Haber Detayı
Şirketlerin yeni kabusu: "Gölge Yapay Zeka"
Popüler açık kaynaklı yapay zeka platformu OpenClaw üzerinden yayılan zararlı eklentiler, kurumsal sistemlerde "Gölge Yapay Zeka" riskini tetikliyor. Uzmanlar, kontrolsüz yapay zeka kullanımına karşı şirketleri 4 kritik önlem konusunda uyarıyor.
Yapay zeka araçlarının iş süreçlerine hızlı entegrasyonu, beraberinde ciddi siber güvenlik açıklarını da getiriyor.
Son dönemde yüksek kullanıcı sayısına ulaşan açık kaynaklı platform OpenClaw, resmi eklenti deposu olan ClawHub üzerinden yayılan zararlı yazılımlar nedeniyle mercek altına alındı.
Siber saldırganların, çalışanların işlerini kolaylaştırmak için indirdiği bu araçlara sızarak kurumsal ağlara tam erişim sağladığı belirtiliyor.Konuyla ilgili değerlendirmelerde bulunan Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, "Gölge Yapay Zeka" (Shadow AI) olarak tanımlanan bu durumun, BT departmanlarının bilgisi dışında gerçekleşen kurulumlarla risk oluşturduğunu ifade etti.
OpenClaw gibi platformlarda kullanıcıların farkında olmadan eklentilere geniş yetkiler vermesi, saldırganların güvenlik duvarlarını içeriden aşmasına zemin hazırlıyor.Akkoyunlu, kurumsal verilerin korunması için şirketlerin yapay zeka politikalarını yeniden gözden geçirmesi gerektiğini vurgulayarak şu 4 temel önlemi sıralıyor:1.
Yapay zeka envanteri ve görünürlükŞirket ağında hangi yapay zeka araçlarının ve eklentilerinin aktif olduğunun tespit edilmesi savunmanın ilk aşamasını oluşturuyor.
BT ekiplerinin ağ trafiğini izleyerek yetkisiz kurulumları belirlemesi kritik önem taşıyor.2. "Sıfır Güven" prensibiyle erişim yönetimiYapay zeka ajanlarına verilen terminal ve dosya erişim yetkilerinin minimum seviyede tutulması gerekiyor.
Kritik sistemlerden izole edilen araçlar, olası bir siber ihlalde saldırganın hareket alanını kısıtlıyor.3.
Personel farkındalık eğitimleriTeknik önlemlerin yanı sıra, çalışanların resmi depolardan gelse dahi kaynağı belirsiz eklentileri yüklememesi ve hassas şirket verilerini bu araçlarla paylaşmaması konusunda eğitilmesi gerekiyor.4.
Davranışsal analiz ve tehdit algılamaGeleneksel güvenlik yazılımlarının meşru görünen bir AI aracına gizlenmiş zararlıları tespit etmekte zorlanabileceği belirtiliyor.
Bu noktada, Bitdefender GravityZone gibi davranışsal analiz yapabilen uç nokta tespit ve yanıt (EDR) teknolojilerinin, şüpheli komutları saniyeler içinde durdurabildiği ifade ediliyor.
