SailPoint’e göre, kuruluşların% 82’si zaten AI ajanları kullanıyor, ancak kuruluşların sadece% 44’ü onları güvence altına alacak politikalara sahip olduğunu bildiriyor. % 53’ü bu tür politikaları geliştirme sürecinde olsa da, gerçek şu ki çoğu bugün maruz kalıyor.
AI ajanları kuruluşlar için güvenlik riskleri oluşturmaktadır
Teknoloji profesyonellerinin% 96’sı, kuruluşların% 98’i önümüzdeki yıl içinde kullanımlarını genişletmeyi planlasa da, AI ajanlarını artan bir risk olarak görmektedir.
“AI Ajanı” veya “Ajan AI” terimleri, bir ortamda belirli hedeflere ulaşmak için algılayan, kararlar veren ve harekete geçen otonom sistemleri geniş ölçüde kapsar. Bu ajanlar genellikle gerekli verilere, uygulamalara ve hizmetlere erişmek için birkaç farklı makine kimliği gerektirir ve kendi kendini değiştirme ve alt ajanlar üretme potansiyeli gibi ek karmaşıklıklar getirir.
Teknoloji profesyonellerinin% 72’si artık AI ajanlarının iş için geleneksel makine kimliklerinden daha büyük bir risk sunduğuna inanmaktadır.
Güvenlik riski olarak AI ajanlarına katkıda bulunan faktörler şunlardır:
- AI ajanlarının ayrıcalıklı verilere erişme yeteneği (%60)
- İstenmeyen eylemler yapma potansiyeli (%58)
- Ayrıcalıklı verileri paylaşmak (%57)
- Yanlış veya doğrulanmamış verilere dayalı kararlar almak (%55)
- Uygunsuz bilgilere erişmek ve paylaşmak (%54)
Sailpoint’teki ürün ve CTO EVP’si Chandra Gnanasambandam, “Ajan yapay zeka hem inovasyon için güçlü bir güç hem de potansiyel bir risktir” dedi. “These autonomous agents are transforming how work gets done, but they also introduce a new attack surface. They often operate with broad access to sensitive systems and data, yet have limited oversight. That combination of high privilege and low visibility creates a prime target for attackers. As organizations expand their use of AI agents, they must take an identity-first approach to ensure these agents are governed as strictly as human users, with real-time permissions, least privilege and full visibility eylemlerine. ”
AI ajanlarını yöneten
Bugün, AI temsilcileri müşteri bilgilerine, finansal verilere, fikri mülkiyet, yasal belgelere, tedarik zinciri işlemlerine ve diğer son derece hassas verilere erişebilir. Ancak katılımcılar, AI ajanlarının erişebileceği ve paylaşabileceği veri kontrol etme yeteneği konusunda derin endişeler bildirmişlerdir,% 92’si AI ajanlarını yönetmenin kurumsal güvenlik için kritik olduğunu belirtmektedir.
% 23’ü AI ajanlarının erişim kimlik bilgilerini ortaya çıkarmaya kandırıldığını bildirdi. Ayrıca, şirketlerin% 80’i AI ajanlarının istenmeyen eylemlerde bulunduğunu söylüyor.
İstenmeyen eylemlerin listesine liderlik eden katılımcıların% 39’u AI ajanlarının yetkisiz sistemlere eriştiğini bildirirken,% 33’ü ajanların uygunsuz veya hassas verilere eriştiğini söyledi. Bu davranışlar bir görevi yerine getirme girişimlerini yansıtabilse de, bir sonraki eylem kümesi daha çok ilgilidir:% 32’si AI ajanlarının hassas verilerin indirilmesini sağladığını ve% 31’i verilerin uygunsuz bir şekilde paylaşıldığını söyledi.
AI ajanı veri erişim bilgisinde öne çıkıyor
Bu (%71), teknolojiyi uygulama, yapılandırmaları yönetme ve kimlik bilgilerini sağlama konusundaki rolleri göz önüne alındığında AI aracı veri erişimi ile ilgili en bilgilendirilmiş ekiptir.
Bununla birlikte, farkındalık diğer kritik paydaşlar arasında önemli ölçüde düşer: uyum (%47), yasal (%39), yöneticiler (%34) ve diğer departmanlar – hassas verilerin belirlenmesindeki, kuruluşu koruma ve riski en aza indirme konusundaki rollerine rağmen.
Veri erişimine ilişkin bu görünürlük eksikliği, şirketlerin sadece% 52’sinin AI ajanları tarafından kullanılan veya paylaşılan tüm verileri izleyebileceklerini ve denetleyebileceklerini bildirmektedir.
İşlevlerini yerine getirmek için birden fazla izin almasına rağmen, AI ajanları tipik olarak sadece BT departmanları aracılığıyla hızlandırılmış erişim alırlar. Tasarım gereği, bu temsilciler, talepleri yerine getirmek için erişilebilir tüm kaynakları keşfedecektir – doğal güvenlik açıklarını yaratmak.
Bu riskleri ele almak için kuruluşlar, hassas verilere erişimi kısıtlayabilen, kapsamlı denetim izlerini koruyabilen ve tüm paydaşlara şeffaflık sağlayabilen AI temsilcisine özgü kontrollerle özel kimlik güvenlik çözümleri uygulamalıdır.