OpenAI’ın ChatGPT’si 2023 yılında büyük bir başarı yakalayarak, sadece iki ay içinde 100 milyon kullanıcıya ulaştı. Çalışanlar, üretken yapay zekânın işlerini kolaylaştırma potansiyelinden oldukça etkilendi. Microsoft ise yapay zekâ kullanıcılarının %78’inin artık kendi tercih ettikleri araçları iş ortamına getirdiğini tahmin ediyor. Ancak bu durum, kurumsal güvenlik açısından önemli riskler doğuruyor. Siber güvenlik alanında dünya lideri ESET, gölge yapay zekâ konusunu detaylı şekilde inceledi.
Gölge yapay zekâ, kurumsal denetim olmadan, yetkisiz şekilde kullanılan yapay zekâ araçları ve teknolojilerini ifade ediyor. ChatGPT, Gemini veya Claude gibi popüler sohbet robotları, cep telefonlarına veya evden çalışma dizüstü bilgisayarlarına kolayca indirilebiliyor ve kullanılabiliyor. Bu araçlar, çalışanlara iş yükünü azaltma, teslim tarihlerini kolaylaştırma ve daha değerli görevlere odaklanma imkânı sunuyor.
ChatGPT gibi bağımsız uygulamalar gölge yapay zekânın büyük bir bölümünü oluştururken, sorun sadece bunlarla sınırlı değil. Bu teknoloji, tarayıcı uzantıları yoluyla işletmelere sızabilir ve hatta BT departmanının bilgisi olmadan etkinleştirilen meşru iş yazılımlarında da bulunabilir. Ayrıca, otonom ajanlar olarak tasarlanan ve verilen görevleri bağımsız şekilde tamamlayan yapay zekâ ajanları da mevcut. Eğer uygun koruma önlemleri alınmazsa, bu ajanlar hassas veri depolarına erişebilir ve yetkisiz ya da kötü niyetli faaliyetlerde bulunabilir. Farkına varıldığında ise genellikle çok geç olur.
Gölge yapay zekânın riskleri nelerdir?
Bu durumlar, kurumlar için ciddi güvenlik ve uyumluluk riskleri oluşturuyor. Çalışanların hassas veya düzenlemeye tabi verileri paylaşma ihtimali her komutta mevcut. Bu veriler; toplantı notları, fikri mülkiyet, kodlar ya da müşteri ve çalışanların kişisel tanımlayıcı bilgileri olabilir. Girilen her veri, modeli eğitmek için kullanılır ve gelecekte diğer kullanıcılara aktarılabilir. Ayrıca, veriler üçüncü taraf sunucularda depolanır; bu da chatbot geliştiricilerinin hassas bilgilere erişmesine ve kuruluşun risk altına girmesine neden olur. Çinli sağlayıcı DeepSeek örneğinde olduğu gibi, veriler sızdırılabilir veya ihlal edilebilir. Sohbet robotları, kuruluşları farkında olmadan hedefli tehditlere maruz bırakan yazılım açıkları ya da arka kapılar içerebilir. İş amaçlı bir sohbet robotunu indirmek isteyen çalışan, kötü niyetli bir sürümü yanlışlıkla yükleyebilir. Piyasada bu amaçla tasarlanmış birçok sahte GenAI aracı bulunuyor. Kodlama araçlarının izinsiz kullanımı ve çıktıların yeterince incelenmemesi, müşteriye sunulan ürünlerde istismar edilebilir hatalara yol açabilir. Ayrıca, önyargılı veya kalitesiz verilerle eğitilmiş modeller, yapay zekâ destekli analizlerde hatalı kararlar alınmasına sebep olabilir. Gölge yapay zekâ kaynaklı güvenlik ihlalleri, uyum cezaları dahil olmak üzere ciddi maddi ve itibar kayıplarına neden olabilir.
Riskleri azaltmak için neler yapılmalı?
Yeni tespit edilen her gölge yapay zekâ aracını sadece yasaklamak yeterli değildir. Öncelikle bu teknolojilerin kullanımını kabul etmek, yaygınlığını ve kullanım amaçlarını anlamak gerekir. Ardından gerçekçi ve uygulanabilir bir kabul edilebilir kullanım politikası oluşturulmalıdır. Güvenlik ve uyum risklerini belirlemek için şirket içi testler yapılmalı, belirli araçların yasaklandığı durumlarda çalışanları alternatif ve güvenli araçlara yönlendirmek için çözümler sunulmalıdır. Ayrıca, çalışanların henüz keşfedilmemiş yeni araçlara erişim taleplerini karşılayacak sorunsuz bir süreç kurulmalıdır. Eğitimlerle çalışanlar gölge yapay zekânın riskleri konusunda bilgilendirilmeli, veri sızıntısı risklerini azaltmak ve yapay zekâ kullanımına dair görünürlüğü artırmak için ağ izleme ve güvenlik çözümleri değerlendirilmelidir.
Kaynak: (BYZHA) Beyaz Haber Ajansı