This is the Trace Id: 402e618441a4649ce4f8b57c8cfb0306

 

Cyber Pulse: Yapay Zeka Güvenlik Raporu

Microsoft’un güncel birinci taraf telemetri ve araştırmaları, birçok kuruluşun yapay zeka aracılarını hızla benimsediğini ortaya koyuyor. Şimdi liderlerin gözlemlenebilirlik, yönetişim ve güvenliği hayata geçirmesinin tam zamanı.
Raporu okuyun Paylaş
Fortune 500 şirketlerinin düşük kodlu yapay zeka aracılarını benimsemesini vurgulayan bir metin içeren modern bir ofisin toplantı alanında oturan üç iş arkadaşı.

Sayı 1: Giriş

İnsanlar ve aracılar insan potansiyelini yükseltmek için ele ele çalışırken öncü kuruluşlar çalışma biçimlerini yeniden tanımlıyor. Son Microsoft verileri, insan-aracı ekiplerinin hızla büyüyerek dünya çapında yaygınlaştığını gösteriyor.

Yapay zeka aracıları, bazı şirketlerin fark edemediği kadar hızlı büyüyor ve bu görünürlük açığı, ciddi bir iş riski oluşturuyor. Kuruluşların, aracıları güvenle benimsemek, yeniliği teşvik etmek ve riski azaltmak için etkin yönetişime ve güvenliğe acilen ihtiyacı var. Tıpkı insan kullanıcılar gibi, yapay zeka aracıları da Sıfır Güven ilkeleriyle desteklenen gözlemlenebilirlik, yönetişim ve güçlü güvenlik ile korunmalıdır. Yapay zeka benimsemesinin bir sonraki aşamasında başarıya ulaşacak kuruluşlar, hızlı hareket ederek yapay zeka dönüşümlerini gözlemlemek, yönetmek ve güvence altına almak için iş, BT, güvenlik ve geliştirici ekiplerini bir araya getirebilenler olacak.

Microsoft'un ekosistemi genelinde müşteriler artık Fabric ve Atölye'den Copilot Studio ve Aracı Oluşturucu'ya kadar her büyük platformda aracılar oluşturup dağıtıyor; bu durum, iş akışında yapay zeka destekli otomasyona yönelik geniş çaplı bir dönüşümü yansıtıyor.

Aracı geliştirme artık sadece teknik rollerle sınırlı değil; farklı pozisyonlardaki çalışanlar günlük işlerinde aracılar oluşturup kullanıyor. Gerçekten de Microsoft verilerine göre Fortune 500 şirketlerinin %80’den fazlası az kodlu/kodsuz araçlarla oluşturulan aktif aracıları kullanıyor.1 Aracı kullanımı artarken ve dönüşüm fırsatları çoğalırken, temel kontrol mekanizmalarını şimdi kurmak kritik önem taşıyor.

Tıpkı insan çalışanlarda olduğu gibi aracılar için Sıfır Güven şu anlama gelir:
 

  • En düşük erişim: Her kullanıcıya, yapay zeka aracısına veya sisteme sadece gerektiği kadar erişim verin; fazlasını değil.

  • Açık doğrulama: Kimlik, cihaz durumu, konum ve risk düzeyini kullanarak erişim talebinde bulunan kişi veya şeyi her zaman doğrulayın.

  • Güvenlik ihlali olabileceğini varsayma: Sistemler, saldırganların içeri sızabileceği varsayımıyla tasarlanır.

Fortune 500 şirketlerinin %80'inden fazlası, aktif düşük kodlu ajan araçları olan Ask Copilot'u tercih ediyor.

