Uluslararası meslek örgütü Bilgi Sistemleri Denetim ve Kontrol Derneği (ISACA)  "2026'da Yapay Zeka Tuzaklarından Kaçınmak: 2025'in En Önemli Olaylarından Alınan Dersler" başlıklı bir makale yayımladı.

Araştırmaya göre 2025'te yapay zeka günlük faaliyetlerin bir parçası oldu ve birçok alanda sorunlar yarattı: İşe alım sistemleri, adayların başvurularını sızdırdı. Sohbet robotları, müşterileri yanlış yönlendirdi. Yüz tanıma aracı yanlış kişinin tutuklanmasına yol açtı. Deepfake görüntüler, hatalı yatırım tavsiyeleri verdi...

Makalede "2026'da rekabet avantajı, daha fazla yapay zeka kullanmaktan değil, onu iyi yönetmekten gelecek. Görünürlüğü, net sahipliği ve hızlı müdahaleyi sürdüren kuruluşlar, zararı azaltacak ve güven kazanacaktır. Doğru denetimle, yapay zeka, güvenlik, güven veya bütünlükten ödün vermeden değer yaratabilir." görüşü paylaşıldı.

Makalede yapay zeka olayları ve 2025'ten çıkarılacak derslere dikkat çekildi:

Gizlilik ve Güvenlik: McDonald's'ın yapay zeka destekli işe alım platformu McHire'a, çok faktörlü kimlik doğrulama (MFA) olmadan, “123456/123456” şifresini kullanan, test/yönetici hesabı üzerinden erişilebildiği keşfedildi. 64 milyon iş başvurusu sızdırıldı. (Ders: Özellikle kişisel veriler söz konusu olduğu durumlarda MFA, benzersiz yönetici hesapları, ayrıcalıklı erişim incelemeleri ve güvenlik testleri kullanılmalı.)

Ayrımcılık ve Zehirlilik: Yüz tanıma sistemleri yüzünden hatalı tutuklamalar devam etti. Bilgisayar eşleşmesi kesin kanıt kabul edildi ve masum insanlar gözaltına alındı. (Ders: Yüz tanıma soruşturmaları destekleyebilir ancak asla belirleyici kanıt olmamalıdır. Bağımsız doğrulayıcı kanıtlar talep edilmeli.)

Yanlış Bilgilendirme: Deepfake videoları, Kanada Başbakanı Mark Carney'nin ticaret platformlarını tanıttığını gösterdi. Yapay zeka tarafından oluşturulan ses ve video, haberleri taklit etti ve izleyiciler, özellikle yaşlılar, reklamlara güvenerek birikimlerini kaybetti. (Ders: Kamu figürlerinin deepfake ile taklit edilmesi çok yaygınlaştı. Kuruluşlar, markalarının ve liderlerinin kötüye kullanılmasını izlemelidir.)

Kötü Niyetli Aktörler (Yapay zeka teknolojisine sahip saldırganlar): Yapay zeka güvenliği ve etiği şirketi Anthropic, tehdit aktörlerinin Claude Code modelini kullanarak 30 kuruluşa yönelik; saldırılar için keşif, komut dosyası oluşturma ve araç zincirleme işlemlerini otomatikleştirdiği bir siber casusluk faaliyetini ortaya çıkardı. (Ders: Saldırganların bir yapay zeka yardımcı pilotuna sahip olduğu varsayılmalı. Kod çalıştırabilen herhangi bir yapay zeka, zararsız bir sohbet robotu gibi değil, güçlü bir mühendis hesabı gibi yönetilmelidir.)

İnsan-bilgisayar etkileşimi: En dikkat trajik örnekler, gençlerin duygusal destek için sohbet robotlarına yönelmesiyle ilgili. Aileler, ChatGPT'nin, kullanıcıları yardıma yönlendirmek yerine intihar düşüncesini onayladığı iddiasıyla davalar açtı. (Ders: Kendine zarar verme veya kriz durumlarıyla karşılaşabilecek herhangi bir yapay zeka ürünü, tasarım gereği güvenliğe ihtiyaç duyar: Klinik girdi, yaşa uygun kontroller, güçlü sınırlar ve insan yardımına giden yollar. Bu güvenlik önlemlerini destekleyemiyorsa, herhangi bir ürün, 'gençlere yönelik duygusal destek aracı' olarak pazarlanmamalıdır.)

