EresusSecurity
Araştırmalara Dön
AI Governance

Shadow AI Nedir ve Şirketlerde Nasıl Yönetilir?

Nadir Çağan YılmazJunior Sızma Testi Uzmanı
26 Nisan 2026
7 dk okuma
GuideAI Security

Temel Değerlendirme

Shadow AI, çalışanların kurum tarafından onaylanmamış AI araçlarını iş verisiyle kullanmasıdır. Risk yalnızca ChatGPT kullanımı değildir; toplantı özetleyiciler, kod asistanları, tarayıcı eklentileri, SaaS içi AI özellikleri ve kişisel otomasyonlar da bu sınıfa girer. Doğru yönetim kör yasak değil; araç envanteri, veri sınıflandırması, güvenli alternatif, teknik kontrol ve periyodik audit kombinasyonudur.

Shadow AI Neden Yayılır?

  • Çalışanlar daha hızlı yazmak, özetlemek, kod çözmek veya müşteri cevabı hazırlamak ister.
  • Sorun iyi niyetli kullanımın kurumsal veri sınırını görünmez şekilde aşmasıdır.
  • Kişisel AI aracına giren müşteri listesi, sözleşme veya kaynak kod artık kurumun doğrudan kontrolünde değildir.
  • Prompt geçmişi, sağlayıcı logları, browser extension belleği ve üçüncü taraf entegrasyonları ayrı risk alanlarıdır.
  • KVKK/GDPR açısından veri işleyen, saklama süresi ve aktarım ülkesi soruları doğar.
  • Kod asistanlarına verilen stack trace veya config çıktısı Git’e düşmeden secret sızıntısı yaratabilir.
  • Yapay zeka çıktısı ikna edici olduğu için insan review olmadan iş kararına dönüşebilir.
  • Tüm AI araçlarını yasaklamak riski bitirmez, yalnızca görünmez hale getirebilir.
  • Ücretli plan kullanmak tek başına kurumsal güvenlik kanıtı değildir.
  • DLP tek başına prompt, browser extension ve SaaS içi AI kullanımını tamamen görmeyebilir.

En Kritik Riskler

  • Çalışanlar daha hızlı yazmak, özetlemek, kod çözmek veya müşteri cevabı hazırlamak ister.
  • Sorun iyi niyetli kullanımın kurumsal veri sınırını görünmez şekilde aşmasıdır.
  • Kişisel AI aracına giren müşteri listesi, sözleşme veya kaynak kod artık kurumun doğrudan kontrolünde değildir.
  • Prompt geçmişi, sağlayıcı logları, browser extension belleği ve üçüncü taraf entegrasyonları ayrı risk alanlarıdır.
  • KVKK/GDPR açısından veri işleyen, saklama süresi ve aktarım ülkesi soruları doğar.
  • Kod asistanlarına verilen stack trace veya config çıktısı Git’e düşmeden secret sızıntısı yaratabilir.
  • Yapay zeka çıktısı ikna edici olduğu için insan review olmadan iş kararına dönüşebilir.
  • Tüm AI araçlarını yasaklamak riski bitirmez, yalnızca görünmez hale getirebilir.
  • Ücretli plan kullanmak tek başına kurumsal güvenlik kanıtı değildir.
  • DLP tek başına prompt, browser extension ve SaaS içi AI kullanımını tamamen görmeyebilir.

Yanlış Bilinenler

  • Çalışanlar daha hızlı yazmak, özetlemek, kod çözmek veya müşteri cevabı hazırlamak ister.
  • Sorun iyi niyetli kullanımın kurumsal veri sınırını görünmez şekilde aşmasıdır.
  • Kişisel AI aracına giren müşteri listesi, sözleşme veya kaynak kod artık kurumun doğrudan kontrolünde değildir.
  • Prompt geçmişi, sağlayıcı logları, browser extension belleği ve üçüncü taraf entegrasyonları ayrı risk alanlarıdır.
  • KVKK/GDPR açısından veri işleyen, saklama süresi ve aktarım ülkesi soruları doğar.
  • Kod asistanlarına verilen stack trace veya config çıktısı Git’e düşmeden secret sızıntısı yaratabilir.
  • Yapay zeka çıktısı ikna edici olduğu için insan review olmadan iş kararına dönüşebilir.
  • Tüm AI araçlarını yasaklamak riski bitirmez, yalnızca görünmez hale getirebilir.
  • Ücretli plan kullanmak tek başına kurumsal güvenlik kanıtı değildir.
  • DLP tek başına prompt, browser extension ve SaaS içi AI kullanımını tamamen görmeyebilir.

Karar Tablosu

| Alan | Ne Anlama Gelir? | Ne Yapılmalı? | | --- | --- | --- | | Görünür risk | Saldırganın ilk temas noktası | Envanter ve doğrulama yapılmalı | | Gizli risk | Varsayımlarda kalan zayıflık | Manuel analizle kanıt üretilmeli | | İş etkisi | Teknik bulgunun gerçek sonucu | Öncelik ve retest kriteri yazılmalı |

Shadow AI Yönetim Checklist’i

  • Kurum içinde kullanılan AI araçları envantere alındı mı?
  • Onaylı ve yasaklı araç listesi güncel mi?
  • Hangi veri sınıflarının AI araçlarına verilemeyeceği yazılı mı?
  • Kod asistanları için repository ve telemetry ayarları kontrol edildi mi?
  • Çalışanlara yasakçı olmayan pratik kullanım rehberi verildi mi?
  • Riskli veri hareketleri loglanıyor mu?
  • Kritik kararlar için insan onayı zorunlu mu?
  • AI kullanım politikası teknik kontrolle destekleniyor mu?

