Modellerde Zip Kırılması (Zip Slip) ve Klasör Atlama (Path Traversal) Tehdidi

Genel Bakış

Devasa sinir ağlarından oluşan kompleks makine öğrenimi modelleri (LLM'ler ve Temel Modeller) Hugging Face gibi geliştirici sitelerinde asla tek bir dosya formatında yayımlanmazlar. Aktarımı hızlandırmak için binlerce ağırlık parçacıgı ve kod bloğu tek bir .zip, .tar.gz veya özel konteyner arşivleri içerisinde paketlenir.

PAIT-EXDIR-100 zafiyeti; Eresus Sentinel sisteminizin bir model yapay zeka arşivi cihaza çıkartılırken "Zip Slip (Zip Kayması)" yani kasıtlı bir Klasör Atlama (Path Traversal) hilesi tespit ettiği kritik anlarda gerçekleşir.

Yazılım dünyasının eski ve tehlikeli bir kusuru olan "Zip Slip", hedef sunucudaki sıkıştırma (Extraction) kütüphanesinin arşiv içindeki dosya rotalarını doğru kontrol (Sanitize) edememesine dayanır. Saldırgan .zip veya .tar.gz paketinin içerisindeki dosya adlarına ../../../../../ misali klasörden bir üst kademeye atlamaya zorlayan tehlikeli rota kodları katar. Böylelikle modelin kurulduğu masum klasörü delip geçerek sunucunun alakasız fakat kritik konumlarına (Sistem dosyalarına) virüsleri dikte eder.

MLOps Sistemlerinde Tehlikesi

Veri bilimciniz indirdiği yeni versiyon bir modeli (model-v2.tar.gz) basitçe /home/user/ai_projesi/ klasörüne temizce çıkarıp kaydetmeyi umar. Fakat arşivin içindeki saklı kod eğer kasten ../../../../etc/passwd ya da ../../../../root/.ssh/authorized_keys olarak ayarlandıysa; kütüphane bu virüsü AI projesi klasörü dışına kadar kök izniyle taşır ve şirketin asıl yönetim ve şifre dosyalarının direkt üstüne yazarak güvenliği yerle yeksan eder.

Saldırı Nasıl Gerçekleşiyor (How The Attack Works)

Saldırganlar kamuya açık internet veri alanlarına zehirli tar.gz arşivleri yayınlar. Kurban bunu indirip sisteminin otomatik klasöre çıkarma algoritmasını (extraction) tetiklediğinde felaket dizgesi başlar.

sequenceDiagram
    participant Attacker as Saldırgan
    participant Open_Model_Hub as Hugging Face / Model Deposu
    participant MLOps_Pipeline as Veri Bilimci (Extaction Betiği)
    participant OS_Filesystem as Kurban Sunucu Klasör Sistemi

    Attacker->>Attacker: Arşiv paketi içerisine `../../` rotaları kodlanan dosyalar gizler
    Attacker->>Open_Model_Hub: "LLama-Egitim-Seti.tar.gz" adı altında repoya fırlatılır
    MLOps_Pipeline->>Open_Model_Hub: Sunucu projeyi repodan kodlarıyla birlikte çeker
    MLOps_Pipeline->>MLOps_Pipeline: Kodlar safça `tarfile.extractall()` denilerek dışarı çıkartılır
    MLOps_Pipeline->>OS_Filesystem: Dosya sistemi, "zip" içindeki talimat uyarınca üst klasöre kaçar
    MLOps_Pipeline->>OS_Filesystem: Virüsler`/bin/bash` veya `~/.bashrc` loglarına yapıştırılır
    OS_Filesystem-->>Attacker: Kurban yetkilendirme konsolunu ilk açtığında Virüs C2 ile temasa geçer

Önemli Noktalar

Otomatikleştirilmiş İhlal Altyapısı: MLOps veri ağları genelde geceleri yeni güncel repoları otomatik çekmesi (CI/CD) için yazılıma bağlanmışlardır. Bir tane zehirli repo pakedi tüm bulut havuzunuzdaki AWS yetkilendirmelerini anında üstüne yazarak değiştirebilir.
Ağırlık Doğrulamasını (Tensor Validation) Boşa Çıkarır: Firmanız modelleri yüklerken çok katı Safetensors güvenliği uyguluyor dahi olsa Zip Slip tuzağını fark edemeyebilir. Çünkü bu siber tuzak daha siz model yüklemeye (Load) başlayamadan dış paket (Archive) klasöre çıkartılırken saniyeler önce gerçekleşir.
Root Komut İdaresi: Eğitimi sürdüren konteyner ya da extraction komutunu içeren betik, makinede derin idari (root) rollerle açıkça yetkilendirildiyse, zarar gören kök dosyaları makinelerin asıl denetim hakimiyetini terör odaklarına açar.

