En temel varsayımlarımızın yeniden değerlendirilmesini gerektiren net bir öncesi ve sonrası anıyla karşılaştığımız zamanlar vardır. Bu ay, OpenAI özel GPT’leri duyurdu, insanların kendi verilerine dayalı olarak ve kendi eklentilerini kullanarak kendi Üretken Önceden Eğitimli Transformatör (GPT) modellerini oluşturmalarına yönelik kodsuz bir araç. Eskiden büyük bir Ar-Ge grubundaki bir ekip veya bir sohbet robotu girişimi için sıkı bir görev olan şey, artık büyükbabam tarafından birkaç wiki bağlantısını bir bilgi tabanı olarak kullanarak beş dakika içinde gerçekleştirilebiliyor. Güvenlik liderlerinin, yapay zeka (AI) araçlarının belirsiz gelecekte ortaya çıkacak bir şey olmadığını anlaması gerekiyor; onlar burada.
Daha da önemlisi, bu GPT’ler kullanıcı adına hareket edebilir. OpenAI’nin Zapier ile sıkı entegrasyonu Yapay zekanın CRM’nizi sorgulamasına, ERP’nizi güncellemesine veya birkaç tıklamayla sunucularınızı izlemesine olanak tanıyan binlerce bağlayıcının emrinizde olduğu anlamına gelir. Yapay zekanın tüm bu hizmetlerde kimlik doğrulamasını nasıl yaptığını sorabilirsiniz? Harika bir soru, ancak daha sonra buna daha fazla değineceğiz.
Aklınıza gelebilecek başka bir düşünce de şu olabilir: Bu harika falan ama sıkı denetime tabi güvenlik odaklı kuruluşumuzda bunun olmasına asla izin vermeyeceğiz. ChatGPT’yi uzun zaman önce ağ düzeyinde engellemiş olabilirsiniz ve şu anda bu reddetme listesine eklenecek daha fazla bot olup olmadığını sürekli olarak izliyorsunuz – bu can sıkıcı bir durum, ancak yönetebilirsiniz.
Microsoft’a girin. Geçen hafta Ignite konferansında, Microsoft, Copilot Studio’yu duyurdu, kendi kodsuz GPT yaratıcısı. Dosya yüklemekten bilgi tabanı olarak kullanmaya, yapılandırma için sohbet arayüzüne ve eklenti adı verilen tıkla ve ekle entegrasyonlarına kadar OpenAI aracının sahip olduğu her şeye sahiptir. Copilot Studio, kullanıcıların Copilot’larını Microsoft 365, Azure SaaS ve diğer yüzlerce kurumsal sistemle entegre etmelerine olanak tanır. Bu entegrasyon, kullanıcının kimliğine bürünme yoluyla gerçekleştirilir; bu, Copilot’un kullanıcılar adına hareket ettiği anlamına gelir.
Microsoft tarafından oluşturulan bu kullanıcı kimliğine bürünme botlarıyla ilgili şey şu: Onları engelleyemezsiniz. Yapay zeka tarafından oluşturulan bir işlem ile kullanıcı tarafından tetiklenen bir işlemi birbirinden ayırmanın hiçbir yolu yoktur çünkü bunlar günlüklerde tamamen aynı görünür. Yardımcı pilotlar M365 ortamınızda uygulamalar olarak barındırılır; bu nedenle ağ düzeyindeki blokları unutun. Kullanıcılar bu Copilot’lara kurumsal kimlik bilgileriyle giriş yapar. Sonuç olarak GPT’ler tüketici dünyasında yaşarken, Copilot’lar kurumsal dünyada yaşıyor.
Bu Nasıl Bu Kadar Hızlı Oldu?
Ama olmadı. Microsoft ve Salesforce, UiPath ve ServiceNow gibi diğer büyük satıcılar, düşük kodlu/kodsuz platformlar oluşturuyor. kurumsal uygulamalar geliştirmede çıtayı düşürdü yıllardır. Bu şirketler yüzlerce entegrasyon, görsel oluşturucu, otomatik üretim dağıtımı ve hizmet olarak kimlik bilgisi paylaşımı.
Chatbot’lar, az kodlu/kodsuz platformlar için harika bir uygulamadır. Botunuzu birkaç dakika içinde doğrudan iş verilerinin üzerine oluşturmanız, paylaşmanız, izlemeniz, yükseltmeniz ve yerleştirmeniz için ihtiyacınız olan her şeyi size kutudan çıktığı gibi sağlayan bir platformdan yararlanabilecekken kimin kodlama yapması gerekiyor?
Burada önemli bir nokta, kodsuz uygulamalar geliştirmenin artık ne kadar kolay olduğudur. Son yıllarda profesyonel geliştiriciler ve iş kullanıcıları, aralarında hassas verileri işleyen ve iş açısından kritik süreçleri kolaylaştıranların da bulunduğu milyonlarca yeni iş uygulaması oluşturmak için Power Platform gibi platformları kullandı. Bazı şirketler bunu yapmaya başlamış olsa da GenAI uygulamalarını merkezileştirin mühendislik ekipleri tarafından oluşturulduğundan bu yeterli olmayacaktır. Güvenlik ekiplerinin iş kullanıcılarının ne inşa ettiğine de bakması gerekiyor. Aslında iş kullanıcılarının çokluğu, bot oluşturma kolaylığıyla birleştiğinde güvenlik ekiplerinin aslında iş kullanıcılarının ne inşa ettiğine daha fazla odaklanması gerektiğini gösteriyor.
Nereden Başlayalım?
Neyse ki giderek artan sayıda kuruluş, vatandaş gelişimini (uygulama geliştiren iş kullanıcıları) uygulama güvenliği programlarına entegre etmiş durumda ve içgörülerinden bazıları şu şekilde değerlendiriliyor: halka açıkPaylaşıldı. Endüstri standartları Az kodlu/kodsuz uygulamaların güvenlik risklerini kategorize eden, açıklayan ve iyileştirme öneren uygulamalar ortaya çıktı.
Kod kullanmamak, özellikle mantıksal güvenlik açıklarının olmadığı anlamına gelmez. Ancak, genellikle şu anlama gelir: yazılım geliştirme yaşam döngüsünün (SDLC) olmaması, görünürlükve kontroller. Kullanıcılarımız ister GPT ister Copilot oluşturuyor olsun, bunu bugün ve büyük miktarlarda yapıyorlar. Güvenlik liderleri için ya hemen gemiye binip bu yeni geliştiricileri güvenlik şemsiyesi altına almak ya da treni kaçırıp en iyisini ummak gerekir.