Yapay zeka (YZ) ajanlarının otonom hareket etme yetenekleri hızla artarken, bu ajanların kurumsal verilere erişimini yöneten sistemlerin güvenliği kritik bir sorun haline geldi. Bu güvenlik boşluğunu doldurmak üzere kurulan Runlayer, Khosla Ventures'tan Keith Rabois ve Felicis liderliğinde gerçekleştirilen tohum yatırım turunda 11 milyon dolar fon sağlayarak sessizliğini bozdu.
Runlayer'ın kurucusu, daha önce bebek monitörü üreticisi Nanit ve YZ video konferans aracı Vowel'ı (2024'te Zapier'a satıldı) kuran üçüncü kez girişimci Andrew Berman. Şirket, ürünü piyasaya sürdüğünden bu yana yalnızca dört ay gibi kısa bir sürede Gusto, dbt Labs, Instacart ve Opendoor gibi sekiz tanesi unicorn veya halka açık şirket olmak üzere onlarca önemli müşteriyi bünyesine kattı.
Model Bağlam Protokolü (MCP) Nedir ve Neden Güvenlik Sorunu Yaratıyor?
Runlayer'ın odak noktası, Yapay Zeka Ajanlarının verilerle ve iş sistemleriyle bağımsız olarak etkileşim kurmasını sağlayan endüstri standardı haline gelen Model Bağlam Protokolü (MCP). Anthropic tarafından Kasım 2024'te açık kaynak olarak başlatılan MCP, ajanların insan gözetimi olmadan verileri değiştirmesine, hareket ettirmesine ve iş süreçlerini yürütmesine olanak tanır. Protokol, OpenAI, Microsoft, AWS ve Google dahil tüm büyük model üreticileri ile Atlassian, Asana, Stripe ve Block gibi binlerce kurumsal şirket tarafından desteklenmektedir.
Runlayer CEO'su Berman, konuya ilişkin yaptığı açıklamada, "Herkes yapay zekadan bahsediyor, ancak yapay zeka, erişebildiği araçlar ve kaynaklar kadar kullanışlıdır" diyerek, bu araçlara güvenli erişimin önemini vurguluyor.
Hızlı Benimsemenin Getirdiği Siber Riskler
MCP'nin hızla benimsenmesi büyük bir teknolojik ilerleme olsa da, protokolün kendisi kutudan çıktığı haliyle yeterli güvenlik önlemleri içermemektedir. Bu durum, birçok MCP uygulamasında çeşitli güvenlik açıklarının ortaya çıkmasına neden oldu. Siber güvenlik uzmanları, bu yeni otonom araçlar çağıyla birlikte gelen risklere dikkat çekiyor. Teknolojinin ne kadar gelişmiş olursa olsun, en zayıf halkanın insan faktörü olduğunu gösteren olaylar da sıkça yaşanmaktadır. Örneğin, çalışanlarının sosyal mühendislik tuzağına düşmesi sonucu milyonlarca kullanıcının fiziksel adres ve telefon bilgilerini sızdıran DoorDash veri ihlali ve sosyal mühendislik saldırıları gibi örnekler, temel kurumsal güvenliğin ne kadar kritik olduğunu bir kez daha kanıtlamıştır. Bu güvenlik ve şeffaflık zorunluluğu, geniş teknoloji ekosistemine de yayılıyor; zira Apple, kullanıcı verilerinin üçüncü taraf yapay zeka sistemleriyle paylaşılması konusunda yeni ve katı kurallar getirerek sektördeki veri gizliliği standartlarını yükseltmektedir.
