Denetimsiz yapay zeka kullanan şirketler için Shadow AI tehdidi

“Shadow AI”, bir organizasyonun bilgi teknolojileri (BT) departmanının bilgisi veya onayı olmadan çalışanların veya ekiplerin kullandığı yapay zeka araçlarını ifade ediyor.

“Shadow IT” kavramından türetilen söz konusu terimle kontrolsüz ve izlenmeyen teknolojilerin yaratabileceği riskler de daha fazla dikkat çekiyor.

Shadow AI’in temel özellikleri arasında, resmi onay olmadan kullanılması, veri güvenliği riskleri taşıması, uyumluluk sorunları yaratması ve yanlış çıktılar üretebilmesi yer alıyor. Özellikle hassas bilgilerin onaylanmamış yapay zeka platformlarına yüklenmesi, şirketlerin veri ihlali riskini artırıyor.

“Yapay zeka eğitildiği veri setine göre hareket ediyor”

Kaspersky Türkiye Genel Müdürü İlkem Özar, konuya ilişkin AA muhabirine yaptığı değerlendirmede, yapay zeka tabanlı çözümlerin sağladığı hız ve verimlilik avantajlarına rağmen, veri güvenliği ve tarafsızlık konusunda ciddi riskler barındırdığını söyledi.

Şirket çalışanlarını, yapay zekayı iş süreçlerinde kullanırken paylaşabilecekleri hassas bilgilere karşı uyaran Özar, özellikle kurumsal kullanıcılara güvenilir ve etik değerlere sahip platformları tercih etmeleri yönünde öneride bulundu.

Özar, “Bir yapay zeka uygulaması kullandığınızda, verilerinizin yalnızca sizinle kaldığını düşünmek yanıltıcı olabilir. Sonuçta bu sistemler bulut tabanlı çalışıyor ve yüklenen bilgileri işlemden geçirerek geri döndürüyor. Yani bir yapay zeka platformuna sağladığınız veri, o sistemin belleğinde kalabilir ve ilerleyen süreçte başka kullanıcıların sorgularında dolaylı olarak kullanılabilir.” dedi.

Yapay zekanın tarafsızlık konusunda da tartışmalı bir noktada olduğunu belirten Özar, bu durumun ilerleyen yıllarda yapay zekanın bir bilgi kaynağı olarak nasıl kullanılacağına dair büyük soru işaretleri yarattığını söyledi.

Özar, “Aynı soruyu farklı yapay zeka modellerine sorduğunuzda, eğitim aldıkları verilere bağlı olarak birbirinden tamamen farklı yanıtlar alabilirsiniz. Örneğin, Çin merkezli bir yapay zeka modeli ile Batı kaynaklı bir yapay zeka modeli aynı konuya farklı açılardan yaklaşabilir. Çünkü her biri, beslendiği verileri referans alarak yanıt oluşturuyor.” ifadelerini kullandı.

Yanlış veriyle beslenen yapay zeka hatalı kararlar alabilir

Özar, yapay zekanın eğitim sürecinde kullanılan veri kalitesinin de büyük önem taşıdığını vurgulayarak, “Yapay zeka, beslendiği veri setlerine dayanarak çalışır. Bazı yapay zeka modelleri, internette herkese açık ve küresel çapta erişilebilen veri setleriyle eğitiliyor olabilir. Ancak bu durum riskler barındırır, çünkü internette, özellikle açık veri kaynaklarında, doğruluğu teyit edilmemiş veya yanıltıcı bilgiler bulunabilir. Bu da yapay zekanın hatalı veya ön yargılı sonuçlar üretmesine neden olabilir.” diye konuştu.

Shadow AI riskine karşı alınması gereken önlemlere işaret eden Özar, klasik güvenlik çözümlerinin artık tek başına yeterli olmadığını kaydetti.

Özar, “Günümüzde tehditler daha sofistike hale geldiği için, geleneksel antivirüs çözümleri yetersiz kalabiliyor. Çünkü antivirüs sistemleri, daha önce karşılaşılmış tehditleri tespit edebiliyor. Ancak yeni tehditler ortaya çıktığında, antivirüs bunları önceden bilemeyebilir. Bu noktada, yapay zeka tabanlı gelişmiş güvenlik çözümleri devreye girmeli.” değerlendirmesini yaptı.

Şirketlerin siber güvenlik politikalarını sürekli güncellemeleri gerektiğinin altını çizen Özar, yapay zeka tabanlı tehditlere karşı daha hızlı ve etkin yanıt verebilecek sistemlerin kullanması gerektiğine dikkati çekti.

Özar, söz konusu teknolojileri iş süreçlerinde kullanmak isteyen şirket ve kurumların “risk değerlendirmesi” yapması gerektiğini dile getirerek, “Günlük iş rutinindeki hangi süreçlerin yapay zeka araçlarıyla otomatikleştirilebileceğini, bunun ek riskler yaratmadan nasıl gerçekleştirilebileceğini ve işlenen verilerin gizli olup olmadığını veya yerel yasalara tabi olup olmadığını anlamaya çalışmak gerekiyor.” bilgisini verdi.

Kontrol ve izlenebilirliğin de önemli olduğunu vurgulayan Özar, şu tavsiyelerde bulundu:

“İlgili senaryolar belirlendiğinde, işletme yapay zeka dil modeli (LLM) hizmetlerini düzensiz kullanmaktan çıkarak, bir bulut sağlayıcısı üzerinden kurumsal hesap aracılığıyla merkezi bir yaklaşıma geçebilir. Bu süreçte, mesajlardaki potansiyel kişisel verileri (PII) izlemeye yönelik önlemler gibi gerekli güvenlik mekanizmaları ve denetim (örneğin, günlük kaydı tutma) uygulanmalıdır. İşletme, hangi verilerin işlenebileceğini ve hizmet sağlayıcının politikalarını anlamaya dayanarak çalışanlarını yapay zeka araçlarının kabul edilebilir kullanımı ve şirket tarafından belirlenen erişim yöntemleri hakkında eğitmeye başlayabilir. Böylece kontrol ve izlenebilirlik sağlanmış olur.”