Müşteri yolculuğu haritası şirket içinde yeni bir rol üstleniyor. Şirketler haritaları değişen müşteri beklentilerine yanıt veren dinamik, yaşayan çerçeveler halinde yeniden düşündükçe, iş stratejisinde statik olanın önemi giderek artıyor.
Modern yolculuk orkestrasyonu giderek daha fazla müşteri ilişkileri yönetimi (CRM), müşteri veri platformu (CDP), iletişim merkezi, mesajlaşma, kimlik, faturalandırma ve arka ofis sistemlerini içeriyor. Bundan sonra ne olacağını belirler: Müşterinin bir temsilciye yönlendirilip yönlendirilmeyeceği, geri ödeme teklif edilip edilmeyeceği, kimlik doğrulaması istenip istenmeyeceği, kişiselleştirilmiş bir öneri gösterilip gösterilmeyeceği veya hesap bilgilerini güncellemesine izin verilip verilmeyeceği.
Şirketler bu iş akışlarına yapay zeka aracılarını ekledikçe riskler yeniden artıyor. Bu sistemler niyetleri yorumlar, kararlar alır ve alt sistemlerde hareket eder.
Bu, seyahat düzenlemeyi güvenlik liderlerinin hemen bir yetkilendirme katmanı olarak tanıyacağı bir şey haline getirir.
Sorun, birçok müşteri deneyimi ekibinin bunu tek bir ekip olarak ele almamasıdır.
Seyahat mantığı bir güvenlik sorunu haline geldiğinde
Kurallara dayalı orkestrasyondan yapay zeka aracılarına geçiş, riskin doğasını değiştiriyor. Geleneksel bir iş akışında bir şirket, “eğer öyleyse, o zaman şu” dallarının her birinin haritasını çıkarabilir ve her sonucu belgeleyebilir. Bir şey başarısız olursa mantık incelenebilir. Ve eğer bir müşteri şikayette bulunursa kuruluş genellikle belirli bir eylemin neden gerçekleştiğini bulabilir.
Yapay zeka ajanları deterministik olmadıkları için bu modeli karmaşık hale getiriyor. Bağlamı yorumluyorlar ve dinamik girdiye dayalı kararlar veriyorlar; bu da hiçbir müşteri etkileşiminin aynı yolu izleyeceğinin garanti olmadığı anlamına geliyor. Müşteri deneyimi bağlamında bu, yolculukları daha duyarlı hale getirebilir. Ancak bu aracılar canlı sistemlerle veya müşteri verileriyle temasa geçtiğinde esneklik bir yönetim sorunu haline gelir.
Alex Salazar, kurucu ortak ve CEO bir yapay zeka altyapı platformunun Arcade.devsöylenmiş Bugün CX Sınırın birçok kuruluşun varsaydığından çok daha erken geçildiği görülüyor.
“Kuruluşlar hızlı bir şekilde aracıları dağıtmaya çalışıyor. Bir aracı hassas verilerle veya kurumsal bir sistemle temasa geçtiğinde, bir güvenlik ve yönetim sorununuz olur.”
“Temsilcilerin çalışma şekli budur: Belirleyici olmadıkları için kurallara dayalı bir sistemdeki gibi her karar yolunu tahmin edemezsiniz. Temsilcinin müşteri verilerine, bir CRM'ye veya finansal verilere erişimi olduğunda bu öngörülemezliğin sonuçları olur. Halüsinasyonun artık bir patlama yarıçapı vardır.”
Bulut güvenliğinde “patlama yarıçapı” terimi, güvenliği ihlal edilmiş bir kimlik bilgisi veya yanlış yapılandırılmış izinlerden kaynaklanan potansiyel hasarı tanımlar. CX'teki görünümü, güvenlik ve seyahat düzenlemesi arasındaki büyüyen bağlantıya işaret ediyor.
IBM'in Veri İhlalinin Maliyeti Raporu 2025, erişim kontrolü sorununun boyutunu gösteriyor. Rapora göre yapay zekayla ilgili bir güvenlik olayı bildiren kuruluşların yüzde 97'sinde uygun yapay zeka erişim kontrolleri bulunmuyor.
Bir yapay zeka ajanı kötü yanıt verirse hasar sınırlanabilir. Ancak CRM verilerine, hesap verilerine, finansal iş akışlarına veya geri ödeme sistemlerine erişimi varsa, halüsinasyon veya manipüle edilmiş bir talimat en ince ayrıntısına kadar varan sonuçlara yol açabilir.
Saldırganlar halihazırda insan iş akışlarını hedef alıyor
Saldırganlar bir kuruluşa girmenin en etkili yolunun genellikle teknik ihlaller yerine çalışanlar aracılığıyla olduğu gerçeğinden giderek daha fazla yararlandığından risk teorik değildir.
Palo Alto Networks'ün siber güvenlik danışmanlığı ve tehdit istihbaratı bölümü olan Birim 42'ye göre, 2025'teki olay müdahale vaka yükündeki tüm olayların yüzde 36'sı sosyal mühendislikle başladı.
