← Tüm terimler
Yapay Zeka Ajan Kimliği

Yapay zeka ajan kimliği nedir?

Yapay zeka ajan kimliği; otonom yapay zeka ajanlarına anonim kod ya da ödünç kullanıcı hesapları yerine kendi yönetilen kimliklerini, kimlik bilgilerini ve izinlerini verme pratiğidir.

Son güncelleme: 14 Temmuz 2026

Yapay zeka ajanlarının neden kimliğe ihtiyacı var

Yapay zeka ajanları, kimlik açısından önemli bir noktada önceki otomasyonlardan ayrılır: Bir sonraki eylemlerine kendileri karar verir. Betikli bir iş her gece aynı API'yi aynı parametrelerle çağırır; bir ajan ise bir hedef üzerinde akıl yürütür ve veritabanı okumayı, bir ödeme API'sini çağırmayı ya da e-posta göndermeyi seçebilir — kimsenin açıkça programlamadığı diziler.

Böyle bir ajan bir insanın kimlik bilgileriyle veya paylaşılan bir servis hesabıyla çalıştığında üç şey bozulur. İzlenebilirlik kaybolur: Kayıtlarda ajan değil insan işlem yapmış görünür. En az ayrıcalık kaybolur: Ajan, ihtiyaç duyduğu dar dilim yerine insanın yapabildiği her şeyi devralır. İptal ise tehlikeli hale gelir: Hatalı davranan bir ajanı kesmek, kişiyi veya hesabı paylaşan tüm iş yüklerini kesmek demektir.

Her ajana kendi kimliğini vermek temelleri geri getirir: Ayrı kimlik bilgileri, kapsamlı izinler, bireysel denetim izleri ve ajanın yaptıklarından sorumlu bir sahip. Bu anlamda ajan kimliği; servis hesapları ve iş yükü kimliklerinin yanında, insan dışı kimliğin en yeni dalıdır — ancak özerkliği, riskleri büyütür.

Ajan kimliklerini yönetmek neleri içerir

Bir ajan kimliğini yönetmek, özerkliğe uyarlanmış biçimde her kimlikle aynı yaşam döngüsünü izler. Önce kayıt gelir: Her ajan, üretim sistemlerine dokunmadan önce bir sahip, bir amaç ve izin verilen eylemlerin tanımlı bir kapsamıyla kaydedilir. Kimlik bilgileri, yapılandırmaya gömülü uzun ömürlü API anahtarları yerine standart akışlarla alınan kısa ömürlü tokenlar olmalıdır.

Yetkilendirme, insan kullanıcılardan daha dar olmalıdır; çünkü ajanlar manipüle edilebilir: Prompt enjeksiyonu, bir ajanı yazarının hiç amaçlamadığı eylemleri denemeye yönlendirebilir. Bu yüzden zararı önleyecek olan, ajanın muhakemesi değil izin sınırı olmalıdır. Hassas eylemler insan onayı gerektirebilir ve vekâlet kayıt altına alınmalıdır: Bir ajan bir kullanıcı adına hareket ettiğinde denetim izinde her iki kimlik de yer almalıdır.

Son olarak ajanların yaşam döngüsü disiplinine ihtiyacı vardır: Erişimlerinin diğer tüm kimlikler gibi gözden geçirilmesi ve ajan ya da kullanım senaryosu emekliye ayrıldığında erişimin derhal kaldırılması — aksi halde ajanlar, sahipsiz hesapların yeni nesli olur.

Pratikte yapay zeka ajan kimliği

Çoğu kuruluş bu eğrinin başındadır ve pragmatik ilk adımlar, servis hesabı yönetişiminin ilk günlerini andırır. Halihazırda çalışan ajanların envanterini çıkarın — birçoğu SaaS ürünlerine gömülü gelir veya tekil ekiplerce geliştirilmiştir — ve şu anda hangi kimlik bilgilerini kullandıklarını belirleyin. Bir ajanın bir insan hesabını paylaştığı her yerde bunları ayırın.

Ardından temelleri bilinçli uygulayın: Ajan başına bir sahip, ajan başına kapsamlı kimlik bilgileri, her şeye son kullanma tarihi ve ajan eylemlerini insan eylemlerinden ayıran kayıt. Bu alandaki standartlar hâlâ şekillenmektedir; vekâlet için token değişimi gibi OAuth tabanlı kalıplar pratik temel olarak öne çıkmaktadır.

Kimlik platformları bu topluluğu yerel olarak desteklemeye başlıyor; ajan kimliklerini kaydetme ve erişimlerini insan ve makine kimlikleriyle birlikte yönetme yeteneği ekleniyor.

Sık sorulan sorular

Yapay zeka ajan kimliğinin servis hesabından farkı nedir?
Servis hesabı, programlanmış eylemleri yerine getiren öngörülebilir bir iş yükünü destekler. Yapay zeka ajanı ise eylemlerini özerk seçer, farklı kullanıcılar adına hareket edebilir ve girdileri üzerinden manipüle edilebilir. Bu özerklik; geleneksel bir servis hesabından daha sıkı izin sınırları, kayıtlı vekâlet ve daha yakın izleme gerektirir.
Bir yapay zeka ajanı sahibinin kimlik bilgilerini kullanmalı mı?
Hayır. Paylaşılan kimlik bilgileri izlenebilirliği yok eder ve ajana insanın sahip olduğu tüm izinleri verir. Ajan, dar kapsamlı erişime sahip kendi kimliğini taşımalıdır; bir kullanıcı adına hareket ettiğinde OAuth token değişimi gibi vekâlet kalıpları her iki kimliği de denetim izinde görünür tutar.
Yapay zeka ajanlarında en büyük kimlik riski nedir?
Aşırı yetkilendirilmiş ajanların manipüle edilebilir davranışla birleşmesi. Prompt enjeksiyonuyla yönlendirilebilen geniş erişimli bir ajan, izinlerini fiilen saldırgana teslim eder. Dar kapsamlar, kısa ömürlü kimlik bilgileri ve hassas eylemler için insan onayı; ele geçirilmiş veya şaşırtılmış bir ajanın yapabileceklerini sınırlar.