EresusSecurity
Araştırmalara Dön
Runtime Threats

Çalışma Zamanında (Run Time) Keras Özel Katmanı (Custom Layer) Algılandı

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
10 Nisan 2026
Güncellendi: 26 Nisan 2026
6 dk okuma
GuideAI Security

Genel Bakış

Model kodunun sömürülmesi genelde geleneksel seri döküm anlarında gerçekleşse de, Keras mimarilerinde doğrudan tahminsel analiz işlemleri yürüten "Custom Layer" (Özel Katman) yapıları doğrudan işlenmemiş Python kodlarıyla desteklenir. PAIT-KERAS-301, Eresus Security statik analiz taramaları vasıtasıyla, modelin sistem yüklenme zamanında şüpheli kodu yürütmeyerek bunu tam tahmin isteği (prediction) çağrıldığı ana sakladığını gösterir.

PAIT-KERAS-301 etiketi tanımlı modellerin taşıdığı riskler:

  • Dosya .h5 veya modern .keras mimarisindeki klasik basit "Lambda" katmanlarının ötesine geçerek özgün ve kuralları esnetilmiş "Custom" mimari katmanları kullanır.
  • İşlenen veride salt matematik denklemlerin yanı sıra belgesiz ve normal dışı ortamsal (environmental) veri çekimi yapan adımlar bulunur ve bunlar tamamen data tahmini sırasındaki kod yollarına gömülüdür.
  • Kod bloğu uygulamanın başlatılma vektöründen (PAIT-KERAS-100 uyarı statüsünde bahsedildiği gibi) zararsızca geçse dahi aktif işlem yürütme esnasında tamamen kısıtlamasız Python serbestliğine sahip olur.

Önemli Noktalar

  • Modern MLOps pratikleri işlemsel olarak yoğun Python dizelerinin bu tarz özel bloklarda yazılmasını ve dinamik çalışmasını onaylamaz. Saldırgan grupları, cihaz sınırlarını atlatarak doğrudan harici bir zararlı yazılım parçasını aktive edilen standart görevmiş gibi paketler ve makinelere okutur.
  • Eresus Sentinel, statik imza araçlarının yakalayamadığı arka plan tahminsel işlem gizlenmelerinin ardındaki işlemsel gariplikleri analiz eder.

Etkisi

Zehirlenmiş algoritmalar yürüten bir arkaplan rutini barındıran katmanlar, geleneksel ağ koruma çözümlerini aşıp yatayda (moderate reconnaissance) keşif yapan yerel ağ virüslerinin tetiklenmesine olanak tanır. Tahmin kodlarının arasına saklanan gizli zararlı döngüler sonraki tüm yapay zeka kararlarında sistemi tehlikeli eylemlere ve kararsızlıklara sürükler.

En İyi Çözüm Pratikleri

  • Karmaşık, teyit edilmemiş doğrulamasız Custom dinamik Python dizeleri kullanmak yerine güvenli matematiksel kütüphane fonksiyonlarına yönelttiğiniz varsayılan yapılar seçin.
  • Yazılım dizinindeki tüm özel model katmanlarınızı ve mimarilerini, düzenli periyotlarda benzersiz Eresus operasyonel mantık analiz taramasından geçirin.

İyileştirme (Remediation)

Algılandığı ilk an içerisinde prediction çalışma sahalarında anında karantina uygulayın. Bu anormal bileşenlerin doğrudan yerel ağ yapısını görmemesi adına mutlak şekilde izole donanım veya Sandbox uygulamaları kurun. Modeldeki özel tahmin katmanındaki algoritmik ihtiyaçları şüpheli yürütme metotlarından (runtime Python evaluations) temizleyerek yeniden yazmanız çok daha güvenli bir mühendislik eylemidir.

Temel Değerlendirme

Model dosyaları yalnızca ağırlık veya matematik çıktısı değildir; bazı formatlar yükleme sırasında kod çalıştırabilir, beklenmeyen operatörleri tetikleyebilir veya çalışma zamanı davranışını değiştirebilir. Bu nedenle model güvenliği, dosya taramasından daha geniş bir artefact intake ve runtime izolasyonu problemidir.

