OpenAI'ın ChatGPT'siyle başlayan yapay zeka devrimi, çalışanların hayatlarını kolaylaştırma potansiyeli sunarken, şirketler için ciddi güvenlik riskleri oluşturuyor. Çalışanlar, kurumsal denetim olmaksızın yetkisiz yapay zeka araçlarını kullanmaya başladı. ESET'in mercek altına aldığı bu 'gölge yapay zeka', veri sızıntısından, uyumsuzluğa kadar pek çok tehdidi beraberinde getiriyor. Peki, bu riskleri nasıl azaltabiliriz? Şirketler, çalışanlarını bilinçlendirerek ve uygun güvenlik önlemleri alarak bu tehdidin önüne geçebilir mi? İşte gölge yapay zekanın tehlikeleri ve çözüm önerileri...
OpenAI’ın ChatGPT aracının 2023’te büyük başarı elde etmesinden bu yana, chatbot ilk iki ayında 100 milyon kullanıcıya ulaştı.
Çalışanlar, hayatlarını kolaylaştıracak üretken yapay zekânın potansiyelinden çok etkilendiler. Microsoft, yapay zekâ kullanıcılarının yüzde 78’inin artık kendi araçlarını işe getirdiğini tahmin ediyor. Bu durum kurumsal yapılarda güvenlik risklerini de beraberinde getiriyor. Siber güvenlik çözümlerinde dünya lideri olan ESET, gölge yapay zekâyı mercek altına aldı.
Gölge yapay zekâ, kurumsal denetim olmaksızın kullanılan yetkisiz yapay zekâ araçlarını ve teknolojilerini ifade ediyor. ChatGPT, Gemini veya Claude gibi popüler sohbet robotları, cep telefonlarına veya evden çalışma dizüstü bilgisayarlarına kolayca indirilip kullanılabiliyor. Bu robotlar, bazı çalışanlara iş yükünü azaltma, teslim tarihlerini kolaylaştırma ve daha yüksek değerli görevlere zaman ayırma gibi cazip bir olasılık sunuyor.
ChatGPT gibi bağımsız uygulamalar, gölge yapay zekâ sorunlarının büyük bir kısmını oluşturur. Ancak bunlar sorunun tüm boyutunu temsil etmez. Bu teknoloji, tarayıcı uzantıları aracılığıyla da işletmelere sızabilir. Hatta kullanıcıların BT departmanının bilgisi olmadan etkinleştirdiği meşru iş yazılımı ürünlerinde de bulunabilir. Bir de ajanlı yapay zekâ var: Otonom ajanlar etrafında şekillenen ve insanlar tarafından kendilerine verilen belirli görevleri bağımsız olarak tamamlamak üzere tasarlanmış yapay zekâ inovasyonunun bir sonraki dalgası. Doğru koruma önlemleri alınmazsa bu ajanlar hassas veri depolarına erişebilir ve yetkisiz veya kötü niyetli eylemler gerçekleştirebilir. Farkına varıldığında ise artık çok geç olabilir.
Gölge yapay zekâ riskleri nelerdir?
Bunların tümü, kuruluşlar için büyük potansiyel güvenlik ve uyumluluk riskleri oluşturuyor. Her komutta, çalışanların hassas veya düzenlemeye tabi verileri paylaşma riski vardır. Bu veriler toplantı notları, IP, kod veya müşteri ya da çalışanların kişisel olarak tanımlanabilir bilgileri olabilir. Girilen her şey modeli eğitmek için kullanılır, gelecekte diğer kullanıcılara aktarılabilir. Üçüncü taraf sunucularda depolanır. Bu durum chatbot geliştiricisinin çalışanlarının hassas bilgilerini görmesine olanak tanıyarak kuruluşu daha da riske atar. Çinli sağlayıcı DeepSeek’te olduğu gibi, veriler bu sağlayıcı tarafından sızdırılabilir veya ihlal edilebilir. Sohbet robotları, kuruluşu farkında olmadan hedefli tehditlere maruz bırakan yazılım güvenlik açıkları veya arka kapılar içerebilir. İş amaçlı bir sohbet robotu indirmek isteyen herhangi bir çalışan, makinesinden gizli bilgileri çalmak için tasarlanmış kötü amaçlı bir sürümü yanlışlıkla yükleyebilir. Bu amaçla açıkça tasarlanmış birçok sahte GenAI aracı bulunmaktadır. Kodlama araçlarının izinsiz kullanımı, çıktıların uygun şekilde incelenmemesi durumunda müşteriye sunulan ürünlere istismar edilebilir hatalar getirebilir. Modeller önyargılı veya düşük kaliteli verilerle eğitilmişse yapay zekâ destekli analiz araçlarının kullanımı bile riskli olabilir ve hatalı karar almaya yol açabilir. Gölge yapay zekâ ile bağlantılı güvenlik ihlalleri, uyum cezaları da dâhil olmak üzere önemli mali ve itibar kaybına neden olabilir.
Riskleri azaltmak için neler yapılabilir?
Risklerle başa çıkmak için bulduğunuz her yeni gölge yapay zekâ aracını bir reddetme listesine eklemek yeterli olmayacaktır. Bu teknolojilerin kullanıldığını kabul etmeniz, ne kadar yaygın ve hangi amaçlarla kullanıldığını anlamanız ve ardından gerçekçi bir kabul edilebilir kullanım politikası oluşturmanız gerekir. Güvenlik ve uyum risklerinin nerede olduğunu anlamak için şirket içi testler yapılmalıdır. Belirli araçların yasaklandığı durumlarda, kullanıcıları bu araçlara geçmeye ikna edebileceğiniz alternatifler bulmaya çalışın. Ayrıca çalışanların henüz keşfetmediğiniz yeni araçlara erişim talep edebilecekleri sorunsuz bir süreç oluşturun. Çalışanlara eğitim verin ve gölge yapay zekâ kullanarak ne gibi riskler alabileceklerini bildirin. Veri sızıntısı risklerini azaltmak ve yapay zekâ kullanımına ilişkin görünürlüğü artırmak için ağ izleme ve güvenlik araçlarını değerlendirin.
Gölge yapay zeka, yetkisiz yapay zeka araçlarının kurumsal yapılarda kontrolsüzce kullanımını ifade eder. Bu durum, veri sızıntısı, güvenlik açıkları ve uyum sorunları gibi riskleri beraberinde getirir. Şirketler, gölge yapay zekanın kullanımını kabul ederek, kullanım politikaları oluşturmalı, riskleri belirlemek için testler yapmalı ve çalışanlarını bu konuda eğitmeli. Ayrıca, veri sızıntısı risklerini azaltmak için ağ izleme ve güvenlik araçları kullanılmalı ve çalışanlara güvenli alternatifler sunulmalıdır. Aksi takdirde, gölge yapay zeka, şirketler için önemli mali ve itibar kayıplarına yol açabilir.