Etkisi

Ağ üzerindeki ML depolamalarındaki (Arşivlerindeki) Zip Slip saldırılarının önü çoğu zaman makinelerin izole olmaktan çıkmasına (Host Takeover) ve rastgele komut ateşlemeye (ACE - Arbitrary Code Execution) uzanır. Kurbanın o an çalıştığı cihazı sessizce kontrol altına alınarak arka planda kurum ağlarını yavaşlatan kripto para avcı kodlarına dönüşülebilir ya da sunucular "fidyeniz ödenmemiş" denilerek kitlendiğinde veriler Ransomware felaketine kurban edilir.

En İyi Çözüm Pratikleri

Paket Çıkarırken Rotayı İzole Edin (Sanitize Before Extraction): Python'da kullanılan o eski, hiçbir kontrol içermeyen devasa tarfile.extractall() türü kodlamaları kullanmaktan hızla uzak durun. Çekilen tüm projelerin alt yolları (pathing) mutlak suretle kod sisteminize ait dar limitlerde, sadece güvenli os.path.abspath rotalarında çalışacak şekilde ayarlanmalıdır.
En Düşük Ayrıcalık Kuralı (PoLP): Model kurma ve çıkarma operasyonlarınızı yürüten çalışan profillerine gereksizce çok kök klasör izni vermeyin. Veri tabanlı bir kullanıcı_1 aslen sistemin ana organlarındaki root loglarını silemezken, hackerın gönderdiği yetki tırmanma atağı duvara toslar.
Değişmezliklere Güven (Trust Immutability): Kaynaklarını doğrulayamadığınız kişilerin hareketli model klasörlerini doğrudan çalıştırmayın. Kurum içerisinde yalnızca katı SHA256 "Şifrelenmiş Kimlik Onayı" sistemine uymuş dosyaların barınmasına izin veren bir firewall çekin.

İyileştirme (Remediation)

Eresus Sentinel algılayıcısına ait ateşlenmiş bir PAIT-EXDIR-100 uyarısı; dış kademelerdeki rotaya ait bir kural dışı okuma ihlalinin fişinin çekildiğinin temsilcisidir. Model dosyasını indirmekten ve dosyaları çıkarmaktan sorumlu sanal bilgisayarınızı hemen durdurun. İşlerim sistemi panellerinden adli siber bilişim metotlarıyla (Forensic log tooling); son yarım saatte .bashrc, .profile veya kök cron sistemlerinde izinsiz yapılandırmalar (veya silinmeler) gerçekleştirilip gerçekleştirilmediğini mutlak suretle doğrulayın. Şüpheli depolardan çekim yapan o kirli Docker diskini imha dip, güvenli tabanlı bir yedeği sisteme derleyin.

İleri Okumalar ve Kaynaklar (Further Reading)

Yazılım altyapılarında "Zip Slip" mantığının derin sistem mimarisini nasıl enfekte ettiğine dair geniş okumalar:

OWASP Path Traversal Framework İkazları: Arka kapı girdilerinin cihaz klasör yolunu yanıltarak (Directory bypass) nasıl zehirlendiği üzerine standart bilgiler.
Snyk: Zip Slip Keşif Araştırmaları (Vulnerability Analyis): Zip sıkıştırma açıklarının eski siber dünyadan modern makine öğrenimine taşındığı tehlikeyi aktaran orijinal Endüstriyal analiz belgesi.
Python Resmî Güvenlik Dokümanları - tarfile modülü: Otomatik bir ".extractall()" eylemi çalıştırılırken ortaya çıkabilecek potansiyel yıkımlar için yayınlanan resmî bildiri ve uyarılar.

