Yapay zeka artık yalnızca soru yanıtlamıyor; e-posta gönderiyor, kod yazıyor ve veritabanına kayıt ekliyor. Ancak bu sistemlere tanımlanan yetkilerin sınırları çoğu zaman net değil. Mayıs 2026'da yayımlanan kapsamlı bir güvenlik denetimi, bu belirsizliğin doğurduğu somut riskleri gözler önüne serdi.
AI Ajan Nedir ve Neden Farklı Bir Risk Taşır?
Klasik bir sohbet botundan farklı olarak AI ajanları, belirli bir hedefe ulaşmak için art arda adımlar atabilen, çeşitli araçları kullanabilen ve kararlar alabilen sistemlerdir. Örneğin, “Bu müşteriyle ilgili tüm kayıtları bul ve özet bir e-posta gönder” komutunu alan bir ajan; veritabanına bağlanabilir, dosyaları okuyabilir ve e-posta API’sini çağırabilir. Üstelik tüm bu işlemleri insan müdahalesi olmadan gerçekleştirebilir.
Bu yetenek, beraberinde kritik bir güvenlik sorusunu getirir: Bu ajana kim, ne kadar yetki verdi?
Araştırmanın Bulguları
Otuz popüler AI ajan çerçevesinin (framework) incelendiği güvenlik denetiminde dikkat çekici sonuçlar ortaya çıktı:
- %93’ü aşırı yetkili (overprivileged) API anahtarları kullanıyor. Yalnızca okuma izni yeterli olmasına rağmen ajanlara tüm sistem yetkileri tanımlanıyor.
- %97’sinde hassas işlemler öncesinde kullanıcı onayı mekanizması bulunmuyor.
- OpenClaw çerçevesinde tespit edilen CVE-2026-32922 açığı, 9.9 CVSS puanıyla kritik seviyeye çok yakın bir risk taşıyor. Bu açık, düşük yetkili bir API anahtarının yönetici ayrıcalıklarına yükselmesine ve uzaktan kod çalıştırılmasına olanak tanıyor. 135.000’den fazla sistemin bu riskten etkilendiği belirtiliyor.
Zincirleme Saldırı Nedir ve Nasıl İşler?
CrewAI üzerinde keşfedilen dört güvenlik açığı, zincirleme saldırı (attack chaining) kavramını somut biçimde ortaya koyuyor. Süreç şu şekilde ilerliyor:
- Prompt Injection (Komut Enjeksiyonu): Saldırgan, ajanın işlediği belge veya girdilere zararlı talimatlar yerleştirir.
- SSRF (Sunucu Taraflı İstek Sahteciliği): Ajan, saldırganın yönlendirmesiyle iç ağdaki sistemlere istek gönderir.
- Arbitrary File Read (Yetkisiz Dosya Okuma): İç sistemlere erişim sağlandıktan sonra yapılandırma dosyaları ve gizli bilgiler okunur.
- RCE (Uzaktan Kod Çalıştırma): Elde edilen kimlik bilgileri kullanılarak sunucuda komut çalıştırılır ve sistem tamamen ele geçirilir.
Tek bir kötü niyetli girdi, yalnızca dört adımda tam sistem kontrolüne dönüşebilir.
Türkiye’ye Yansıması
Türkiye’de Kişisel Verileri Koruma Kurumu (KVKK) kapsamındaki kişisel veriler; T.C. kimlik numaraları, sağlık kayıtları ve finansal bilgiler gibi yüksek hassasiyetli verileri içerir. Bu tür verilere erişen AI ajanlarında yetki yönetiminin doğru yapılandırılmaması, hem veri ihlallerine hem de ciddi idari yaptırımlara yol açabilir.
Kurumlara Öneriler
- En az yetki (least privilege) prensibi uygulanmalıdır. Ajanlara yalnızca görevlerini yerine getirebilmeleri için gerekli izinler verilmelidir.
- İnsan onayı (human-in-the-loop) zorunlu tutulmalıdır. Silme, ödeme ve veri gönderme gibi geri alınamaz işlemler öncesinde mutlaka kullanıcı onayı alınmalıdır.
- Göreve özel ve süre sınırlı API anahtarları kullanılmalıdır. Her ajan yalnızca kendi görev alanına uygun yetkilerle çalışmalıdır.
- Gerçek zamanlı log analizi yapılmalıdır. Olağan dışı erişim davranışları erken aşamada tespit edilmelidir.
