En temel varsayımlarımızın yeniden değerlendirilmesini gerektiren net bir öncesi ve sonrası anıyla karşılaştığımız zamanlar vardır. Bu ay OpenAI, insanların kendi verilerine dayanarak ve kendi eklentilerini kullanarak kendi GPT modellerini oluşturmalarına yönelik kodsuz bir araç olan özel GPT’leri duyurdu. Eskiden büyük bir Ar-Ge grubundaki bir ekip veya bir sohbet robotu girişimi için sıkı bir görev olan şey, artık büyükbabam tarafından birkaç wiki bağlantısını bir bilgi tabanı olarak kullanarak beş dakika içinde gerçekleştirilebiliyor.
Daha da önemlisi, bu GPT’ler davranmak kullanıcı adına. OpenAI’nin Zapier ile sıkı entegrasyonu, yapay zekanın CRM’nizi sorgulamasına, ERP’nizi güncellemesine veya birkaç tıklamayla sunucularınızı izlemesine olanak tanıyan binlerce konektörün elinizin altında olması anlamına gelir. Yapay zekanın tüm bu hizmetlerde kimlik doğrulamasını nasıl yaptığını sorabilirsiniz? Harika bir yakalama, ama buna daha sonra değineceğim.
Düşünebileceğiniz şeylerden biri şu olabilir, bu harika bir şey ama sıkı denetime tabi güvenlik odaklı kuruluşumuzda bunun olmasına asla izin vermeyeceğiz. Engellemiş bile olabilirsin sohbetgpt uzun zaman önce ağ düzeyindeydi ve şimdi bu reddetme listesine eklenecek daha fazla bot olup olmadığını sürekli olarak izliyorlar – bu can sıkıcı bir durum ama yönetebilirsiniz.
Microsoft’a girin. Geçen hafta Ignite konferansında Microsoft, kendi kodsuz GPT yaratıcısı Copilot Studio’yu duyurdu. Dosya yüklemekten bilgi tabanı olarak kullanmaya, yapılandırma için sohbet arayüzüne ve eklenti adı verilen tıkla ve ekle entegrasyonlarına kadar OpenAI aracının sahip olduğu her şeye sahiptir. Copilot Studio, kullanıcıların Copilot’larını Microsoft 365, Azure SaaS ve diğer yüzlerce kurumsal sistemle entegre etmelerine olanak tanır. Bu entegrasyon, kullanıcının kimliğine bürünme yoluyla gerçekleştirilir; bu, Copilot’un kullanıcılar adına hareket ettiği anlamına gelir.
Microsoft tarafından oluşturulan bu kullanıcı kimliğine bürünme botlarıyla ilgili şey şu: Onları engelleyemezsiniz. Yapay zeka tarafından oluşturulan bir işlem ile kullanıcı tarafından tetiklenen bir işlemi birbirinden ayırmanın hiçbir yolu yoktur çünkü bunlar günlüklerde tamamen benzer görünür. Yardımcı pilotlar M365 ortamınızda uygulamalar olarak barındırılır; bu nedenle ağ düzeyindeki blokları unutun. Kullanıcılar bu Copilot’lara kurumsal kimlik bilgileriyle giriş yapar. Sonuç olarak GPT’ler tüketici dünyasında yaşarken, Copilot’lar kurumsal dünyada yaşıyor.
Bu Nasıl Bu Kadar Hızlı Oldu?
Ama olmadı. Microsoft ve Salesforce, UiPath ve ServiceNow gibi diğer büyük satıcılar, yıllardır kurumsal uygulamalar geliştirmede çıtayı düşüren düşük kodlu/kodsuz platformlar geliştiriyor. Bu şirketler hizmet olarak yüzlerce entegrasyon, görsel oluşturucu, otomatik üretim dağıtımı ve kimlik bilgisi paylaşımı oluşturuyor.
Sohbet botları, az kodlu/kodsuz platformlar için harika bir uygulamadır. Botunuzu birkaç dakika içinde doğrudan iş verilerinin üzerine oluşturmanız, paylaşmanız, izlemeniz, yükseltmeniz ve yerleştirmeniz için ihtiyacınız olan her şeyi size kutudan çıktığı gibi sağlayan bir platformdan yararlanabilecekken kimin kodlama yapması gerekiyor?
Burada önemli bir nokta, kodsuz uygulamalar geliştirmenin artık ne kadar kolay olduğudur. Son yıllarda profesyonel geliştiriciler ve iş kullanıcıları, Power Platform gibi platformları kullanarak milyonlarca yeni iş uygulaması oluşturdu; bunlardan bazıları hassas verileri işleyen ve iş açısından kritik süreçleri kolaylaştıran uygulamalardır. Bazı şirketler mühendislik ekipleri tarafından oluşturulan GenAI uygulamalarını merkezileştirmeye başlasa da bu yeterli olmayacak. İş kullanıcılarının ne inşa ettiğine de bakmamız gerekiyor. Aslında iş kullanıcılarının çokluğu, bot oluşturma kolaylığıyla birleştiğinde, iş kullanıcılarının ne inşa ettiğine daha fazla odaklanmamız gerektiğini gösteriyor.
Nereden Başlayalım?
Neyse ki giderek artan sayıda kuruluş, vatandaş gelişimini (uygulama geliştiren iş kullanıcıları) uygulama güvenliği programlarına entegre etti ve içgörülerinin bir kısmı kamuya açık hale geldi. Az kodlu/kodsuz uygulamaların güvenlik risklerini kategorize eden, açıklayan ve iyileştirme öneren endüstri standartları ortaya çıktı.
Kod kullanmamak, özellikle mantıksal güvenlik açıklarının olmadığı anlamına gelmez. Ancak bu genellikle SDLC’nin, görünürlüğün ve kontrollerin eksikliği anlamına gelir. Kullanıcılarımız ister GPT ister Copilot oluşturuyor olsun, bunu bugün ve büyük miktarlarda yapıyorlar. Güvenlik liderleri için ya hemen harekete geçmek ve bu yeni geliştiricileri güvenlik şemsiyesi altına almak ya da treni kaçırıp en iyisini ummak gerekir.