Yapay zeka aracıları tüm bölgelerde ve sektörlerde hızla yaygınlaşıyor

Aracı kullanımı, EMEA’dan Amerika ve Asya’ya kadar tüm dünyada hızla artıyor.2
Bölgesel dağılımı gösteren çubuk grafik: EMEA %42, Amerika Birleşik Devletleri %29, Asya %19, Amerika kıtaları %10.
Microsoft, her sektörde aracı kullanımının arttığını gözlemliyor. Finansal hizmetler, üretim ve perakende sektörleri aracı benimsemesinde öncü konumda. Bankacılık, sermaye piyasaları ve sigorta gibi finansal hizmetler, dünya genelindeki aktif aracıların yaklaşık %11’ini oluşturuyor.2Fabrikalar, tedarik zincirleri ve enerji operasyonlarında yaygın kullanımla üretim sektörü, küresel aracı kullanımının %13’ünü temsil ediyor.2Aracıların müşteri deneyimi, envanter yönetimi ve ön saha süreçlerini iyileştirmek için kullanıldığı perakende sektörü ise %9’luk paya sahip.2

Sorun şu ki: Bu aracıların bazıları BT tarafından onaylanmış, bazıları ise onaylanmamış durumda. Bazı aracıların bazıları güvenliyken bazıları ise risk taşıyor.
Üst üste binen daireler sektör dağılımını gösteriyor: Yazılım ve Teknoloji %16, İmalat %13, Finansal Hizmetler %11, Perakende %9.

Çifte aracı riski

Aracıların hızla kullanıma sunulması, güvenlik ve uyumluluk kontrollerini yetersiz bırakarak gölge yapay zeka riskini artırır. Kötü niyetli aktörler, aracıların erişim ve ayrıcalıklarını kötüye kullanarak onları istemeden "çifte aracı" haline getirebilir” İnsan çalışanlarda olduğu gibi aşırı erişime sahip veya yanlış talimat alan bir aracı da güvenlik açığı yaratabilir.

Yönetilmeyen, yanlış izinler verilen veya güvenilmeyen girdilerle manipüle edilen çifte aracıların oluşturduğu risk, teorik değil gerçek bir tehdittir. Yakın zamanda, Microsoft Defender ekibi, birden fazla aktörün "bellek zehirlemesi" adı verilen bir yapay zeka saldırısı tekniğiyle AI yardımcılarının belleğini kalıcı olarak manipüle ettiği, gelecekteki yanıtları sessizce yönlendirerek sistemin doğruluğuna olan güveni zayıflattığı bir sahtekarlık kampanyası tespit etti.

Microsoft’un kendi AI Red Team ekibi tarafından yürütülen bağımsız ve güvenli test ortamı araştırmasında, aracıların gündelik içeriklerde yer alan zararlı talimatları takip etmek gibi aldatıcı arayüz öğeleriyle nasıl yanıltıldığı belgelendi. Red Team ayrıca, aracıların akıl yürütme işleminin manipüle edilmiş görev tanımlarıyla belli etmeden nasıl yönlendirilebileceğini ortaya koydu. Bu bulgular, kuruluşların tüm aracıları eksiksiz gözlemleyip yöneterek kontrollerin merkezi olarak uygulanmasının ve risklerin tümleşik bir yaklaşımla etkin şekilde yönetilmesinin önemini vurguluyor.
2025 yılında yapılan bir ankete göre, çalışanların %29'u iş görevlerinde resmi olarak onaylanmamış yapay zeka ajanlarını kullanıyor.
Microsoft’un Veri Güvenliği Endeksi’ne göre, sektörler genelinde kuruluşların yalnızca %47'si belirli GenAI güvenlik kontrollerini uyguluyor.3 Bu durum, kuruluşların güvenli yapay zeka benimsemesi için gerekli net görünürlüğü elde etmesi için bir fırsat ortaya koyuyor. Daha da önemlisi, Microsoft tarafından Hypothesis Group’a yaptırılan ve 1.700’den fazla veri güvenliği uzmanının katıldığı çok uluslu bir ankete göre, çalışanların %29’u iş görevleri için onaylanmamış yapay zeka aracılarını kullanıyor.4
Pasta grafik, kuruluşların yalnızca %47'sinin üretken yapay zeka kullanımına yönelik güvenlik kontrollerine sahip olduğunu ortaya koyuyor.

