Yapay zekâ ajanlarınız artık birer kimlik — ve çoğu yönetilmiyor

Bir insan oturum açar. Yapay zekâ ajanı açmaz — bir kimlik bilgisi taşır ve iş görür. Devreye aldığınız her yardımcı pilot, iş akışı ajanı, RAG işçisi ve otomasyon, ağınızda yeni bir kimliktir: kimse oturum açmadan veri okuyabilen, araç çağırabilen ve para harcayabilen bir kimlik. 2026 ortasına damga vuran güvenlik hikâyesi şu: bu insan olmayan kimlikler, kimsenin sayabildiğinden çok daha hızlı çoğalıyor.

Kimsenin saymadığı kimlik

İnsan olmayan kimlikler — servis hesapları, botlar, jetonlar ve artık yapay zekâ ajanları — insan kimliklerini kat kat aştı. Tahminler geniş bir aralıkta değişiyor; kimi ortamlarda kabaca on’a bir, kimilerinde seksen’e bir kadar yüksek — ama her ciddi kaynak yönün aynı olduğunda hemfikir. KPMG, 2026 siber güvenlik görünümünde insan olmayan kimliği güvenlik liderleri için en öncelikli başlıklardan biri ilan etti ve denetimsiz büyümesini “saatli bomba” diye niteledi. Cloud Security Alliance ise boşluğu sayılara döktü: Ocak 2026’da yayımlanan bir ankette, kuruluşların dörtte birinden azının yapay zekâ kimliklerini oluşturmak ya da silmek için belgelenmiş ve benimsenmiş bir politikası vardı; altıda birinden fazlası yeni yapay zekâ kimliklerinin ne zaman oluşturulduğunu hiç takip etmiyordu; ve yalnızca %12’si, insan olmayan bir kimlik üzerinden gelen bir saldırıyı durdurabileceğinden yüksek ölçüde emindi.

Mevcut IAM’iniz onları neden göremiyor

Kimlik ve erişim yönetimi (IAM) insanlar için kuruldu: bir insan, bir oturum açma, bir oturum ve son gününde onu sistemden çıkaran bir yönetici. Yapay zekâ ajanları bu varsayımların hepsini bozuyor. Çoğu zaman merkezî bir dizinin dışında, kodun içinde oluşturuluyorlar; etkileşimli oturumlar yerine uzun ömürlü API anahtarlarıyla kimlik doğruluyorlar; ve bir proje bittiğinde onları kapıya kadar geçiren olmuyor — anahtar çalışmaya devam ediyor. Sonuç, ölçekli aşırı yetkilendirme. OWASP’ın 2026 ajan-yapay-zekâ güvenliği değerlendirmesinde katılımcıların yaklaşık dörtte üçü ajanlarının düzenli olarak ihtiyaçlarından fazla erişime sahip olduğunu, %79’u ise ajanların izlenmesi zor yeni erişim yolları açtığını söyledi; yalnızca üçte biri kadarı bu dijital iş gücüne, insan çalışanlarına uyguladıkları denetimlerin aynısını uyguladıklarını belirtti. Bu sırada kimlik bilgilerinin kendisi sızıyor: yapılandırma dosyalarına, ortam değişkenlerine ve not defterlerine kopyalanan paylaşımlı “tanrı anahtarları”, parolayı yapışkan nota yazmanın ajan çağındaki karşılığı.

İnsan olmayan bir kimlik ağ geçidinde yönetilir

İşin yapısal noktası şu. Bu ajanların her biri bir modeli çağırmak zorunda; ve modeli bir ağ geçidi üzerinden çağırıyorsa, kimliğinin gerçekten yönetilebileceği tek yer o ağ geçididir. Qevron tam da budur. Bir ajanı tek bir OpenAI-uyumlu uç noktaya yöneltin; ona tüm dünyaya açılan paylaşımlı bir anahtar vermek yerine kendi anahtarını verin — işinin gerektirdiği modellere ve rotalara daraltılmış, bir bütçe ve hız sınırıyla tavanlanmış, her istekte günlüğe yazıldığı için her ajanın gerçekte ne yaptığını görebildiğiniz ve ele geçirildiği ya da emekliye ayrıldığı an iptal edilebilen bir anahtar. Ajan hiçbir zaman açık bir kapı almıyor; ağ geçidinin her çağrıda denetlediği, adı belli bir kimlik bilgisi alıyor. IAM’in insanlara uyguladığı disiplin — en az ayrıcalık, izlenebilirlik, hızlı iptal — bir ağ geçidinin insan olmayan kimliklere uygulayabileceği şeyin ta kendisi; çünkü ağ geçidi hepsinin paylaştığı tek yolun üzerinde durur.

