AI agent pazarında yeni güven yarışı: KYA standardı öne çıkıyor

Yapay zeka agent çağının hız kazanmasıyla birlikte, sözleşme yapan, ödeme gerçekleştiren ve işlem yürüten otonom yapıların kimliğinin nasıl doğrulanacağı yeni bir pazar sorunu olarak öne çıkıyor. Tiger Research’ün yakın tarihli raporuna göre, agent-to-agent yani A2A işlemler yaygınlaşırken mevcut KYC yapısı tek başına sorumluluk sahibi tarafı ve yetki sınırlarını net biçimde belirlemekte yetersiz kalıyor. Bu yüzden ‘KYA’ yani Know Your Agent altyapısının, yeni dijital güven düzeninin temel taşlarından biri haline gelebileceği belirtiliyor.

Rapora göre finans sektöründe kullanılan KYC, 1989’da FATF’ın kurulmasının ardından kara para aklamayı önleme ve kullanıcı kimliği doğrulama konusunda standart hale geldi. Ancak insan yerine yazılım agent’larının bağımsız hareket ettiği sistemlerde bu modelin sınırları daha görünür hale geliyor. Çünkü yapay zeka agent’ları, insan müdahalesi olmadan sözleşme imzalayabiliyor, ödeme başlatabiliyor ve alım satım emri verebiliyor. Buna karşın bu agent’ın kim tarafından devreye alındığı, hangi yetkilerle çalıştığı ve bir sorun çıktığında kimin sorumlu tutulacağı konusunda ortak bir çerçevenin eksik olduğu vurgulanıyor.

Bu açık özellikle merkeziyetsiz borsalar, agent’lar arası ödeme sistemleri ve zincir üstü merchant ödemeleri gibi platform dışı birlikte çalışabilirliğin öne çıktığı alanlarda daha belirgin hale geliyor. Google, OpenAI ya da Coinbase gibi şirketlerin kapalı platformlarında mevcut KYC, hizmet şartları ve iç denetim mekanizmaları belli ölçüde koruma sağlayabiliyor. Fakat platform dışına çıkan otonom agent’lar, ek bir doğrulama sistemi olmadan yetkisiz işlem, dolandırıcılık ve sorumluluk boşluğu gibi riskleri aynı anda doğurabiliyor. Tiger Research bu durumu, kapalı bir alan içinde sadece kimlik göstermenizin yeterli olması ama dış dünyaya çıkıldığında hem amacınızın hem de güvenilirliğinizin yeniden değerlendirilmesi gerekliliğine benzetiyor.

‘KYA’, tam da bu boşluğu doldurmayı hedefleyen bir güven altyapısı olarak tanımlanıyor. Buradaki temel amaç, bir agent’ın kaynağını, yetkisini, vekalet ilişkisini, geçmiş davranışlarını ve olası sorumluluk alanını önceden doğrulanabilir hale getirmek. Başka bir ifadeyle, sadece kullanıcı kimliğini doğrulamak artık yeterli görülmüyor. Aynı zamanda bu agent’ın hangi amaçla üretildiği, ne kadar hareket alanına sahip olduğu ve hangi doğrulama kurumu ya da işletmeci tarafından onaylandığı da kanıtlanmak isteniyor. A2A işlem hacmi arttıkça bu yapının zorunlu bir unsur haline gelmesi bekleniyor.

Piyasada ‘KYA’ standardı için yarış da başlamış durumda. Ethereum(ETH) tabanlı ERC-8004, ERC-721 NFT mimarisi üzerine bir agent kimlik katmanı ekleyerek benzersiz kimlik üretmeyi amaçlıyor. Sistem yalnızca kimlik belirlemekle kalmıyor; Identity, Reputation ve Validation isimli üç ayrı zincir üstü kayıt yapısı üzerinden kimlik bilgisi, itibar verisi ve doğrulama belgelerini birlikte tutuyor. Böylece bir agent’ın sadece kim olduğu değil, zaman içinde nasıl değerlendirildiği ve hangi doğrulama aşamalarından geçtiği de zincir üstünde izlenebilir hale geliyor.

Geleneksel ödeme şirketleri de benzer şekilde hızla pozisyon alıyor. Visa(V), TAP çerçevesiyle agent’lara kimlik sertifikası verilmesini ve meşruiyet, yetki devri ve ödeme aracını kapsayan üç aşamalı bir doğrulama modeli kurulmasını önerdi. Bu yaklaşım, agent’ın gerçekten yetkili bir taraf adına ve uygun talimatla ödeme yapıp yapmadığını tespit etmeyi hedefliyor. Trulioo ise SSL sertifika otoritesi modelinden esinlenen bir yapı önererek DPA’nın DAP üretmesini öngörüyor. Sumsub da mevcut uyumluluk altyapısına ‘KYA’ katmanını ekleyen bir model üzerinde ilerliyor. Doğrulama, ödeme ve regülasyon odaklı şirketlerin aynı anda bu alana girmesi, ‘KYA’nın artık kavramsal bir tartışma olmaktan çıkıp gerçek bir altyapı rekabetine dönüştüğünü gösteriyor.

Düzenleyici cephede de hareketlilik artıyor. Avrupa Birliği’nin AI Act düzenlemesi, yüksek riskli yapay zeka sistemlerinin faaliyet kayıtlarında operatör kimliğine yer verilmesini istiyor. ABD Ulusal Standartlar ve Teknoloji Enstitüsü, yani NIST de agent kimlik yönetimini öncelikli standartlaşma konuları arasında ele alıyor. Singapur ise ulusal düzeyde agentic AI yönetişim çerçevesi açıklayarak resmi kurgu oluşturma sürecine girmiş durumda. Tiger Research, 2019’da FATF’ın Travel Rule düzenlemesinin kripto varlık hizmet sağlayıcıları için belirleyici hale gelmesine benzer şekilde, gelecekte ‘KYA’ altyapısına sahip olup olmamanın da AI agent tabanlı hizmetlerin pazara girişini ve büyüme hızını etkileyebileceğini düşünüyor.

Sonuç olarak ‘KYA’, her alana aynı şekilde dayatılan bir kural olmaktan çok, otonominin ve dış sistemlerle etkileşimin arttığı yerlerde kritikleşen bir ‘güven mekanizması’ gibi görünüyor. AI agent’lar ve ‘A2A’ ekonomisi büyürken, kimliği doğrulanmamış otomasyon verimlilikten daha büyük riskler yaratabilir. Sektörün bugün ‘KYA’ altyapısına odaklanmasının nedeni de bu. Önümüzdeki dönemde AI agent pazarında öne çıkanlar, sadece daha güçlü modeller geliştirenler değil, aynı zamanda davranan tarafın kim olduğunu güvenli ve doğrulanabilir biçimde kanıtlayabilenler olabilir.