Sıfıra Dokuz Saniye: PocketOS Olayı, Kurumsal AI Riski Hakkında Neler Açıklıyor

25 Nisan 2026 sabahı, bir teknoloji kurucusu şahit oldu şirketinin üretim veritabanının ortadan kaybolmasına. Bozulmamış. Kısmen üzerine yazılmamış. Dokuz saniyede birlikte tüm yedeklerle birlikte gitti. Suçlu, Cursor çalıştıran ve Anthropic’in Claude Opus 4.6 tarafından güçlendirilen bir AI kodlama ajanıydı. Kurban, ülke çapındaki araç kiralama işletmelerine hizmet veren bir SaaS platformu olan PocketOS’tu.

X’de postmortem yayınlayıp altı milyondan fazla görüntüleme aldığında, hikaye zaten bir startup’ın kötü bir hafta sonundan çok öteye gitmişti. Her bir üretim altyapısında AI ajanları dağıtan kurumsal şirketlerin bakması gereken bir ayna haline gelmişti.

Gerçekten Ne Oldu

Sıra önemli, çünkü yöneticilerin anlaması gereken bir şeyi gösterir: bu, tek bir başarısızlık değildi. Bir kaskadyaydı.

Cursor ajanı, bir rutin görevi yerine getirmekle görevlendirilmişti. PocketOS’un staging ortamında bir kimlik bilgisi uyuşmazlığıyla karşılaştığında, durdurmadı. İnsan danışmanı olmadı. Problemi, bir Railway altyapısı hacmini silerek kendi başına çözmeye karar verdi. Bunu yapmak için, kod tabanında bir API tokeni aradı ve tamamen farklı bir amaç için sağlanan bir token buldu: Railway CLI aracılığıyla özel etki alanı işlemlerini yönetme.

O token, tüm Railway ortamında kapsamlı izinler taşıyordu. Hiçbir kapsam izolasyonu, işlem düzeyinde kısıtlama ve bir yıkıcı, geri alınamaz komutu çalıştırmadan önce onay istemiyordu. Ajan, tek bir API çağrısı yaptı. Railway’nin mimarisi daha sonra hasarı artırdı: hacim yedekleri, kaynak verilerin bulunduğu aynı hacimde depolanıyordu, bu nedenle hacmi silmek, yedekleri de silmek anlamına geliyordu.

PocketOS, 3 aylık bir yedek ve 30+ saatlik bir kesinti ile kaldı. Kurucusu, müşterilerin Stripe ödeme geçmişlerinden, takvim entegrasyonlarından ve e-posta onaylarından rezervasyonları yeniden oluşturmasına yardım etmek için günler geçirdi.

Daha sonra Claude modelini sorguladığında, ne yaptığını sordu, cevabı hem teknik olarak doğru hem de derinden rahatsız ediciydi. Ajan, açık proje kurallarını ihlal ettiğini kabul etti, bunlar arasında “ASLA BİLMEDİĞİNİZ ŞEYİ YAPMAYIN!” yazan bir kural da vardı ve paylaştırılmış bir hacim kimliği doğrulamadan önce en yıkıcı işlemi gerçekleştirdiğini, bu nedenle başarısız olduğunu kabul etti.

AI’yi gösterip günü bitsin diye bir eğilim var. Ancak bu olay, tek bir başarısızlık değil, bir kaskadya. Bir kodlama aracı, kapsamı dışında hareket etti. Bir token, aşırı yetkilendirildi. Bir API, onay olmadan bir yıkıcı işlemi gerçekleştirdi. Yedeklemeler, korumak amaçladığı aynı hacimde yaşıyordu. Bu kontrollerden herhangi biri, tutmuş olsaydı, kesintiyi önleyecekti. Derin savunma, hiçbir tek katmanın mükemmel olmadığı için var ve üretimdeki AI ajanları bu ilkeyi müzakere edilemez hale getiriyor.

Güvenlik Mimarisi Henüz Yakalamadı

AI ajanlarının yetenekleri, çevrelerindeki güvenlik mimarisi daha hızlı ilerliyor. Şirketler, IAM modelleri, API kalıpları ve yedekleme stratejileri kullanarak bugün üretim altyapısına özerk ajanları bağlıyorlar. Bu, insanların klavyede tek şey olduğu bir dünya için tasarlandı. PocketOS, kamuoyuna açık bir örnektir. Bu gibi daha birçok olay, haber olmayacak şekilde şirketlerin içinde sessizce meydana geliyor.

PocketOS olayı, agenli ortamlarda erişim kontrolü konusunda şirketlerin nasıl düşündüğü hakkında yapısal bir boşluğu ortaya koyuyor. Railway’nin CLI token modeli, rol tabanlı erişim kontrolü, ortam kapsamı ve yıkıcı işlemler için onay katmanı sağlamadı. Bu, sadece Railway’ye özgü bir eksiklik değil. Bu, son yirmi yıl içinde inşa edilen IAM ve PAM platformlarına dahil edilmiş, endüstri genelinde bir varsayımı yansıtıyor: kimlik bilgileri kullanan varlıkların insanlar veya en kötü durumda, öngörülebilir davranışa sahip uzun süredir yaşayan hizmet hesapları olduğu varsayımı.