Pratik Örnek

Bir kurum Shadow AI konusunu yalnızca araç çıktısı olarak ele aldığında kritik bağı kaçırabilir. Gerçek risk, teknik zayıflığın hangi veriye, kullanıcıya, sisteme veya iş kararına dokunduğunda ortaya çıkar.

Bu nedenle iyi çalışma, sadece bulgu bulmakla kalmaz; bulgunun nasıl istismar edilebileceğini, hangi iş sonucuna yol açacağını ve hangi düzeltmeyle kapanacağını da gösterir.

Uygulama Planı

  • Çalışanlar daha hızlı yazmak, özetlemek, kod çözmek veya müşteri cevabı hazırlamak ister.
  • Sorun iyi niyetli kullanımın kurumsal veri sınırını görünmez şekilde aşmasıdır.
  • Kişisel AI aracına giren müşteri listesi, sözleşme veya kaynak kod artık kurumun doğrudan kontrolünde değildir.
  • Prompt geçmişi, sağlayıcı logları, browser extension belleği ve üçüncü taraf entegrasyonları ayrı risk alanlarıdır.
  • KVKK/GDPR açısından veri işleyen, saklama süresi ve aktarım ülkesi soruları doğar.
  • Kod asistanlarına verilen stack trace veya config çıktısı Git’e düşmeden secret sızıntısı yaratabilir.
  • Yapay zeka çıktısı ikna edici olduğu için insan review olmadan iş kararına dönüşebilir.
  • Tüm AI araçlarını yasaklamak riski bitirmez, yalnızca görünmez hale getirebilir.
  • Ücretli plan kullanmak tek başına kurumsal güvenlik kanıtı değildir.
  • DLP tek başına prompt, browser extension ve SaaS içi AI kullanımını tamamen görmeyebilir.

Ne Zaman Profesyonel Destek Gerekir?

Sistem müşteri verisine, üretim ortamına, regülasyon kapsamına, finansal akışa veya kritik operasyonlara dokunuyorsa profesyonel destek gerekir. Kurum içinde güvenlik, ürün, hukuk ve mühendislik ekipleri aynı risk için farklı cevaplar veriyorsa bağımsız assessment süreci karar almayı hızlandırır.

Eresus Yaklaşımı

Eresus Security bulguları yalnızca başlık olarak raporlamaz. Her bulgu için tekrar üretilebilir kanıt, iş etkisi, önerilen düzeltme, sorumlu ekip ve retest koşulu yazılır.

Eresus Security, Shadow AI riskini yasak listesiyle değil; veri sınıflandırması, tool envanteri, teknik kontrol, AI governance audit ve çalışan iş akışı gerçekliğiyle ele alır. Kurumunuzda hangi AI kullanımının kabul edilebilir, hangisinin riskli olduğunu birlikte kanıta bağlayabiliriz.

Sık Sorulan Sorular

Bu konuda ilk adım nedir?

Önce kapsam ve varlıklar netleştirilmelidir. Hangi sistemlerin, hangi verilerin, hangi rollerin ve hangi iş akışlarının etkilendiği bilinmeden doğru test planı kurulamaz.

Otomatik araçlarla yapılabilir mi?

Araçlar başlangıç için yararlıdır, ancak yetki sınırı, iş mantığı, güvenlik varsayımı ve operasyonel etki manuel analiz gerektirir.

Rapor nasıl aksiyona dönüşür?

Her bulgu için sahip, öncelik, önerilen düzeltme ve retest kriteri yazılır. Böylece rapor okunup arşivlenen bir belge değil, uygulanabilir güvenlik backlog’u olur.

Eresus bu konuda nasıl destek olur?

Eresus Security kapsam çıkarma, teknik test, kanıt üretimi, remediation danışmanlığı ve retest aşamalarını tek çalışma akışında destekler.

  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.
  • Shadow AI değerlendirmesinde karar, araç çıktısından çok kanıt, iş etkisi ve uygulanabilir düzeltme planıyla verilmelidir.

İlgili Araştırmalar

AI Security

AI ile Geliştirilen Uygulama Güvenli mi?

Cursor, Claude, ChatGPT veya AI app builder ile geliştirilen uygulamaları production öncesi güvenli hale getirmek için pratik kontrol listesi.

AI Security

KVKK ve GDPR Kapsamında RAG Modelleri: Yapay Zekada Veri Mahremiyeti Çıkmazı

Şirket içi RAG (Retrieval-Augmented Generation) mimarilerinde KVKK ve GDPR uyumluluğu nasıl sağlanır? LLM tabanlı sistemlerde 'Unutulma Hakkı' ve veri...

AI Governance

AI Governance Audit Metrikleri

Leakage rate, groundedness, policy hit rate ve audit trail metrikleriyle AI governance kontrollerini kanıtla ölçün.