Benimseme artarken, kaç lider bu temel riskin gerçekten farkında? Kaç lider, aracı popülasyonuna ilişkin görünürlüğe sahip? Denetimsiz veya kontrolsüz yapay zeka aracıları, kurumsal riskleri katlayarak güvenlik, iş sürekliliği ve itibar üzerinde ciddi tehditler oluşturuyor ve bu sorumluluk doğrudan CISO ve üst yönetimin omuzlarında. Bu durum, siber riskler konusundaki başlıca ikilemdir. Yapay zeka aracılar, işyerinde yeni fırsatlar sunarak kurum içi operasyonların ayrılmaz bir parçası haline geliyor. Ancak, bir aracının riskli davranışları iç tehditleri büyüterek bunu yönetmeye hazır olmayan kuruluşlar için yeni başarısızlık senaryoları yaratabilir.

 

Yapay zekanın çift yönlü doğası artık hayatımızda: Olağanüstü yeniliklerle birlikte benzeri görülmemiş riskler.

Yapay zeka aracılarınızdan en iyi şekilde yararlanmak

Öncü şirketler, yapay zeka dalgasını yönetişimi modernize etmek, gereksiz veri ifşasını azaltmak ve kurumsal çapta kontrol mekanizmaları kurmak için kullanıyor. Bunu, kültürel bir dönüşümle destekliyorlar: İş liderleri yapay zeka stratejisinin sahibi olabilir ancak BT ve güvenlik ekipleri gözlemlenebilirlik, yönetişim ve güvenli deneyim süreçlerinde gerçek iş ortakları haline geliyor. Bu kuruluşlar için aracıların güvence altına alınması bir kısıtlama değil, yapay zeka aracılarını insan gibi ele alıp aynı Sıfır Güven ilkelerini uygulayarak elde edilen rekabet avantajıdır.

Her şey gözlemlenebilirlikle başlar çünkü göremediğinizi koruyamaz, anlamadığınızı yönetemezsiniz. Gözlemlenebilirlik, kuruluşun tüm katmanlarında (BT, güvenlik, geliştiriciler ve yapay zeka ekipleri) bir kontrol düzlemi oluşturarak şunları anlamaktır:

  • Hangi aracıların mevcut olduğu
     

  • Bu aracılara kimlerin sahip olduğu
     

  • Hangi sistemlere ve verilere eriştikleri
     

  • Davranış biçimleri


 

Gözlemlenebilirlik beş temel alanı kapsar:

  • Merkezi bir kayıt sistemi, kuruluş genelindeki onaylanmış, üçüncü taraf ve ortaya çıkan gölge aracılar dahil tüm aracılar için tek ve güvenilir kaynak görevi görür. Bu envanter, aracıların kontrolsüz yayılmasını önler, hesap verebilirliği artırır ve keşfi kolaylaştırır; ayrıca onaylanmamış aracıların gerektiğinde kısıtlanmasına veya karantinaya alınmasına imkan tanır.
  • Her aracı, insan kullanıcılar ve uygulamalara uygulanan aynı kimlik ve ilke tabanlı erişim kontrolleriyle yönetilir. Tutarlı şekilde uygulanan en düşük izinler, aracıların sadece görevlerini yerine getirmek için gereken veri, sistem ve iş akışlarına erişmesini sağlar; ne fazla ne eksik.
  • Gerçek zamanlı panolar ve telemetri, aracıların insanlar, veriler ve sistemlerle nasıl etkileşimde bulunduğunu net şekilde ortaya koyar. Liderler, aracıların nerede faaliyet gösterdiğini görebilir, bağımlılıkları anlayabilir ve davranışlarla etkileri izleyerek kötüye kullanımı, sapmayı veya ortaya çıkan riskleri daha hızlı tespit edebilir.
  • Aracılar, Microsoft platformları, açık kaynak çerçeveler ve üçüncü taraf ekosistemlerde tutarlı bir yönetişim modeli altında çalışır. Bu birlikte çalışabilirlik, aracıların tüm iş akışlarında insanlarla ve diğer aracılarla iş birliği yapmasını sağlarken, aynı kurumsal kontroller içinde yönetilmelerini garanti eder.
  • Yerleşik koruma mekanizmaları, aracıları hem içteki kötüye kullanımlara hem de dış tehditlere karşı korur. Güvenlik sinyalleri, ilke uygulaması ve entegre araçlar, kuruluşların ele geçirilmiş veya uyumsuz aracıları erken tespit edip hızlıca müdahale etmesini sağlar; böylece sorunlar işletme, düzenleyici veya itibar zararına dönüşmeden önlenir.

