Shadow AI: kurum içinde gerçekten ne oluyor

Geleneksel SaaS yönetim araçları AI sorununu çözemez çünkü yanlış yere bakıyorlar. Çoğu CASB / SSPM aracı üç kaynaktan veri çeker:

• Finans entegrasyonları — yalnızca sözleşmesi olan AI görünür (örn. ChatGPT Enterprise, Copilot for M365). Kurumsal kartla alınan kişisel/takım abonelikleri bu raporda yok.
• SSO logları — yalnızca SSO entegre edilmiş AI uygulamaları görünür. ChatGPT'ye Google hesabıyla giren bir geliştirici SSO loglarına hiç yansımaz.
• Ağ proxy/DLP — alan adı seviyesinde görünüm verir; ama hangi kullanıcı, hangi cihaz, hangi sözleşme tipi — belirsiz. Üstelik proxy/DLP içeriğe bakar; biz içeriğe değil, aksiyona bakıyoruz.

Üçü de aynı kör noktayı paylaşır: uç-noktada gerçekten ne olduğunu görmezler. Ne IDE eklentisi (Cursor, Copilot), ne CLI aracı (ollama, Claude Code), ne de tarayıcıda açılan kişisel hesap oturumu.

Kurumdaki AI kullanımı üç-dört ayrı katmanda gerçekleşir. Her birinin farklı bir keşif yöntemi var:

1. Tarayıcı tabanlı AI (en görünür olanı)

ChatGPT.com, claude.ai, gemini.google.com, perplexity.ai, copilot.microsoft.com. Tarayıcı eklentisi tarafından her ziyaret görülebilir; kullanıcının hangi hesabıyla girdiği (kurumsal SSO mu, kişisel mi) ve sayfa hedef-skoru (kişisel veri/yabancı/SSO yok) yakalanabilir. İçerik değil aksiyon izlenir.

2. IDE eklentisi AI'lar

GitHub Copilot, Cursor, Continue, Codeium. Bu kategori klasik SaaS yönetiminin radarına hiç düşmez — çünkü bunlar SaaS değil, IDE eklentileridir. Yakalamak için uç-nokta üzerinde yüklü eklenti envanterini taramak gerekir.

3. CLI / yerel AI araçları

ollama, llama.cpp, lm-studio, Claude Code, Cursor agent mode. Geliştiriciler artık yerel modeller çalıştırıyor — kontrolsüz veri akışı buradan başlar. Yine uç-nokta keşfi gerektirir.

4. Suite içine gömülü AI

M365 Copilot, Notion AI, Slack AI, Zoom AI Companion, Adobe Firefly. Bunlar mevcut kurumsal abonelik içinde opsiyonel olarak açılır; bir yönetici tek tıkla aktif eder, BT'nin haberi olmaz. Lisans listesinde görünmez çünkü yeni bir satın alma değil.

Shadow AI envanteri çıkarıldıktan sonra ikinci tuzak şudur: tek aksiyon "engelle" varsayılır. Pratikte bu işe yaramaz, çünkü çalışanlar yine bir yolunu bulurlar. CenseCloud AI yönetişimi sayfasında→ dört kademe kontrol sunar:

• Onaylı (Sanctioned) — BT/güvenlik onaylı, kurumsal hesapla kullanılan AI. Risk skoru baskılanır, kullanım izlenir.
• İzlenen (Monitored) — yasaklanmamış ama izlenen kullanım. Kullanıcı görünür kalır, alarm yok ama davranış telemetrisi akar.
• Koşullu (Conditional) — koşullu erişim (örn. yalnız kurumsal hesapla, yalnız belirli rollerden). Tarayıcı eklentisi koşulu ihlal eden oturumda uyarı verir.
• Engelli (Blocked) — son çare. Kullanıcıya neden engellendiğini ve onaylı alternatifi gösteren yönlendirme ekranı.

Bu merdiven, "yasak / serbest" ikiliğine düşmeden gerçek bir yönetişim mümkün kılıyor.

• Kurumdaki bilinen kurumsal AI sözleşmelerinin listesini çıkarın (M365 Copilot, ChatGPT Enterprise, Gemini Business vb.). Bunları "Onaylı" listenize ekleyin.
• Uç-noktalarda IDE eklentisi envanteri taraması yapın. Kaç farklı AI eklentisi yüklü, kaçı kurumsal sözleşmeli — görün.
• Tarayıcı tarafında yapılan AI ziyaretleri için hesap tipi sinyalini toplayın (kurumsal SSO mu kişisel mi). Tek başına alan adı (domain) yetmez.
• "Engelleme" kararı vermeden önce yönlendirme/koçluk fırsatı yaratın — kullanıcı bu aracı neden kullanıyor sorusunun cevabı bazen yeni bir kurumsal abonelik olabilir.

"AI'yı yasakladık" cümlesi günümüzde anlamsız çünkü hangi AI'yı sorusunun cevabı çoğunlukla bilinmiyor. Doğru sıra şu: önce dört katmanın envanteri, sonra kademe kademe kontrol, en son kullanıcı eğitimi. Bu sırayı bozanlar, iki yıl önce SaaS keşfinde yaşadıkları kör noktayı bugün AI tarafında yaşıyor.

CenseCloud bu envanteri uç-noktadan başlayarak kurar. Shadow AI çözüm sayfası→ veya platform mimarisi→ detaylar için.