NIST: Üretken Yapay Zeka Profili (AI 600-1) ve Yapay Zeka Risk Yönetimi Çerçevesi (AI RMF) [HE]

Mevcut diller: EN, TR

Bu sayfa orijinal İngilizce makalenin çevirisidir. Lütfen navigasyonun yalnızca İngilizce olarak mevcut olduğunu unutmayın.

Ulusal Standartlar ve Teknoloji Enstitüsü’nün (NIST) çerçevelerine katkı sunduk: “Yapay Zeka Risk Yönetimi Çerçevesi: Üretken Yapay Zeka Profili” (NIST AI 600-1).

NIST AI 600-1, NIST Yapay Zeka Risk Yönetimi Çerçevesi’nin (AI RMF) tamamlayıcı bir kaynağı olup özellikle üretken yapay zekaya (GAI) odaklanmaktadır. Belge, kuruluşların siber güvenlik açıkları, yanlış bilgi ve etik kaygılar gibi GAI’ye özgü riskleri belirlemesine, yönetmesine ve azaltmasına yardımcı olmayı amaçlamaktadır. 12 temel riski ortaya koyarak geliştiricilerin bu riskleri ele almak için uygulayabileceği 200’den fazla eylemi AI RMF’ye eşleyişli biçimde sunmaktadır.

İlgili

• ABD Erişim Kurulu: Yapay Zeka ve Erişilebilirlik Hakkında Yürütme Emri

• PCAST: Üretken Yapay Zeka Çalışma Grubu (Güncellenmiş)

• OECD: G7 Hiroşima Yapay Zeka Süreci Raporlama Çerçevesi (HAIP)

• WHO: Büyük Çok Modlu Modeller Hakkında Kılavuz

• WEF: Üretken Yapay Zekanın Erişilebilirlik Potansiyeli

NIST Yapay Zeka Risk Yönetimi Çerçevesi (AI RMF 1.0)

26 Ocak 2023’te yayınlanan NIST Yapay Zeka Risk Yönetimi Çerçevesi (AI RMF 1.0), yapay zeka sistemlerinin tasarımı, geliştirilmesi, kullanımı ve değerlendirilmesinde güvenilirlik boyutlarının gözetilmesine yönelik gönüllü bir kılavuz sunmaktadır. 18 aylık bir süreçte özel sektör, akademi, sivil toplum ve hükümetten 240’tan fazla kuruluşun katılımıyla uzlaşı odaklı bir yaklaşımla geliştirilen çerçeve, bireyler, kuruluşlar ve toplum için yapay zeka kaynaklı riskleri yönetmeye yönelik sistematik yaklaşımlar ortaya koymaktadır.

Çerçeve, yapay zeka yaşam döngüsü yönetiminin farklı aşamalarını ele alan dört temel işlev üzerinden yürümektedir. YÖNETİM (GOVERN) işlevi, tüm kurumsal yapay zeka risk yönetimi süreçlerine uygulanarak yapay zeka yönetişimi için politikalar, prosedürler ve kurumsal yapılar oluşturmaktadır. HARİTALAMA (MAP), ÖLÇME (MEASURE) ve YÖNETME (MANAGE) işlevleri ise sisteme özgü bağlamları ve yaşam döngüsü aşamalarını hedefleyerek risk belirleme, değerlendirme ve azaltma stratejileri için operasyonel kılavuzluk sağlamaktadır.

Temel Çerçeve Yapısı:

• GOVERN: Yapay zeka risk yönetimi için kurumsal politikalar ve prosedürler

• MAP: Yapay zeka sistemleri için risk belirleme ve bağlam oluşturma

• MEASURE: Performans değerlendirme ve güvenilirlik değerlendirme metodolojileri

• MANAGE: Risk önceliklendirme ve azaltma uygulama stratejileri

Çerçeve, düzenleyici zorunluluklar yerine yumuşak güç yaklaşımlarını esas alarak kurumsal ölçek, kullanım senaryoları ve risk profillerine uyum sağlamayı mümkün kılan esneklik mekanizmaları içermektedir. NIST, 2028 yılına kadar resmi bir gözden geçirme planlayarak yinelemeli geliştirme süreçleri ve topluluk geri bildirimleriyle beslenen altı aylık güncellemeler yoluyla Sürüm 2.0’ı yayınlayabilir.