Bir ağ geçidinden geçirildiğinde, bir ajan filosu için temel kimlik hijyeni bir temenni olmaktan çıkıp varsayılan hâline gelir:

• Ajan başına ayrı bir kimlik — sonradan kimsenin ilişkilendiremeyeceği tek bir paylaşımlı anahtar değil
• En az ayrıcalık — her ajan, rolünün gerçekten ihtiyaç duyduğu modellere, rotalara ve araçlara daraltılır
• Her kimlikte bir bütçe ve hız sınırı; böylece kontrolden çıkan bir döngü faturaya değil bir tavana çarpar
• Tam izlenebilirlik — her model ve araç çağrısı, onu yapan ajana kadar izlenir
• Bir ajan ele geçirildiği, değiştirildiği ya da emekliye ayrıldığı an, tek bir yerden anında iptal

Bir ağ geçidi işin tamamı değildir ve bunu öyleymiş gibi sunmayacağız. Yalnızca içinden geçen trafiği yönetir; bir veritabanına ya da bir SaaS aracına başka bir yoldan ulaşan ajanın kendi denetimleri yine gerekir ve gösterişsiz iş — anahtarları döndürmek, eskimişleri emekliye ayırmak, her kimliğin sahipliğini üstlenmek — hiçbir vekil sunucunun sizin yerinize yapmadığı iştir. Ağ geçidinin size verdiği şey, her ajanın model tarafının adlandırılabildiği, kapsamının daraltılabildiği, izlenebildiği ve kapatılabildiği tek kısılma noktasıdır.

Barındırılan bir aracın veremediği yarısı: çevrenizden hiç çıkmayan kimlikler

Bu sorunu çözmek için bu ay çıkan araçların çoğunda bir tuzak var: denetim katmanının kendisi genellikle başka birinin bulutunda çalışıyor. O zaman her ajanın kimliğini, her kimlik bilgisini ve her eylemi gören tek bileşen sizin denetiminizin dışında kalır — ve yabancı sahipli bir sağlayıcı altında yabancı bir yargı yetkisine girebilir. Arpanet tam tersi kurulu. Modeller ve ağ geçidi bize ait olduğu için tüm yığın yerinde (on-prem) ya da izole bir kurulumda, kendi SSO’nuzun arkasında, denetim izi sizin denetlediğiniz bir çevrenin içinde çalışır. KVKK kapsamındaki bir veri sorumlusu için bu bir incelik değil: Kanun’un 12. maddesi kişisel veriyi güvenli kılma yükümlülüğünü doğrudan size yükler — göremediğiniz erişimi ise güvenli kılamazsınız. Kısılma noktasını kendi tarafınızda tutmak, kanıtlayabildiğiniz bir denetim ile güvenmek zorunda olduğunuz bir vaat arasındaki farktır.

Bir ajan, ancak taşıdığı kimlik bilgisi kadar yönetilebilir — ve o kimlik bilgisini vermenin, izlemenin ve iptal etmenin en güvenli yeri, sahibi olduğunuz altyapıdır.

Yapay zekâ ajanları ağınızdaki en hızlı büyüyen nüfus ve hepsi oturum açmakla değil, kimlik bilgisiyle iş görüyor. 2026 boyunca denetimi elinde tutan ekipler, her ajanı verilen, kapsamı daraltılan ve iptal edilen bir kimlik gibi ele alanlar olacak — hem de kendi işlettikleri bir kısılma noktasında. Qevron zaten o dikişin üzerinde duruyor, ilk satırdan itibaren KVKK için tasarlandı. Fiyatlandırma kurulumunuza ve ölçeğinize bağlıdır; bizimle iletişime geçin, birlikte kapsamını çıkaralım.