“Bu saldırılar, insan iş akışlarına saldırarak, güveni kötüye kullanarak ve kimlik sistemlerini manipüle ederek sürekli olarak teknik kontrolleri atladı.”
Raporda, “Sosyal mühendislik olaylarının üçte birinden fazlası, arama motoru optimizasyonu (SEO) zehirlenmesi, yanlış sistem yönlendirmeleri ve yardım masası manipülasyonu da dahil olmak üzere kimlik avı olmayan teknikleri içeriyordu” denildi.
Müşteri hizmetleri, hesap kurtarma, geri ödemeler, kimlik bilgilerinin sıfırlanması ve profil değişikliklerinin tümü güvene dayalı iş akışları olduğundan bu, yolculuk düzenlemesi açısından önemlidir. Bir eylem talep eden kişinin meşru, yetkili ve beklenen bağlamda çalıştığına karar veren insan veya otomatik bir sisteme güvenirler. Ve bu iş akışları ne kadar otomatikleştirilirse, temeldeki yetkilendirme mantığı da o kadar önemli hale gelir.
ABD merkezli kripto para borsası Coinbase'de yaşanan bir olay, hizmet iş akışlarının kötüye kullanılmasının ne kadar zararlı olabileceğini gösteriyor. 2025 yılında şirket, saldırganların sosyal mühendislik saldırılarını kolaylaştırmak amacıyla müşteri verilerine erişim sağlamak için yabancı müşteri destek temsilcilerine rüşvet verdiklerini duyurdu. Saldırganlar, çalınan bilgileri müşterileri dolandırmak için kullandı ve daha sonra 20 milyon dolarlık fidye talep etti. Coinbase, kurtarma ve geri ödeme maliyetlerinin yüz milyonlarca dolara ulaşabileceğini tahmin ederek ödeme yapmayı reddetti.
Müşteri deneyimi ekipleri için müşteri desteği güven katmanının tehlikeye atılmasından alınacak ders rahatsız edici ama önemlidir. Erişim izni veren, hesap durumunu değiştiren veya müşteriye yönelik bir eylemi mümkün kılan her türlü iş akışı artık güvenlik çerçevesinin bir parçası. İyi bir yönetim olmadan yapay zeka temsilcileri bu riski ölçeklendirebilir.
Ölçek sorunu: Bir etmen çok sayıda olur
Birçok AI temsilcisi uygulaması, soruları yanıtlayan bir hizmet asistanı, bir satış destek aracı veya bir temsilci iş akışı yardımcısı gibi kapsanan pilot uygulamalarla başlar. Ancak kullanım senaryosunun değerli olduğu ortaya çıktığında ekipler aracıyı daha fazla sisteme, kanala ve müşteri verisine bağlar.
Salazar, yönetişimin daha da zorlaştığı yerin burası olduğunu söyledi.
“Çoğu kuruluş bunu bir düzeyde anlıyor, ancak çok azı yönetişimin pratikte gerçekte neye ihtiyaç duyduğuna hazırlıklı, özellikle de aracılar birden fazla kullanıcı ve hizmete geniş ölçekte dağıtıldığında.”
“Her aracı, aracıların izin düzeyini kontrol ederken, farklı izinlere sahip farklı kullanıcılar adına hareket etmelidir. Aracıların demolarda başarılı olmasına rağmen geniş ölçekte başarısız olmasının nedeni tam olarak bu karmaşıklıktır.”
Salazar, hatanın bu ajanı ajan yoluyla çözmek veya entegrasyon yoluyla entegrasyon olduğunu söyledi.
“Kuruluşların hafife aldığı diğer şey kombinatoryal matematiktir. Bunu bir aracı için çözmezsiniz; yüzlerce olmasa da düzinelerce sistemdeki 'N' aracı için çözersiniz. Her aracı-sistem ilişkisi için kimliği, izinleri ve politikaları ayrı ayrı ele alırsanız, aynı kontrolleri tekrar tekrar yeniden oluşturmak ve roller, araçlar ve izinler değiştikçe bunları senkronize halde tutmak için kaydolursunuz. Bu, denetim altında ölçeklenmez veya ayakta durmaz.”
Bunun yerine mimari bir değişiklik gerekiyor. Yolculuk düzenlemesi artık kanalları bağlamanın ve en iyi eylemleri otomatikleştirmenin ötesine geçiyor. Salzer'in açıkladığı gibi:
“Her aracı ve her alt sistem için kimlik ve izinleri bir kez ele alan merkezi bir kontrol düzlemine ihtiyacınız var. Bu olmadan, her yeni aracı risk getirir.”
Yetki boşluğu baskı altında en önemlisidir
Perakende satışların zirve yaptığı veya dolandırıcılıkların arttığı yüksek hacimli dönemlerde, seyahat düzenleme sistemleri, tam olarak insan gözetiminin sınırlı olduğu noktada, en fazla sayıda hassas eylemi gerçekleştirmelidir.