Üretken Yapay Zeka Profili (NIST AI 600-1)

26 Temmuz 2024’te yayınlanan NIST AI 600-1, Başkan Biden’ın 14110 sayılı Yürütme Emri’ne uygun olarak üretken yapay zeka sistemlerini özelinde ele alan, sektörler arası bir tamamlayıcı kaynak niteliği taşımaktadır. Kılavuz, geliştiricilerin ve diğer yapay zeka aktörlerinin bu riskleri yönetmek için alabileceği 12 risk ve 200’den fazla önerilen eylemi ön plana alarak tüm sektörlerde üretken yapay zeka teknolojilerini yöneten kuruluşlara özelleşmiş rehberlik sunmaktadır.

12 risk arasında siber güvenlik saldırılarına giriş engelinin düşmesi, yanlış bilgi ve dezenformasyon üretimi ya da nefret söylemi ve diğer zararlı içerikler ile “konfabülasyon” olarak adlandırılan olguda üretken yapay zekanın yanlış veya yanıltıcı çıktılar üretmesi yer almaktadır. Profil, siber güvenlik açıklarından içerik özgünlüğü sorunlarına kadar teknik, operasyonel ve toplumsal kaygıları ele almakta; eylemler doğrudan AI RMF çerçeve yapısına eşlenmektedir.

Temel Üretken Yapay Zeka Risk Kategorileri:

• Siber güvenlik saldırı engelleri ve açıkları

• Yanlış veya yanıltıcı içerik üreten konfabülasyon (halüsinasyonlar)

• Tehlikeli, şiddet içeren veya nefret dolu içerik üretimi ve bu içeriklere maruz kalma

• Yetkisiz ifaşa veya anonimliğin kaldırılması yoluyla veri gizliliğine etkiler

• Temsil edici olmayan eğitim verilerinden kaynaklanan zararlı önyargı ve homojenleşme

• Sistem güvenilirliğini etkileyen insan–yapay zeka yapılandırma zorlukları

• Fikri mülkiyet ihlalleri ve yetkisiz içerik çoğaltma

• Karar alma süreçlerini etkileyen bilgi bütünlüğü ihlalleri

• Müstehcen, aşağılayıcı veya taciz edici içerik üretme riskleri

• Hesaplama kaynaklarının tüketiminden kaynaklanan çevresel sürdürülebilirlik etkileri

• Geliştirme ve dağıtım aşamalarında değer zinciri entegrasyonu güvenlik açıkları

• Model koruması ve veri işlemede bilgi güvenliği boşlukları

Profil, risk değerlendirme metodolojilerini, sürekli test gereksinimlerini ve geliştirme ile dağıtım süreçleri boyunca çok paydaşlı geri bildirim entegrasyonunu ön plana çıkarmaktadır. Her bir riski tanımladıktan sonra belge, AI RMF ile eşlenmiş ve yapay zeka aktörlerinin riski azaltmak için alabileceği önerilen eylemlerin bir matrisini sunmaktadır.

İlgili NIST Güvenlik Çerçeveleri

NIST SP 800-53 Güvenlik Kontrollerinin Entegrasyonu

NIST SP 800-53 Revizyon 5, federal bilgi sistemleri için kapsamlı güvenlik ve gizlilik kontrolleri sunarak önlemleri düşük, orta ve yüksek etki düzeylerinde 20 kontrol ailesine ayırmaktadır. Çerçeve; yapay zeka sistem güvenliği uygulamalarında geçerli olan erişim denetimi, denetim ve hesap verebilirlik, yapılandırma yönetimi, olay müdahalesi ve sistem iletişim koruma gereksinimlerini ele almaktadır.

Yapay zeka sistemi uygulamaları, makine öğrenimi sistemlerinin kendine özgü özelliklerini ele alan yerleşik siber güvenlik kontrolleriyle entegrasyon gerektirmektedir. Kontrol aileleri; personel güvenliği, fiziksel ve çevresel koruma, planlama stratejileri, program yönetimi, risk değerlendirmesi ve güvenlik değerlendirmesi yetkilendirme süreçlerini kapsamaktadır. Yapay zeka sistemi kullanan kuruluşlar, algoritmik risk yönetimini geleneksel bilgi güvenliği kontrol yapılarıyla uyumlu hale getirmelidir.

Güvenli Yazılım Geliştirme Çerçevesi Uzantıları

NIST Özel Yayını 800-218A, özellikle yapay zeka model geliştirme için Güvenli Yazılım Geliştirme Çerçevesi’ni (SSDF) genişleterek kötü amaçlı eğitim verilerinin etkileri ve sistem kodu ile veri arasındaki muğlak sınırlar gibi kendine özgü zorluklara yanıt vermektedir. Tamamlayıcı bu kaynak, güvenli üretken yapay zeka ve çift kullanımlı temel model geliştirme uygulamalarına yönelik 14110 sayılı Yürütme Emri gerekliliklerini desteklemektedir.

