Kurumsal AI agents webi dolduruyor. Kullanıcılar ve kurumlar adına web'de gezinip API sorguluyor, formları dolduruyor ve çok adımlı görevler yürütüyorlar.
Sorun şu ki, çoğu web altyapısı onları kötü amaçlı botlardan ayırt edemiyor, according to Forbes.
Bu ayrım her çeyrekte daha da önemli hâle geliyor. Tüm insan dışı trafiği engelleyen işletmeler, meşru YZ odaklı iş akışlarını kesme riski taşıyor. Her şeye izin verenler ise veri kazıma, kimlik bilgisi doldurma saldırıları ve dolandırıcılıkla karşı karşıya kalıyor.
Sorunun Ölçeği
Bot trafiği yıllardır web'in baş belası. CAPTCHAlar, hız sınırlama ve IP itibar listeleri gibi geleneksel savunmalar, belirli bir tehdit modeline göre tasarlandı. Bu model, kötü niyetli kişilerin zararlı görevleri otomatikleştirmek için komut dosyaları çalıştırdığını varsayıyordu.
YZ ajanları bu varsayımı bozuyor. İyi tasarlanmış bir YZ ajanı, dikkatli bir insan kullanıcıya çok benzer davranır. Sayfalar arasında sırayla gezinir, istekler arasında bekler ve istemlere dinamik şekilde yanıt verir. Standart bot tespit araçları bunu düşük riskli olarak puanlar.
Aynı zamanda, kötü niyetli bir aktör, meşru ajan davranışını taklit eden hafif bir model eğitebilir. Güvenilir bir kurumsal YZ ajanı ile iyi gizlenmiş bir veri kazıyıcı arasındaki fark, son 18 ayda önemli ölçüde daraldı.
İşletmeler Şu Anda Ne Yapıyor?
Birkaç yaklaşım, kurumsal güvenlik ekipleri arasında ivme kazanıyor.
Ajan kimlik jetonları bunlardan biri. Bir YZ ajanı, bir hizmete erişmeden önce kriptografik olarak imzalanmış bir kimlik bilgisiyle kendini doğrular. Hizmet, bu kimlik bilgisini bilinen, onaylı ajanlar siciline karşı kontrol eder. Bu, OAuth'un insan kullanıcılar için uygulama yetkilendirmesini yönetme biçimine benzer.
Davranışsal parmak izi çıkarma başka bir katmandır. Bir ajan geçerli kimlik bilgileri sunsa bile, güvenlik sistemleri oturum kalıplarını; istek zamanlamasını, gezinme derinliğini ve API çağrı dizilerini izler. Beklenen kalıplardan sapmalar ek doğrulama adımlarını tetikler.
Niyet beyanına göre izin listesi oluşturma daha deneysel bir yaklaşım. Bu modelde, ajanlar bir oturumun başında görev niyetlerini beyan eder. Ana sistem, yalnızca beyan edilen görev için gereken kaynaklara erişim verir. Bu kapsam dışındaki her erişim otomatik olarak işaretlenir.
Henüz tek bir yaklaşım standart hâline gelmiş değil. Çoğu kurumsal dağıtım bu yöntemlerin ikisini ya da üçünü birleştiriyor.
Kripto Bağlantısı
YZ ajanlarının yükselişi, doğrudan kripto ve Web3 ekosistemiyle kesişiyor. Blokzincir ağlarında çalışan otonom ajanlar giderek yaygınlaşıyor. İşlem gerçekleştiriyor, cüzdan yönetiyor, yönetişim sistemlerinde oy kullanıyor ve decentralized exchanges ile etkileşime giriyorlar.
Bu bağlamda bot–ajan ayrımı finansal bir boyut kazanıyor. Meşru bir alım satım botunu taklit eden kötü amaçlı bir ajan, herhangi bir insan oturum günlüğünü incelemeden önce bir cüzdanı boşaltabilir veya bir likidite havuzunu manipüle edebilir.
Birkaç blokzincir projesi, özellikle YZ ajanları için zincir üstü kimlik çerçeveleri geliştiriyor. Fikir, her ajana doğrulanabilir bir merkeziyetsiz tanımlayıcı atayarak, protokoller arasında attığı her adımın denetlenebilir bir kaydını oluşturmak. Solana (SOL) tabanlı ajan çerçeveleri, kısmen Solana'nın işlem kapasitesi yüksek frekanslı ajan işlemlerini düşük maliyetle desteklediği için bu alanda en aktif olanlar arasında.
Arka Plan
YZ ajan pazarında 2024 sonundan bu yana keskin bir büyüme var. İlk dağıtımlar çoğunlukla e-posta sınıflandırma ya da takvim planlama gibi tek görevleri otomatikleştiren dar amaçlı araçlardı. 2026 başlarına gelindiğinde, web'de gezinebilen, kod yazabilen ve finansal işlemler gerçekleştirebilen çok adımlı otonom ajanlar, araştırma demolarından ticari ürünlere dönüştü. Bu değişim, büyük bulut sağlayıcılarının altyapı raporlarına göre, ajan kaynaklı web trafiği hacmini yıldan yıla tahmini olarak birkaç yüz yüzdelik oranda artırdı. Yellow.com, YZ altyapısı ile kripto piyasalarının kesişimini, Kuzey Amerika YZ veri merkezleri kurmak için anlaşma imzaladığı son çalışmasında (bkz. önceki Yellow haberleri) takip etti.
Ayrıca Oku: BTC And ETH Fall Overnight As Japan Data Adds Fresh Pressure To Geopolitical Selloff
Sırada Ne Var?
Düzenleyici baskı ortaya çıkmaya başlıyor. AB'nin YZ Yasası, web erişimi noktasında ajan açıklamasını sonunda zorunlu kılabilecek otomatik karar alma hükümlerini içeriyor. Amerika Birleşik Devletleri'nde henüz eşdeğer bir federal standart yok, ancak birkaç eyalet düzeyinde teklif yasama sürecinin erken aşamalarında.
World Wide Web Consortium gibi sektör grupları, ajan kimlik doğrulaması için teknik standartları araştırıyor. İlerleme yavaş. Tarayıcı üreticileri, kurumsal yazılım satıcıları ve güvenlik şirketleri arasında uzlaşmaya varmak zaman alıyor.
Şimdilik en fazla risk altında olan işletmeler, güçlü kimlik doğrulama katmanları olmadan yüksek değerli API'ler işletenler. Finansal hizmetler, sağlık platformları ve kripto borsaları bu kategoriye giriyor. Her birinin, ajan tanımlama sorununu teorik değil acil bir mesele olarak ele almak için gerekçesi var.
Ajan trafiği yönetilemez hâle gelmeden önce standartları devreye sokma penceresi daralıyor. Bot ekosistemlerini inceleyen güvenlik araştırmacıları, benimseme mevcut hızında devam ederse, iki ila üç yıl içinde CDN dışı web isteklerinin çoğunluğunu ajan kaynaklı trafiğin oluşturabileceğini tahmin ediyor.
Sıradaki Haber: America Runs A Bitcoin Node: What The Government's Move Means For The Network