📥 Eresus Sentinel ML Klasörleriniz Sisteme Değmeden Önünü Keser! Zehirli bir sıkıştırılmış dosya arşivi (Archive), dev sanal makinelerinizi model eğitim aşamalarına daha geçemeden paramparça edebilir! Eresus Sentinel, sıkıştırılmış ML ve AI modellerinin yapılarını makineye kurulmadan anlık inceler ve gizlice kodlanmış tehlikeli hedef klasör rotalarının (../../ vb.) disklerinize dokunmasını %100 oranında önceden engeller. Savunmanızın kusursuz kalmasını istiyorsanız bugün bizimle iletişime geçin.

Daha Fazla Bilgi | Demo Randevusu Alın

SSS

Bu risk sadece prompt injection ile mi sınırlı?

Hayır. AI güvenliğinde prompt injection önemli bir başlangıçtır ama tek başına resmi anlatmaz. Retrieval katmanı, tool izinleri, model artefact güveni, loglarda hassas veri, kullanıcı yetkisi ve entegrasyon sınırları birlikte değerlendirilmelidir.

İlk teknik kontrol ne olmalı?

Önce sistemin hangi veriye eriştiği, hangi aksiyonları alabildiği ve bu aksiyonların hangi kimlikle çalıştığı haritalanmalıdır. Bu harita olmadan yapılan test genellikle birkaç prompt denemesinden öteye geçemez.

Ne zaman profesyonel destek gerekir?

AI uygulaması müşteri verisine, iç dokümana, üretim API’lerine veya otomatik aksiyon alan agent akışlarına erişiyorsa profesyonel güvenlik incelemesi gerekir. Bu noktada risk artık model cevabı değil, kurum içi yetki ve veri sınırıdır.

Uygulama Notları

AI güvenliği incelenirken ilk soru modelin ne cevap verdiği değil, sistemin hangi yetkiyle ne yapabildiğidir. Aynı prompt güvenli görünebilir; fakat arka tarafta CRM, dosya deposu, ticket sistemi veya SQL aracı bağlıysa risk seviyesi tamamen değişir.

Pratik değerlendirme için ekip şu dört katmanı ayrı ayrı yazmalıdır:

Kullanıcıdan gelen giriş ve sistem prompt sınırları.
Retrieval kaynağı, index yetkisi ve hassas veri filtresi.
Tool çağrıları, API token kapsamı ve onay mekanizması.
Log, izleme, alert ve olay müdahale akışı.

Karar Çerçevesi

AI uygulaması yalnızca metin önerisi veriyorsa risk daha çok veri sızıntısı ve yanlış yönlendirme üzerinden okunur. Uygulama tool çağırıyor, dosya yazıyor, ticket açıyor, ödeme başlatıyor veya müşteri kaydı güncelliyorsa değerlendirme agent runtime güvenliğine döner.

Bu ayrım önemlidir çünkü prompt filtreleri runtime yetki hatasını çözmez. Filtre modeli ikna etmeye çalışır; güvenli runtime ise agent yanlış ikna edilse bile neye erişemeyeceğini belirler.

Profesyonel Destek Eşiği

Aşağıdaki durumlardan biri varsa konu artık yalnızca iç kontrol maddesi değildir:

Production verisi veya müşteri hesabı etkilenebilir.
Yetki sınırı birden fazla rol ya da tenant üzerinden çalışır.
Bulgu zincirlenince veri sızıntısı, kalıcı erişim veya operasyon kesintisi doğurabilir.
Ekipte test kanıtını yeniden üretecek ve remediation önceliği çıkaracak zaman yoktur.

Eresus Security bu noktada bulguyu sadece raporlamakla kalmaz; istismar kanıtı, etki analizi, remediation sırası ve retest kriteriyle birlikte ele alır. Böylece ekip “ne açık?” sorusundan “neyi, hangi sırayla kapatmalıyız?” kararına geçer.

Ek Kontrol Soruları

Bu risk hangi varlıkları etkiliyor?
Hangi kullanıcı rolleri bu akışa erişebiliyor?
Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
Bulgunun müşteri verisine etkisi var mı?
Loglardan olayın izi sürülebiliyor mu?
Düzeltme sonrası retest nasıl yapılacak?
Geçici önlem ile kalıcı çözüm ayrıldı mı?
İş etkisi teknik ekibin dışında da anlaşılır mı?
Benzer hata için önleyici kontrol eklenebilir mi?
Ekip bu kontrolü release sürecine bağlayabilir mi?
Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?