Shadow AI: Denetimsiz Yapay Zeka Riski

"Kontrolsüz ve kontrolsüz kullanılan yapay zeka araçları" manasına gelen "Shadow AI" kavramı, iş dünyasında giderek daha büyük bir tasa kaynağı haline geliyor.

"Shadow AI", bir tertibin bilgi teknolojileri (BT) departmanının bilgisi yahut onayı olmadan çalışanların yahut takımların kullandığı yapay zeka araçlarını tabir ediyor.

"Shadow IT" kavramından türetilen kelam konusu tabirle denetimsiz ve izlenmeyen teknolojilerin yaratabileceği riskler de daha fazla dikkat çekiyor.

Shadow AI'in temel özellikleri ortasında, resmi onay olmadan kullanılması, bilgi güvenliği riskleri taşıması, uyumluluk problemleri yaratması ve yanlış çıktılar üretebilmesi yer alıyor. Bilhassa hassas bilgilerin onaylanmamış yapay zeka platformlarına yüklenmesi, şirketlerin bilgi ihlali riskini artırıyor.

"Yapay zeka eğitildiği bilgi setine nazaran hareket ediyor"

Kaspersky Türkiye Genel Müdürü İlkem Özar, konuya ait AA muhabirine yaptığı değerlendirmede, yapay zeka tabanlı tahlillerin sağladığı sürat ve verimlilik avantajlarına karşın, data güvenliği ve tarafsızlık konusunda önemli riskler barındırdığını söyledi.

Şirket çalışanlarını, yapay zekayı iş süreçlerinde kullanırken paylaşabilecekleri hassas bilgilere karşı uyaran Özar, bilhassa kurumsal kullanıcılara sağlam ve etik pahalara sahip platformları tercih etmeleri istikametinde teklifte bulundu.

Özar, "Bir yapay zeka uygulaması kullandığınızda, datalarınızın sadece sizinle kaldığını düşünmek aldatıcı olabilir. Sonuçta bu sistemler bulut tabanlı çalışıyor ve yüklenen bilgileri süreçten geçirerek geri döndürüyor. Yani bir yapay zeka platformuna sağladığınız data, o sistemin belleğinde kalabilir ve ilerleyen süreçte öbür kullanıcıların sorgularında dolaylı olarak kullanılabilir." dedi.

Yapay zekanın tarafsızlık konusunda da tartışmalı bir noktada olduğunu belirten Özar, bu durumun ilerleyen yıllarda yapay zekanın bir bilgi kaynağı olarak nasıl kullanılacağına dair büyük soru işaretleri yarattığını söyledi.

Özar, "Aynı soruyu farklı yapay zeka modellerine sorduğunuzda, eğitim aldıkları datalara bağlı olarak birbirinden büsbütün farklı cevaplar alabilirsiniz. Örneğin, Çin merkezli bir yapay zeka modeli ile Batı kaynaklı bir yapay zeka modeli birebir bahse farklı açılardan yaklaşabilir. Zira her biri, beslendiği dataları referans alarak cevap oluşturuyor." sözlerini kullandı.

Yanlış datayla beslenen yapay zeka yanlışlı kararlar alabilir

Özar, yapay zekanın eğitim sürecinde kullanılan data kalitesinin de büyük değer taşıdığını vurgulayarak, "Yapay zeka, beslendiği bilgi setlerine dayanarak çalışır. Birtakım yapay zeka modelleri, internette herkese açık ve global çapta erişilebilen bilgi setleriyle eğitiliyor olabilir. Fakat bu durum riskler barındırır, zira internette, bilhassa açık data kaynaklarında, doğruluğu teyit edilmemiş yahut aldatıcı bilgiler bulunabilir. Bu da yapay zekanın yanlışlı yahut ön yargılı sonuçlar üretmesine neden olabilir." diye konuştu.

Shadow AI riskine karşı alınması gereken tedbirlere işaret eden Özar, klasik güvenlik tahlillerinin artık tek başına kâfi olmadığını kaydetti.

Özar, "Günümüzde tehditler daha sofistike hale geldiği için, klâsik antivirüs tahlilleri yetersiz kalabiliyor. Zira antivirüs sistemleri, daha evvel karşılaşılmış tehditleri tespit edebiliyor. Lakin yeni tehditler ortaya çıktığında, antivirüs bunları evvelce bilemeyebilir. Bu noktada, yapay zeka tabanlı gelişmiş güvenlik tahlilleri devreye girmeli." değerlendirmesini yaptı.

Şirketlerin siber güvenlik siyasetlerini daima güncellemeleri gerektiğinin altını çizen Özar, yapay zeka tabanlı tehditlere karşı daha süratli ve aktif cevap verebilecek sistemlerin kullanması gerektiğine dikkati çekti.

Özar, kelam konusu teknolojileri iş süreçlerinde kullanmak isteyen şirket ve kurumların "risk değerlendirmesi" yapması gerektiğini lisana getirerek, "Günlük iş rutinindeki hangi süreçlerin yapay zeka araçlarıyla otomatikleştirilebileceğini, bunun ek riskler yaratmadan nasıl gerçekleştirilebileceğini ve işlenen dataların kapalı olup olmadığını yahut lokal maddelere tabi olup olmadığını anlamaya çalışmak gerekiyor." bilgisini verdi.

Kontrol ve izlenebilirliğin de değerli olduğunu vurgulayan Özar, şu tavsiyelerde bulundu:

"İlgili senaryolar belirlendiğinde, işletme yapay zeka lisan modeli (LLM) hizmetlerini sistemsiz kullanmaktan çıkarak, bir bulut sağlayıcısı üzerinden kurumsal hesap aracılığıyla merkezi bir yaklaşıma geçebilir. Bu süreçte, iletilerdeki potansiyel şahsî bilgileri (PII) izlemeye yönelik tedbirler üzere gerekli güvenlik düzenekleri ve kontrol (örneğin, günlük kaydı tutma) uygulanmalıdır. İşletme, hangi dataların işlenebileceğini ve hizmet sağlayıcının siyasetlerini anlamaya dayanarak çalışanlarını yapay zeka araçlarının kabul edilebilir kullanımı ve şirket tarafından belirlenen erişim formülleri hakkında eğitmeye başlayabilir. Böylelikle denetim ve izlenebilirlik sağlanmış olur."