Bu tür siber riskler ve güvenlik açıkları, yasal düzenlemelerin aciliyetini artırırken, ABD'de yapay zeka regülasyonlarına karşı büyük bir savaş yaşanıyor. Sektörün önde gelen yatırımcıları, özellikle Andreessen Horowitz (a16z), yapay zekaya katı kurallar getirmeyi amaçlayan yasa tasarılarını engellemek için 100 milyon doların üzerinde fon taahhüt eden 'Leading the Future' adlı bir Super PAC (Siyasi Eylem Komitesi) aracılığıyla aktif lobi faaliyetleri yürütüyor. Bu Super PAC'ın hedef aldığı, New York'un kritik zararları önlemek ve firmalara 30 milyon dolara kadar ceza kesmek gibi önemli yükümlülükler getiren RAISE Yasası gibi düzenlemeler, teknoloji endüstrisi ile düzenleyiciler arasındaki gerilimi gözler önüne seriyor. Bu konudaki detaylı gelişmeleri ve Super PAC'ın faaliyetlerini AI düzenlemesi savaşı ve a16z Super PAC'ın New York RAISE Yasası'na karşı hamleleri başlıklı içeriğimizden inceleyebilirsiniz.
GitHub Vakası: Geçtiğimiz Mayıs ayında Invariant Labs araştırmacıları, MCP sunucularındaki bir 'prompt injection' güvenlik açığı sayesinde, normalde erişilememesi gereken özel GitHub depolarından veri çekilebildiğini ortaya çıkardı.
Asana Vakası: Asana da Haziran ayında, müşteri verilerini potansiyel olarak ifşa edebilecek kendi MCP sunucusundaki bir güvenlik açığını tespit edip hızla düzeltti.
Bu olaylar, Cloudflare, Docker ve Wiz gibi büyük isimlerin yanı sıra, çok sayıda girişimin de MCP güvenliğine odaklanmasına yol açtı. Pazardaki yaygın çözüm 'ağ geçidi' (gateway) ürünleri olsa da, Runlayer bu kalabalık pazarda farklı bir strateji izliyor.
Runlayer'ın Kapsamlı Güvenlik Çözümü
Runlayer, yalnızca bir güvenlik ağ geçidi olmanın ötesine geçerek, tehdit algılama, tam gözlemlenebilirlik (observability) ve kurumsal geliştirme araçlarını tek bir platformda birleştirmeyi hedefliyor. Şirketin en önemli fark yaratan özelliklerinden biri, yetkilendirme mekanizmasıdır.
Runlayer, Okta veya Entra gibi mevcut kimlik sağlayıcılarla entegre çalışarak, YZ ajanlarının uygulama izinlerini tıpkı insan kullanıcıların izinlerine paralel şekilde eşleştiriyor. Böylece bir ajanın bir finansal sisteme sadece 'salt okunur' erişimi varsa, o ajanın veriyi değiştirmesi engelleniyor. Bu detaylı izin yönetimi, kurumsal riskleri minimize etmeyi amaçlıyor.
Runlayer'ı Öne Çıkaran Unsurlar
- Kapsamlı Çözüm: Ağ Geçidi, Tehdit Tespiti ve Gözlemlenebilirliği bir arada sunar.
- Tecrübe: Kurucu Berman, Zapier'da YZ direktörüyken ilk MCP sunucularından birini inşa etti.
- Kritik Destek: MCP'nin yaratıcısı David Soria Parra, melek yatırımcı ve danışman olarak ekibe katıldı.
- Hızlı Büyüme: Dört ayda sekiz unicorn dahil olmak üzere önemli müşteriler edindi.
Berman, Vowel'ı Zapier'a sattıktan sonra şirketin YZ direktörü olarak görev yapmış ve bu süreçte OpenAI ve Anthropic ile yakın çalışarak ilk MCP sunucularından birini geliştirmiş olması nedeniyle protokolün güvenlik risklerini bizzat deneyimlediğini belirtiyor. Berman, protokolün çok hızlı benimsenmesi nedeniyle gözlemlenebilirlik ve denetim gibi alanlarda oluşan 'kör noktaların' kurumsal risk yarattığını ifade ediyor. Bu tecrübe, Runlayer'ın pazardaki rakiplerinden ayrılmasına yardımcı olan en güçlü faktör olarak görülüyor.
Kaynak: Yapay zeka ajanlarının güvenlik riskleri ve Runlayer'ın detaylı finansman bilgileri için TechCrunch'ın orijinal haberini inceleyebilirsiniz.