Çerçeve; kurumsal, model düzeyinde ve yazılım programlama güvenlik önlemleri önererek geliştirme yaşam döngüleri boyunca eğitim verisi bütünlüğünü ve model güvenliğini ele alan sağlam açık değerlendirme ve yanıt sistemleri oluşturmaktadır.

Uygulama Metrikleri ve Standart Entegrasyonu

Üretken yapay zeka profili, 12 risk kategorisinde 211 özel eylem sunarak kurumsal gereksinimler ve risk toleransına göre özelleştirilmiş uygulama imkânı sağlamaktadır. AI RMF Oyun Kitabı (Playbook), topluluk geri bildirimleri aracılığıyla yılda yaklaşık iki kez güncellenen ve altı aylık dönemlerde incelenip entegre edilen yorumlarla çeşitli operasyonel bağlamlarda çerçeveye uyum sağlanmasını destekleyen uygulanabilir rehberlik sunmaktadır.

Son gelişmeler arasında ABD Yapay Zeka Güvenliği Enstitüsü Konsorsiyumu’nun gönüllü raporlama yaklaşımları üzerine yürüttüğü çalışmalar ve kuruluşların NIST Yapay Zeka Risk Yönetimi Çerçevesi Üretken Yapay Zeka Profili için Gönüllü Raporlama Şablonu (VRT) aracılığıyla risk yönetimi verilerini nasıl paylaşabileceğine dair önemli bulgular yer almaktadır. Konsorsiyum; üretken yapay zeka risk yönetimi, sentetik içerik, değerlendirmeler, kırmızı takım ve model güvenliği dahil olmak üzere beş temel alanda çalışan 290’dan fazla üye şirket ve kuruluştan oluşmaktadır.

NIST, federal yapay zeka standartları koordinasyonu aracılığıyla ISO/IEC 5338, ISO/IEC 38507, ISO/IEC 22989, ISO/IEC 24028, ISO/IEC 42001 ve ISO/IEC 42005 dahil uluslararası standartlarla uyumu güvence altına almaktadır. Gelecekteki geliştirme öncelikleri; insan–yapay zeka yapılandırması, açıklanabilirlik metodolojileri ve çerçeve etkinliği ölçüm yaklaşımlarını hedefleyerek vaka çalışması geliştirme ve sektöre özgü uygulama kaynaklarını kapsamaktadır.

NIST yapay zeka çerçeve ekosistemi, kurumsal bağlamlar genelinde sistematik risk yönetimi altyapısı oluşturarak inovasyonu destekleyen uygulama esnekliğini korurken ölçeklenebilir teknoloji yönetişim yaklaşımları sunmaktadır.

• • •

Kaynaklar

¹ Ulusal Standartlar ve Teknoloji Enstitüsü. “Yapay Zeka Risk Yönetimi Çerçevesi (AI RMF 1.0).” NIST AI 100-1. 26 Ocak 2023.

² Ulusal Standartlar ve Teknoloji Enstitüsü. “Yapay Zeka Risk Yönetimi Çerçevesi: Üretken Yapay Zeka Profili (AI 600-1).” NIST AI 600-1. 26 Temmuz 2024.

³ Ulusal Standartlar ve Teknoloji Enstitüsü. “Bilgi Sistemleri ve Kuruluşlar için Güvenlik ve Gizlilik Kontrolleri.” NIST Özel Yayını 800-53, Revizyon 5. Eylül 2020.

⁴ Ulusal Standartlar ve Teknoloji Enstitüsü. “Güvenli Yazılım Geliştirme Çerçevesi (SSDF) Sürüm 1.1: Yazılım Açıklarının Riskini Azaltmaya Yönelik Öneriler.” NIST Özel Yayını 800-218A. Şubat 2024.

⁵ Ulusal Standartlar ve Teknoloji Enstitüsü. “AI RMF Oyun Kitabı.” 2024.

⁶ ABD Yapay Zeka Güvenliği Enstitüsü Konsorsiyumu. “NIST Yapay Zeka Risk Yönetimi Çerçevesi Üretken Yapay Zeka Profili için Gönüllü Raporlama Şablonu.” 2025.

⁷ Uluslararası Standartlaştirma Örgütü. “ISO/IEC 42001: Bilgi teknolojisi — Yapay zeka — Yönetim sistemi.” 2023.

⁸ Uluslararası Standartlaştirma Örgütü. “ISO/IEC 22989: Bilgi teknolojisi — Yapay zeka — Kavramlar ve terminoloji.” 2022.

⁹ Uluslararası Standartlaştirma Örgütü. “ISO/IEC 24028: Bilgi teknolojisi — Yapay zeka — Yapay zekada güvenilirliğe genel bakış.” 2021.