Bu Konu Neden Önemli?

  • Model artefact production ortamına girdiğinde onu kullanan tüm servisleri etkiler.
  • Pickle, Keras Lambda, bazı export/import akışları ve runtime operatörleri beklenmeyen davranış üretebilir.
  • Topluluk model havuzlarından alınan dosyalar, klasik paket bağımlılığı gibi tedarik zinciri riski taşır.

Güvenlik ekipleri açısından değer, tekil bir bulgunun adından çok bulgunun hangi veriye, kullanıcıya, sisteme veya iş sürecine temas ettiğini gösterebilmekten gelir.

Bu nedenle değerlendirme yapılırken sadece teknik kontrol listesi değil, gerçek saldırı yolu, istismar kanıtı, operasyonel etki ve düzeltme önceliği birlikte ele alınmalıdır.

Pratik Örnek

Bir ekip açık kaynak model dosyasını indirip doğrudan inference servisine eklediğinde risk sadece model cevabı değildir. Yükleme sırasında çalışan unsafe deserialization yolu ortam değişkenlerini okuyabilir, dış bağlantı kurabilir veya job runner üzerinde kalıcı iz bırakabilir.

Yanlış Bilinenler

  • Modelin doğruluk oranı iyiyse güvenli olduğunu varsaymak.
  • Antivirüs taramasını model security review yerine koymak.
  • Model yükleme işlemini network izolasyonu olmadan production’a yakın ortamda yapmak.

Karar Tablosu

| Durum | Risk | Ne Yapılmalı? | | --- | --- | --- | | Sistem hassas veriye erişiyor | Veri sızıntısı veya yetki aşımı | Kapsamlı güvenlik testi planlanmalı | | Sadece demo ortamında çalışıyor | Düşük ama büyüyebilir risk | Mimari ve veri akışı şimdiden belgelenmeli | | Üretime yakın entegrasyon var | Zincirleme etki ve operasyon riski | Assessment, remediation ve retest takvimi çıkarılmalı |

Uygulanabilir Kontrol Listesi

  • Varlık, veri ve kullanıcı rolleri açıkça listelendi mi?
  • Kritik akışlar gerçek kullanıcı senaryolarıyla test edildi mi?
  • Yetki sınırları hem başarılı hem başarısız isteklerle doğrulandı mı?
  • Log, hata mesajı ve izleme sistemleri hassas veri sızdırıyor mu?
  • Bulgu çıktıları iş etkisi ve remediation sahibiyle birlikte yazıldı mı?
  • Düzeltme sonrası retest kriteri önceden belirlendi mi?

Profesyonel Destek Ne Zaman Gerekir?

Dış model dosyaları, müşteri verisiyle çalışan inference servisleri veya otomatik model intake pipeline’ları varsa profesyonel model security review gerekir.

Profesyonel destek gerektiren en net sinyal, riskin tek bir ekip tarafından tamamen görülememesidir. Ürün, güvenlik, DevOps, veri ve hukuk ekipleri aynı soruya farklı cevap veriyorsa bağımsız assessment işi hızlandırır.

Eresus Yaklaşımı

Eresus Security bu tip konularda yalnızca bulgu listesi üretmez; saldırı yolunu, iş etkisini, kanıtı, önerilen düzeltmeyi ve retest koşulunu birlikte verir.

Çalışma çıktısı teknik ekip için uygulanabilir, yönetim için anlaşılır ve satış/uyum görüşmeleri için kanıt niteliği taşıyacak şekilde hazırlanır.

Eresus uzmanları, model dosyalarını provenance, format riski, yükleme davranışı ve runtime izolasyonu açısından inceler. Üçüncü taraf model kabul sürecinizi güvenli bir intake mimarisine dönüştürebiliriz.