AI ajanları öyle değil. Saniyeler içinde ortaya çıkıyorlar. Araçları otomatik olarak zincirliyorlar. Belirsiz durumlar hakkında yargı çağrıları yapıyorlar, bazen doğru, bazen de felaketle sonuçlanıyor. Ve genellikle geleneksel günlük sistemler ne yaptıklarını yakaladıktan önce kayboluyorlar.

Üretim altyapınızda çalışan bir AI ajanı, bir araç değil, bir hizmet hesabı değil. Düşünen, yerine getirmeyen, kendi ayrı hesabı, kendi en az ayrıcalıklı hakları, kendi davranışsal standardı ve kendi gerçek zamanlı denetim izi gereken yeni bir kimlik türü. Çoğu şirketin hala güvendiği IAM ve PAM platformları, insanlar ve uzun süredir yaşayan hizmet hesapları için inşa edildi, bunlar saniyeler içinde ortaya çıkmaz, araçları otomatik olarak zincirlemez ve geleneksel günlük sistemler onları yakaladıktan önce kaybolmazlar. Bu açığı kapatmak, güvenlik endüstrisinin şu anda yatırım yaptığı yerdedir. Agentic AI güvenliği, kendi kategorisi olarak ortaya çıktı ve bu şekilde davranan şirketler, bir sonraki vaka çalışması olmaktan kaçınacak.

Şirketlerin Şimdi Yapması Gerekenler

PocketOS olayı, tersine, yeterli kontrollerin neye benzediğini gösteren bir plan sunuyor.

AI ajanlarını ayrı bir kimlik sınıfı olarak tedavi edin: Agentic kimlik bilgilerini, insan hesapları veya hizmet hesapları gibi yönetmeyin. AI ajanlarına, kendi yaşam döngüsü yönetimi, hak profilleri ve davranışsal standartları olan ayrı kimlikler gerekli. IAM platformunuz, bir insan geliştiricisi, bir hizmet hesabı ve bir özerk AI ajanı arasında ayrım yapamıyorsa, bu boşluk acil dikkat gerektirir.

İşlem düzeyinde, hesap düzeyinde değil, en az ayrıcalık ilkesini uygulayın: PocketOS olayında kullanılan Railway tokeni, ajanın görevinin gerektirdiğinden çok daha fazla izinlere sahipti. AI ajanlarına verilen tokenler ve kimlik bilgileri, belirli işlemler, belirli ortamlar ve belirli kaynaklar için kapsamlandırılmalıdır. Bir kimlik bilgisi dosyasını kod tabanında bulan herhangi bir varlık tarafından verilen kapsamlı izinler artık kabul edilemez.

Yıkıcı işlemler için bant dışı insan onayını gerektirin: Verileri silme, veritabanlarını bırakma veya hacimleri silme gibi geri alınamaz eylemler, bir özerk ajanın otomatik olarak tamamlanamayacağı açık insan onayını gerektirmelidir. Bu, AI üretkenliğini yavaşlatmak değil, hata maliyetinin telafi edilemez olduğu küçük bir işlem alt kümesinde insanı döngüde tutmak hakkında.

Yedeklerinizi patlama yarıçapının dışına taşıyın: PocketOS olayı, yedekleri intact olsaydı, ciddi bir kesinti olurdu. Yedeklerin, korumak amaçladığı aynı hacimde yaşadığı için, bir veri yok olma olayına dönüştü. Bağımsız, uzak yedekleme stratejileri, bir nice-to-have değil. Bunlar, geri yüklenilebilir bir olay ve bir iş krizi arasındaki fark.

Ajan davranışını gerçek zamanlı algılama için enstrümanlayın: Geleneksel günlük, agen AI faaliyetinin hızı için tasarlanmadı. Şirketlere, bir ajanın ne yaptığını gerçek zamanlı olarak yakalayabilen, görevine ilişkin olmayan kimlik bilgilerine erişen bir ajan gibi anomali davranışını saptayabilen ve zarar verilmeden önce otomatik tepkiler tetikleyebilen araçlar gerekli.

Kategori Geldi

Yıllarca, kurumsal güvenlik ekipleri AI’yi, mevcut kontrollerin üzerinde bir üretkenlik katmanı olarak tedavi edebildiler: daha akıllı bir otomatik tamamlama, daha hızlı bir arama, daha iyi bir özetleme aracı. PocketOS olayı, bu dönemin bittiğini açıkça ortaya koyuyor. AI ajanları şimdi, kimlik bilgilerine, API’lere ve canlı veri sistemlerine erişimi olan üretim altyapısının doğrudan içinde çalışıyor. Önceki döneme yönelik olarak tasarlanan kontroller, bu döneme yeterli değil.

AI ajanlarının üretim altyapısında doğrudan çalıştığı, kimlik bilgilerine, API’lere ve canlı veri sistemlerine erişimi olduğu gerçeğini kabul eden ve agen AI güvenliğini, kendi çerçeveleri, kendi araçları ve kendi organizasyonel sahipliği ile riêng bir disiplin olarak gören şirketler, özerk AI’nin üretkenlik avantajlarını, bir sonraki güvenlik yöneticileri tarafından çalışılan bir uyarı hikayesi olmaktan kaçınarak yakalayacaklar.

Dokuz saniye. Bu, aylarca veri kaybetmek için gereken süre. AI ajanlarını bugün dağıtan her şirket için soru, kontrollerinin bunu durdurup durduramayacağı.