini dış sisteme göndermek kritik risktir.

Aynı ajan bunların hepsine otomatik erişmemelidir.

Yetki, işlem bazında kısa süreli ve kontrol edilen şekilde verilmelidir. İşlem bitince yetki de bitmelidir.


Zero Trust, AI Ajanları İçin Zorunlu Hale Geliyor

AI ajanlarından gelen trafiğe “iç sistemden geliyor, güvenilirdir” diye bakmak ciddi bir hata olur.

Çünkü ajan gerçekten içeriden çalışıyor olabilir, ama davranışını dışarıdan gelen kötü niyetli bir içerik yönlendiriyor olabilir.

Bu nedenle AI ajanlarının her eylemi sıfır güven yaklaşımıyla değerlendirilmelidir:

  • Kim bu işlemi istiyor?
  • Hangi rol adına istiyor?
  • Hangi veriye erişiyor?
  • Hangi API’ye gidiyor?
  • Hangi dış hedefe veri gönderiyor?
  • Bu işlem normal davranışa uygun mu?
  • Geri alınamaz bir sonuç doğuruyor mu?

AI ajanları için güvenlik artık yalnızca model güvenliği değildir. Kimlik, erişim, ağ, veri, API ve denetim mimarisinin birlikte çalışması gerekir.


Kurumlar Pazartesi Nereden Başlamalı?

Her şeyi yeniden inşa etmek gerekmiyor. Ama en azından şu envanter çıkarılmalı:

  1. AI ajanları hangi sistemlere erişiyor?
  2. Hangi verileri okuyabiliyor?
  3. Hangi işlemleri tetikleyebiliyor?
  4. Hangi işlemler geri alınamaz sonuç doğuruyor?
  5. Hangi işlemler için insan onayı gerekiyor?
  6. Hangi API çağrıları dış dünyaya veri çıkarıyor?
  7. Hangi limitler deterministik olarak uygulanıyor?

Bu envanterden sonra en yüksek riskli işlemler için aksiyon bazlı güvenlik kontratları yazılmalıdır.

Örneğin:

  • Ödeme işlemleri
  • Müşteri verisi dışa aktarımı
  • Kullanıcı yetkisi değiştirme
  • Dosya silme
  • API üzerinden veri gönderme
  • CRM veya ERP üzerinde kayıt güncelleme
  • Kod çalıştırma
  • Üretim ortamına deploy

Bu işlemler modelin iyi niyetine bırakılmamalıdır.


Model Faydalı Olmalı, Mimari Şüpheci

AI ajanlarının geleceği büyük ölçüde otonomi üzerine kuruluyor. Ama otonomi, sınırsız yetki anlamına gelmemeli.

Modelin görevi faydalı olmaktır.

Mimarinin görevi ise model hata yaptığında zararı durdurmaktır.

Prompt injection tamamen ortadan kalkmayabilir. Ama doğru mimariyle etkisi sınırlandırılabilir.

Asıl güvenlik sorusu artık şu değil:

“Model kandırılabilir mi?”

Asıl soru şu:

“Model kandırılsa bile sistem neyi engelleyebiliyor?”

Cevap eylem katmanındaysa, sistem hayatta kalır.

Cevap yalnızca prompt’taysa, geçmiş olsun. Teknoloji yine insanlara fazla güvenmiş demektir.

0
825
Bugünü Bile Bilmiyoruz: IMF’ye Göre Gelişmekte Olan Ekonomiler Neden Hâlâ Karanlıkta?

Bugünü Bile Bilmiyoruz: IMF’ye Göre Gelişmekte Olan Ekonomiler Neden H...

1713358301.jpg
Arastiriyorum
6 months ago
Eric Hoffer Kesin İnançlılar Özeti

Eric Hoffer Kesin İnançlılar Özeti

1713358301.jpg
Arastiriyorum
10 months ago
Spotify’da kullanıcı sayısı zirvede, kârlılık beklentinin gerisinde

Spotify’da kullanıcı sayısı zirvede, kârlılık beklentinin gerisinde

1713358301.jpg
Arastiriyorum
11 months ago
Yılın e-posta ve SMS gönderim trendleri!

Yılın e-posta ve SMS gönderim trendleri!

1713358301.jpg
Arastiriyorum
1 year ago
Istanbul Accueil Noel Pazarı: Geleneksel Yıl Sonu Buluşması Yeniden İstanbul’da

Istanbul Accueil Noel Pazarı: Geleneksel Yıl Sonu Buluşması Yeniden İs...

1713358301.jpg
Arastiriyorum
7 months ago