Farkı kapatmak: Yapay zeka yönetişimi ve güvenliği kontrol listesi

Yapay zeka risklerini kontrol altına almanın yolu açıktır: Yapay zeka aracılarını, herhangi bir çalışan veya yazılım hizmet hesabı kadar titizlikle yönetin. İşte kontrol listeniz için yedi önemli madde.
  • Her aracının amacını belgeleyin ve yalnızca gerektiği kadar erişim verin. Geniş yetkiler vermeyin.
  • Yapay zeka kanallarında veri koruma kurallarını uygulayın. Denetim kayıtlarını tutun ve yapay zeka tarafından oluşturulan içeriği etiketleyin.
  • Gölge yapay zekayı engellemek için güvenli alternatifler sunun. Yetkisiz uygulamaları engelleyin.
  • Yapay zeka senaryoları için İş Sürekliliği planlarını güncelleyin. Masa başı tatbikatları düzenleyin ve kimlik, veri ile tehdit alanlarında gözlemlenebilirlik ölçümlerini takip edin.
  • Yapay zeka yönetişimini şimdi oluşturun ve kendi kendiniz denetleyin: Eğitim verilerini belgeleyin, önyargıları değerlendirin, yasa, veri ve güvenlik alanlarında insan denetimini sağlayın. Böylece düzenleyici uyumluluk sonradan eklenmek yerine baştan entegre edilmiş olur.
  • Yapay zeka riskini kurumsal düzeye taşıyın: Yönetici sorumluluğu, ölçülebilir KPI’lar ve yönetim kurulu görünürlüğü ile finansal ve operasyonel riskleri birlikte yönetin.
  • Çalışanları güvenli yapay zeka kullanımı konusunda eğitin. Şeffaflığı ve iş birliğini teşvik edin.

Yapay zeka aracılarıyla başarıya ulaşan kuruluşlar, gözlemlenebilirlik, yönetişim ve güvenliğe öncelik verenler olacaktır. Bunu başarmak için tüm ekiplerin iş birliği yapması ve kuruluşların tüm katmanlarındaki yapay zeka aracılarının gözlemlenmesi gerekir: BT profesyonelleri, güvenlik ekipleri, yapay zeka ekipleri ve geliştiriciler. Tüm bunlar, birleşik merkezi bir kontrol platformu üzerinden yönetilip izlenebilir.

Agent 365, Microsoft’un kuruluş genelinde yapay zeka aracılarını yönetmek için birleşik kontrol platformudur. Microsoft platformlarında, açık kaynak çerçevelerde veya üçüncü taraf sistemlerde geliştirilmiş fark etmeden, yapay zeka aracılarını kaydetmek, yönetmek, güvence altına almak, gözlemlemek ve işletmek için merkezi, kurumsal düzeyde bir sistem sunar. Yapay zeka ve aracıları güvence altına almaya yardımcı olan Microsoft ürünleri ve hizmetleri hakkında daha fazla bilgiyi burada bulabilirsiniz.
Mavi arka planda, yapay zeka uygulamaları, yönetişimi ve uyumluluğu için kılavuzlar sunan Microsoft Güvenlik kaynak kartları
Yapay zekanın güvenliğini sağlama kılavuzları