Gerçek zamanlı dolandırıcılık önleme ile kusursuz müşteri deneyimi arasındaki denge, modern iletişim merkezi tasarımındaki en önemli gerilimlerden biridir. Yapay zeka ajanları bu gerilimi artırıyor. Bir geri ödemenin onaylanıp onaylanmayacağına veya bir hesap değişikliğinin işaretlenip işaretlenmeyeceğine karar veren sistem belirleyici olmadığında ve canlı müşteri verilerine bağlı olduğunda, zayıf yetkilendirme kontrolleri dolandırıcılık riski haline gelir.
Bu, özellikle yapay zeka aracılarının genel hizmet sorgularını yanıtlamaktan hesaba özel eylemler gerçekleştirmeye geçtiği durumlarda geçerlidir. İade politikasını açıklayan bir sohbet robotu bir şeydir. Para iadesini gerçekleştirebilen, teslimat adresini değiştirebilen veya oturum açma kimlik bilgilerini sıfırlayabilen bir AI temsilcisinin farklı bir sorumluluk düzeyi vardır.
Salazar'a göre, tüketiciye yönelik birçok hizmet aracısının mevcut sınırlamaları çözülmemiş bir güvenlik sorununu yansıtıyor.
“Günümüzde tüketiciyle yüz yüze gelen müşteri hizmetleri temsilcilerinin çoğunun genel soruları yanıtlayabildiği, ancak özel siparişinizle, hesabınızla veya oturum açma kimlik bilgilerinizle ilgili soruları yanıtlayamamasının bir nedeni var. Bir temsilciye kişisel bilgilere erişim ve bu bilgiler üzerinde işlem yapma yeteneği vermek, çözülmesi zor bir yetkilendirme sorunu sunar ve çoğu kuruluş bunu henüz çözememiştir.”
İyi yönetim neye benzer
Peki bir AI temsilcisinin müşteri yolculuğunda hareket etmesine izin verilmeden önce hangi kontrollerin yapılması gerekiyor?
Salazar'a göre kuruluşların dört temel kontrole ihtiyacı var.
İlk olarak temsilci, yalnızca o kullanıcının izinleriyle hizmet verdiği müşteri veya çalışan gibi hareket etmelidir. İkincisi, aracının yalnızca belirli bir görev için gereken sistemlere ulaşabilmesi gerekir. Üçüncüsü, her eylemin tutarlı bir şekilde değerlendirilebilmesi için politikanın merkezi bir uygulama noktası olmalıdır. Dördüncüsü, kuruluşların, aracının gerçekleştirdiği her eylem için tam bir denetim izine ihtiyacı vardır.
CX ve güvenlik uygulamalarının birleşmesi gereken yer burasıdır. En az ayrıcalık, politika uygulama, kimlik birleştirme ve denetim günlüğü tutma gibi kavramlar kurumsal BT'de iyice yerleşmiştir. Ancak müşteri yolculuğunu düzenlerken geleneksel olarak daha çok kişiselleştirme, hız, dönüşüm ve verimlilik üzerinde odaklanılır.
Alıcılar ilk soruyu yanlış soruyor
Salazar, tüm bunların alıcıların tedarikçi değerlendirme sürecine yaklaşım biçiminde bir değişiklik gerektirdiğini öne sürdü.
“Kuruluşlar bu konuda genellikle farklı düşünürler: Satıcıları güvenlikten ziyade yeteneklere göre değerlendirirler. Aracı ne yapabilir; ne kadar hızlı, ne kadar doğru? Ama sonra bir aracı oluşturur, onu çalıştırır ve yönetim hakkında ancak üretime geçmeden önce güvenlik tarafından engellendiklerinde düşünmeye başlarlar.”
“Üretime geçmek ve temsilcilerden gerçek yatırım getirisi görmek istiyorsanız öncelikle yönetişim katmanını düşünmelisiniz.”
Yapay zeka destekli seyahat platformlarını değerlendiren CX başkanları ve CISO'lar için bu, rahatsız edici soruları daha erken sormak anlamına geliyor.
Bir aracı kullanıcı adına hareket ettiğinde izinler nasıl çalışır? Platform mevcut kimlik ve politika sistemleriyle entegre mi oluyor yoksa paralel bir onay modeli mi oluşturuyor? Uyumluluk standartlarını karşılayan bir denetim takibi sağlayabilir mi?
Salazar, yanıtların neyi ortaya çıkarması gerektiği konusunda net: “Bu sorularla karşılaşan herhangi bir tedarikçi, acentelik çağına yeni başlayan biri değildir.”
Daha iyi yolculuklardan daha güvenli yolculuklara
Seyahat düzenlemesi daha dinamik hale geldikçe aynı zamanda işlevsel bir güvenlik sistemi haline gelir. Saldırganlar kimin erişim sağlayacağına, hangi eylemlere izin verileceği ve hangi isteklere güvenileceğine karar veren iş akışlarını giderek daha fazla hedef aldıkça, şirketler bu yolların güvenli, denetlenebilir, iyi yönetilen ve kusursuz olup olmadığına göre değerlendirilecek.
Çünkü acenteler çağında, kontrol edilemeyen “daha iyi bir yolculuk”, müşteri deneyimi riski kadar güvenlik riski de taşıyor.
Bir yanıt yazın