Sosyoekonomik zararlar (Yapay zekanın kirli ayak izi): NAACP dahil olmak üzere sivil haklar grupları, Elon Musk'ın xAI şirketini, ağırlıklı olarak Siyahi ve Latin kökenli insanların yaşadığı bir mahallede inşa edilen büyük bir yapay zeka veri merkezi kompleksinden kaynaklanan iddia edilen kirlilik ve çevresel zararlar nedeniyle dava etti. (Ders: Kuruluşlar, yapay zeka sağlayıcılarını çevresel sorumlulukları olan yüksek etkili satıcılar olarak ele almalıdır. Yapay zeka tedariki iklim ve sürdürülebilirlik hedefleriyle uyumlu olmalıdır.)

Sistem güvenliği ve güvenilirliği: Yapay zeka araçları, icat edilmiş yasal referanslar, otorite gibi görünen tıbbi rehberlik ve üretim sorunlarına neden olan programlama kodu gibi kendinden emin ancak yanlış tavsiyeler sunmaya devam etti. Bunlar istisna değildi; sadece üretken modellerin garantili gerçek yerine akla yatkın cevaplar üreterek nasıl çalıştığını gösterdiler. (Ders: Halüsinasyonlar tuhaflık değildir, güvenlik riskidir. Her yüksek etkili yapay zeka sistemi,  yanlış sonuçlar verebileceği varsayımıyla tasarlanmalı. Bu varsayım etrafında, kayıt tutma, sürüm kontrolü, doğrulama kontrolleri ve net bir şekilde sorunları tespit edip sorumlu bir insanın hataları düzeltebilmesi için gerekli adımların atılabileceği bir yönetim yapısı oluşturulmalı.)

Makalede 2026'da yapay zekanın zararlarını azaltmak için gerekli stratejik değişimler ele alındı.

2025'in en büyük yapay zeka başarısızlıkları teknik değil organizasyonel olarak değerlendirildi: Zayıf kontroller, belirsiz sahiplik ve yanlış yerleştirilmiş güven. 2026 için tehdit ise 'yapay zeka kullanımı genişledikçe, bu sistemlerin nasıl planlanlandığı, yönetildiği ve dağıtımı konusunda güçlendirme yapma' olarak öne çıktı:

Deneylerle değil, sonuçlarla başlayın: İhtiyaç duyduğunuz iş sonucunu tanımlayın, bir sorumlu atayın ve başarıyı bu hedefe göre ölçün, böylece yapay zeka çalışmaları gerçek değere bağlı olsun.

Yapay zekayı bağlantılı bir sistem olarak çalıştırın: Her modelin, özelliğin ve otomasyonun envanterini tutun ve bunları standartlar ve onaylarla yönetin.

Yapılandırmayı değil, yeteneği yönetin: Her sistemin ne yapabileceğini, nerede hareket edebileceğini ve kimlerin etkilenebileceğini gözden geçirin ve etkiye göre kontroller belirleyin.

Organizasyonel dayanıklılığı geliştirin: Sorunları erken tespit edin, ne olduğunu iletin ve küçük hataların büyümemesi için sorunları hızla çözün. Yakın tehlikeleri kaydedin, dersleri paylaşın ve tekrarlanan başarısızlıkları önlemek için süreçleri veya güvenlik önlemlerini güncelleyin.

Yapay zekaya güvenmek yerine onu sorgulayın: Önemli çıktıları her zaman ikinci bir kaynakla kontrol edin, büyük kararlar için kanıt isteyin ve zarar oluşabileceği durumlarda insanları işin içine dahil edin.

Yapay zeka sorumluluğunu paylaşın: Yapay zekânın nasıl kullanıldığı ve yönetildiği konusunda iş, teknoloji, risk ve iletişim ekiplerinin belirli rolleri olduğundan emin olun, tek bir ekibe bırakmayın.

Tedarikçileri yapay zeka ekosisteminizin bir parçası olarak ele alın: Her yapay zeka satın alımında üçüncü taraf risk incelemelerini dahil edin ve modellerin nerede çalıştığını, hangi verilerin saklandığını, olayların nasıl ele alındığını ve kimin sorumlu olduğunu sorun.