Emniyet kemerleri ilk kez kullanılmaya başlandığında arabalar nispeten yavaştı ve çoğu kazada sürücüleri güvende tutmak için emniyet kemeri yeterliydi. Ancak araçlar güçlendikçe otomobil üreticileri hava yastıkları, çökme bölgeleri ve (sonunda) tehlikeleri önceden tahmin eden ve çarpışmaları önleyen uyarlanabilir sürücü destek sistemlerini eklemek zorunda kaldı.
Kimlik ve erişim yönetimi (IAM) artık benzer bir dönüm noktasında. Onlarca yıldır eylem tabanlı izinler, kurumsal güvenliğin emniyet kemeri, kullanıcıların veya sistemlerin neler yapabileceğini tanımlayan temel korkuluklar rolünü üstlendi. Ancak bağımsız olarak çalışan ve geniş ölçekte kararlar veren ajansal yapay zeka ve otonom yazılım aracılarının yükselişiyle birlikte, IAM artık yalnızca Ne bir yapay zeka ajanı bunu yapıyor, ancak Neden.
Yapay zeka temsilcileri için kimlik emniyet kemeri ve uyarlanabilir sürücü yardımı
Eylem tabanlı izinler çoğu IAM sisteminin temel taşı olmayı sürdürüyor. İzin verilen işlemleri belirterek, okuma, yazma, güncelleme, silme veya kapsamlı API erişimi vererek çalışırlar.
İnsanlar veya deterministik botlar için bu model iyi çalışır: en az ayrıcalık sağlar, denetim izleri oluşturur ve uyumluluğun gösterilmesini kolaylaştırır. Ancak yapay zeka ajanları bağlamında bu kontroller yeterli değil.
Yöneticiler, yeni riskler getiren iş akışlarının kesintiye uğramasını önlemek için sıklıkla aşırı geniş erişim izni verir. Bu arada aşırı sıkı korkuluklar yararlı davranışları engelleyebilir ve iş kullanıcılarını hayal kırıklığına uğratabilir. En önemlisi, eylem tabanlı izinler bir işlemin “nedenini” değil yalnızca “nesini” yakalar.
Bir AI aracısı verileri silmeye çalışırsa rutin bir temizleme mi yapıyor yoksa yetkisiz bir eylem mi gerçekleştirmeye çalışıyor? İzin sistemi bunu söyleyemez. Eyleme dayalı kontroller, aracıyı önceden tanımlanmış şeritler içinde tutabilir ancak yolculuğun varış noktasını veya amacını yorumlayamaz. Emniyet kemeri gibi, darbe sonrasında koruyucudurlar ancak önleyici değildirler.
Niyet temelli izinler, eylemin arkasındaki amacı inceleyerek IAM’i bir adım daha ileri götürür. Görev türü, veri hassasiyeti, kullanıcı yetkilendirmesi ve gerçek zamanlı risk sinyalleri gibi bağlamlar erişim kararlarında dikkate alınır.
Bu, ilk etapta olayları önlemek için aracı tehlikelerden uzaklaştıran bir araçtaki uyarlanabilir sürücü yardımına eşdeğerdir: Amaca dayalı izinler, yapay zeka sistemlerinin özerk bir şekilde çalışmasına izin verirken, iş amaçlarıyla uyumlu olmayan eylemleri dinamik olarak önler.
Örneğin, amaç bir destek bildirimini çözmekse bir AI aracısının müşteri PII’sine erişmesine izin verilebilir, ancak görev bir modeli eğitmekse aynı erişime sahip olması engellenebilir. Bu yaklaşım, yalnızca eylemlerle değil hedeflerle de eşleşerek IAM’e anlamsal farkındalık kazandırır.
Ajansal yapay zeka için niyet neden önemlidir?
İnsanlar eylemlerine bağlam katarlar. Bir bordro yöneticisi maaş verilerine eriştiğinde, bunun genellikle işinin bir parçası olduğu anlaşılır. Ne yazık ki yapay zeka ajanlarının bu örtülü bağlamı yok. Operasyonları yeni yöntemlerle zincirleyebilirler, yöneticilerin hiç beklemediği ve mevcut izinlerin yeterince kısıtlayamadığı davranışlar yaratabilirler.
Amaca dayalı kontroller, amacı sürekli olarak değerlendirerek, kuruluşların yalnızca eylemler onaylanmış iş hedefleriyle uyumlu olduğunda uyarlanabilir bir şekilde erişim izni vermesine olanak tanır. Bu, kör noktaları azaltır, aşırı ve yetersiz izinleri önler ve güvenlikten ödün vermeden üretkenliği destekler.
Amaca dayalı IAM, pek çok açıdan sıfır güven ve en az ayrıcalık ilkelerini yapay zeka çağına kadar genişletiyor. Sadece “bu eyleme izin veriliyor mu?” sorusunu sormakla kalmıyor. ama aynı zamanda “bu eylem mevcut amaç, bağlam ve risk göz önüne alındığında uygun mu?”
Bu, eyleme dayalı izinlerin artık geçerliliğini yitirdiği anlamına gelmiyor. Güvenlik katmanlı kontrollere bağlıdır. Eyleme dayalı korkuluklar ve amaca dayalı yönetişim birlikte hem koruyucu hem de uyarlanabilir bir sistem oluşturur.
Hibrit IAM modeline geçiş
Amaca dayalı izinlere geçişin aşamalı olarak gerçekleşmesi gerekecek. İşte bu noktaya ulaşmak için üç adımlı bir yol haritası:
- Kısa vadeli: Yapay zeka aracılarını denetleyin ve daha sıkı eylem tabanlı kapsamlar uygulayın. Her iznin bir gerekçesi olduğundan ve denetlenebilir olduğundan emin olun.
- Orta vadeli: Aracı görevlerini yorumlayabilen, veri hassasiyetini değerlendirebilen ve risk sinyallerini hesaba katabilen bağlama duyarlı politika motorlarını entegre edin. Amaç kontrollerini öncelikle yüksek değerli veya yüksek riskli iş akışlarına uygulayın.
- Uzun vadeli: Eylem, niyet ve riskin insanlar ve botlar ve yapay zeka aracıları gibi insan olmayan kimlikler (NHI’ler) için tek bir yönetim katmanında birleştiği birleşik kimlik çerçevelerine doğru ilerleyin.