AI Ajanları İçin Ne Kadar İzolasyon Yeterli?
Asana MCP güvenlik açığı sonrası Sedai mühendisleri, yapay zeka ajanlarında oturum izolasyonu, kimlik yönetimi ve maliyet dengesini masaya yatırıyor.
Asana'nın MCP sunucusunda kiracı izolasyonu beş hafta boyunca başarısız olunca, binlerce şirketin proje verileri birbirine karışmış oldu. Bu olay, AWS, Microsoft, Google ve Anthropic gibi büyük oyuncuların ajan çalışma zamanlarını yeniden tasarlayıp isteği değil oturumu izole edilen, zamanlanan ve faturalandırılan temel birim haline getirmesinin arkasındaki motivasyonu özetliyor. Ancak izolasyonun ne kadar güçlü olması gerektiği konusunda ortak bir görüş yok, çünkü daha güçlü izolasyon hız ve maliyetten ödün vermek anlamına geliyor.
Sedai'nin mühendislik liderleri konuya farklı açılardan yaklaşıyor. Benjamin Thomas'a göre tek bir izolasyon seviyesi seçmek yanlış soru; izolasyon gücü, oturumda çalışan kodun güven seviyesine göre dinamik olarak belirlenmeli ve gerçek kazanım, her oturumu sürekli değerlendiren bir yönlendirme katmanından gelmeli. Ayrıca paylaşılan veya uzun ömürlü oturumlarda asıl mesele sandbox'tan kaçış değil, oturumun kimliğinin doğru bağlanması; Asana vakasında tam olarak bu kimlik bağlama kırılmış.
Aby Jacob, sandbox'ın bir güvenlik sınırı olduğunu ama bir dayanıklılık sınırı olmadığını vurguluyor: bir microVM çöktüğünde içindeki her şey kaybolur, bu yüzden durumun sandbox dışında saklanması, ortamın koddan yeniden üretilebilir olması ve her araç çağrısının idempotent tasarlanması gerekiyor. Shankar Jothi ise izolasyon maliyetinin çoğunlukla soğuk başlangıç anında ortaya çıktığını, oturum ısındıktan sonra bu maliyetin eridiğini belirtiyor; asıl değişken izolasyonun kendisi değil, oturumların ne sıklıkla yeniden kurulduğu. Alan hâlâ olgunlaşma aşamasında; maliyet, taşınabilirlik ve gözlemlenebilirlik konularında mühendislik çalışmaları sürüyor.