Microsoft, AI ajanlarının kurumsal sistemlerde giderek daha otonom hale gelmesiyle birlikte ortaya çıkan kimlik ve yetkilendirme zorluklarına yönelik kapsamlı bir rehber yayınladı. 'Least privilege for AI agents: Identity, access, and tool binding' başlıklı makalede, ajanların planlama, zincirleme işlemler ve araç çağırma yeteneklerinin, geleneksel hizmet hesaplarından farklı riskler barındırdığı vurgulanıyor.

Makaleye göre, birçok kuruluş çok adımlı otomasyon ve araç kullanımı gibi ajan yeteneklerini, kimlik ve yetkilendirme modellerini buna uygun şekilde geliştirmeden devreye alıyor. Bu durum, yetkisiz veri erişimi, istenmeyen yazma/silme işlemleri ve ayrıcalık yükseltme gibi risklere yol açabiliyor. Ayrıca, denetlenebilirlik eksiklikleri siber saldırı tespiti ve olay müdahalesini zorlaştırıyor.

Gerçek dünya senaryoları

Makalede iki yaygın senaryo öne çıkıyor. İlkinde, ekipler bir ajana hızlıca geniş bir 'Okuyucu' rolü veriyor, ardından iş akışı genişleyince yazma izni de ekleniyor ve rol tasarımı yeniden düşünülmüyor. İkinci senaryoda ise ajanın e-posta, dosyalar, bilet sistemi ve kod deposu gibi birden çok araca erişimi, tek tek düşük riskli görünse de kombinasyon halinde yetkisiz veri korelasyonu ve eylemlere izin verebiliyor.

Temel sorun, ajanın kendi kimliğiyle mi, devralınmış bir kullanıcı kapsamıyla mı yoksa her ikisinin karışımıyla mı hareket ettiğinin net olmaması. Bu belirsizlik, bir olay anında kimin sorumlu olduğunu ve hangi yetkilendirmelerin geçerli olduğunu belirlemeyi zorlaştırıyor.

En iyi uygulamalar: Kimlik + RBAC + Kapsam + Güvenli Araç Bağlama

Microsoft, ajan güvenliği için dört temel alanı kapsayan bir dizi öneri sunuyor:

  1. Birinci sınıf asıl olarak ajan: Her ajana benzersiz, yönetilen bir kimlik verilmeli; amacı ve sahibi belgelenmeli; yaşam döngüsü yönetimi (kimlik bilgisi döndürme, askıya alma, hızlı kapatma) baştan kurulmalı.

  2. Görev tabanlı RBAC: Roller, ekipler veya organizasyon şemaları yerine en küçük anlamlı iş birimlerine göre modellenmeli (örneğin 'Salt okunur bilgi erişimi', 'Etiketli belgeleri özetle'). Okuma ve yazma işlemleri ayrılmalı, yüksek etkili eylemler (silme, dışa aktarma, ayrıcalık değişikliği) adım onayına bağlanmalı.

  3. Çok katmanlı kapsam belirleme: İzinler kaynak sınırı (kiracı/abonelik/çalışma alanı), veri sınırı (koleksiyon, etiket, hassasiyet) ve işlem sınırı (okuma/yazma/dışa aktarma/yönetici) ile kısıtlanmalı.

  4. Güvenli araç bağlama: Ajana yalnızca onaylı araçlar ve eylemler sunulmalı; yüksek etkili işlemler için açık izin listeleri kullanılmalı. Tam zamanında (JIT) ayrıcalık yükseltme ile temel rol asgari düzeyde tutulmalı, iş akışı tamamlandığında otomatik olarak düşürülmeli.

Ayrıca, her adımda yetkilendirmenin aşağı akış sistemlerinde yeniden kontrol edilmesi, uçtan uca denetim günlüklerinin ajan kimliği, rol, kapsam, kaynak, eylem ve 'adına hareket edilen' kullanıcı gibi alanları içermesi öneriliyor. İptal ve kurtarma yollarının düzenli olarak test edilmesi de vurgulanıyor.

Neden önemli

AI ajanları, e-posta, dosya, bilet ve bulut kaynakları arasında hızla yardımcıdan otonom aktörlere dönüşüyor. Microsoft'un rehberi, kuruluşların bu dönüşümde karşılaştığı en kritik sorunu —ajanların kimlik ve yetkilendirme modellerindeki boşlukları— ele alıyor. Özellikle geniş rollerin pilot projelerde kullanılıp sonra daraltılmaması, paylaşılan sırlar ve yalnızca istem güvenliğine dayanma gibi yaygın hatalar, ciddi güvenlik açıklarına yol açabiliyor. Rehber, bu hatalardan kaçınmak için somut adımlar sunarken, önümüzdeki 30-90 gün içinde ajan kimliklerinin envanterinin çıkarılması, geniş rollerin kaldırılması ve görev tabanlı RBAC ile güvenli araç bağlamanın devreye alınması gerektiğini belirtiyor. Bu önlemler, özellikle çapraz kiracı/misafir ajanlar ve B2C ajan ekosistemleri için kritik önem taşıyor.