Yapay zeka destekli kuruluşun güvenliği için Microsoft kılavuzları

Yapay zeka uygulamalarını yönetmek, güvence altına almak ve uyumluluğu sürdürmek için sağlam bir temel oluşturmanıza yardımcı olacak rehberliği alın.
Kılavuzları okuyun

Diğer kaynaklar

Ortak çalışma alanında dizüstü bilgisayarda çalışırken akıllı telefonundaki bilgileri kontrol eden bir kişi

Microsoft Veri Güvenliği Endeksi

Üretici AI'ın veri güvenliğini nasıl dönüştürdüğüne dair değerli içgörüler edinin.
Raporu okuyun
Ekranda "riskleri anlama, doğru kontrolleri yerleştirme, ölçme ve izleme" başlıklarıyla sahnede duran sunucu

Güvenilir yapay zeka ile fırsatları hızlandırma

Microsoft liderlerinin, yapay zeka yolculuğunuzun her aşamasında güven inşa etmenin pratik yöntemlerini paylaştığı oturumu dinleyin.
Web seminerini izleyin
Zarfın içinde "Yeni" yazan kağıdın gösterildiği mavi-beyaz bir simge.

CISO Digest'i edinin

İki ayda bir gönderilen bu e-posta serisindeki uzman içgörüleri, sektör trendleri ve güvenlik araştırmalarıyla bir adım önde olun.
Kaydolun
  1. [1]
    Kasım 2025'in son 28 gününde kullanılan Microsoft Copilot Studio veya Microsoft Aracı Oluşturucu ile oluşturulan Microsoft’un birinci taraf telemetri verilerine dayanmaktadır.
  2. [2]
    Sektör ve Bölgesel Aracı Ölçümleri, Kasım 2025'in son 28 gününde kullanılan Microsoft Copilot Studio veya Microsoft Aracı Oluşturucu ile oluşturulan Microsoft’un birinci taraf telemetri verileriyle hazırlanmıştır.
  3. [3]
    Temmuz 2025’te Microsoft tarafından Hypothesis Group’a yaptırılan ve 1.700’den fazla veri güvenliği uzmanının katıldığı çok uluslu anket
  4. [4]

    Microsoft Veri Güvenliği Endeksi 2026: Veri Koruma ve Yapay Zeka Yeniliğini Birleştirmek, Microsoft Security, 2026

     

    Metodoloji:

     

    Sektör ve Bölgesel Aracı Ölçümleri, Kasım 2025'in son 28 gününde kullanılan Microsoft Copilot Studio veya Microsoft Aracı Oluşturucu ile oluşturulan Microsoft’un birinci taraf telemetri verileriyle hazırlanmıştır.

     

    2026 Veri Güvenliği Endeksi:

     

    16 Temmuz - 11 Ağustos 2025 tarihleri arasında, 1.725 veri güvenliği lideriyle 25 dakikalık çok uluslu çevrimiçi anket gerçekleştirildi.

     

    Sorular, veri güvenliği ortamı, veri güvenliği olayları, çalışanların GenAI kullanımının güvence altına alınması ve 2024 ile karşılaştırmalı olarak veri güvenliği programlarında GenAI kullanımına odaklandı.

     

    ABD ve İngiltere’den 10 veri güvenliği lideriyle bir saatlik derinlemesine görüşmeler yapılarak, kurumlarındaki veri güvenliği yaklaşımları hakkında detaylı bilgiler toplandı.

     

    Tanımlar:

     

    Aktif Aracılar; 1) üretimde kullanılan ve 2) son 28 gün içinde gerçek bir etkinlik ile ilişkilendirilmiş aracılardır.

     

    “Gerçek etkinlik”; 1+ kullanıcı etkileşimi (yardımcı aracılar) VEYA 1+ otonom çalışma (otonom aracılar) olarak tanımlanır.

Microsoft Güvenlik'i takip edin