3. taraf risklerinin önemini gerek globalde, gerekse de ülkemizde yaşanan birçok tedarik zinciri kaynaklı
güvenlik olayından da görüyoruz. Yapay zekanın iş süreçleri içinde yoğun olarak kullanımı bu risklere
farklı bir boyut kazandırdı. İş süreçlerinizde güvendiğiniz üçüncü parti şirketlerin sayısının giderek
artmasının yanı sıra, yapay zekanın da bu süreçlere girmesi tehdit yüzeyinin de sürekli genişlemesine
sebep olmakta.
AI ile evrilen 3. Taraf kaynaklı risk ve tehditler için aşağıdaki yeni boyutlardan söz edebiliriz:
· Otomatik zafiyet keşfi ve tedarikçi odaklı saldırılar: AI destekli araçlar, 3. parti bileşenleri ve
açık kaynak bağımlılıkları üzerinde dakikalar içinde tarama yaparak yeni zafiyetler çıkarıyor;
tedarikçi kaynaklı ihlal oranları her yıl artıyor.
· Deepfake ve kimlik sahteciliği ile dolandırıcılık faaliyetleri: Ses ve video deepfake’leri, finansal
süreçleri hedefleyen sofistike sosyal mühendislik saldırılarına zemin hazırlıyor.
· Model ve veri zehirlenmesi: AI modelleri, 3. parti veri setleri ve log akışları üzerinden eğitilirken,
kötü niyetli girdilerle kararlara sızan “model poisoning” riskleri artıyor.
· Gölge AI ve regülasyon riski: Geliştiricileriniz ve tedarikçileriniz, kurumsal onaya tabi olmayan AI
servislerini (shadow AI) kullanarak KVKK / GDPR uyumsuz veri işleme riskleri yaratıyor.
· Otonom AI ajanlarının 3. parti API’leri kötüye kullanması: Sürekli çalışan ajanlar, tedarikçi
API’lerinde rate limit, kimlik doğrulama ve yetkilendirme zafiyetlerini otomatik keşfedip istismar
edebiliyor.
· Kod güvenliği riski: Kodlar artık yalnızca insanlar tarafından yazılmıyor; yardımcı pilotlar, otonom
ajanlar ve dağıtılmış ekipler beraber kod üretiyor ve bu hız, geleneksel AppSec / code review
süreçlerinin çok ötesine geçmiş durumda.