Saha Kontrol Soruları

  1. Model kaynağı kim tarafından doğrulandı?
  2. Dosya hash’i ve imza kontrol ediliyor mu?
  3. Yükleme işlemi network izolasyonunda mı?
  4. Unsafe deserialization yolu var mı?
  5. Format parser güncel mi?
  6. Runtime dış bağlantı kurabiliyor mu?
  7. Ortam değişkenlerine erişim sınırlandırıldı mı?
  8. Model provenance kaydı tutuluyor mu?
  9. Karantina ve manuel onay adımı var mı?
  10. Inference container yetkileri daraltıldı mı?
  11. Dosya boyutu ve metadata anomalileri izleniyor mu?
  12. Model import logları merkezi toplanıyor mu?
  13. Aynı artefact hangi ortamlara dağıtıldı?
  14. Rollback için temiz sürüm hazır mı?
  15. Üçüncü taraf model politikası yazılı mı?

Sık Sorulan Sorular

Çalışma Zamanında (Run Time) Keras Özel Katmanı (Custom Layer) Algılandı için ilk bakılması gereken şey nedir?

İlk bakılması gereken şey sistemin hangi veriye, hangi kimlikle ve hangi aksiyon yetkisiyle eriştiğidir. Teknik araç seçimi bundan sonra anlam kazanır.

Bu çalışma yalnızca otomatik araçlarla yapılabilir mi?

Otomatik araçlar iyi bir başlangıçtır ama iş mantığı, yetki sınırı, zincirleme etki ve gerçek istismar kanıtı için manuel güvenlik analizi gerekir.

Çıktı nasıl aksiyona dönüşür?

Her bulgu için etki, kanıt, önerilen düzeltme, sorumlu ekip ve retest kriteri yazılır. Böylece rapor sadece okunmaz, sprint veya güvenlik backlog’una girer.

Eresus bu konuda nasıl destek verir?

Eresus Security kapsam çıkarma, teknik test, risk önceliklendirme, remediation danışmanlığı ve retest aşamalarını tek bir çalışma akışıyla destekler.

Uygulama Planı

1. Kapsamı Netleştir

  • Model kaynağı, hash, imza, format, parser sürümü ve yükleme ortamı birlikte incelenir.
  • Import/load aşamasının ağ, dosya sistemi ve ortam değişkeni erişimi gözlemlenir.
  • Modelin production’a hangi pipeline üzerinden taşındığı ve kimlerin onay verdiği çıkarılır.

2. Kanıt Üret

  • Unsafe deserialization, şüpheli operatör veya runtime davranışı kontrollü sandbox içinde kaydedilir.
  • Aynı artefact’ın farklı ortamlara etkisi ve tekrar üretilebilirliği doğrulanır.
  • Model davranışıyla sistem davranışı birbirinden ayrılarak yanlış alarm riski azaltılır.

3. Düzeltmeyi Takip Edilebilir Hale Getir

  • Karantina ortamı, imza doğrulama ve provenance kaydı zorunlu hale getirilir.
  • Inference container yetkileri ve network çıkışı minimuma indirilir.
  • Dış model kabul süreci güvenlik onayı olmadan production’a geçmeyecek şekilde tasarlanır.

Raporlama Formatı

  • Bulgu adı kısa ve teknik olarak net yazılmalı.
  • Etkilenen varlık, kullanıcı rolü ve veri sınıfı belirtilmeli.
  • İstismar adımları tekrar üretilebilir ama gereksiz saldırı detayı içermeyecek şekilde verilmeli.
  • İş etkisi, teknik etkiden ayrı açıklanmalı.
  • Önerilen düzeltme, sorumlu ekip ve retest kriteri aynı blokta yer almalı.
  • Yazı ilgili hub sayfasına bağlanmalı.
  • Aynı pillar içindeki iki destekleyici bloga bağlantı verilmelidir.
  • Hizmet sayfasına giden CTA, okuyucunun bulunduğu karar aşamasına uygun olmalıdır.
  • Advisory veya araştırma içeriği varsa güven sinyali olarak ikincil bağlantı şeklinde kullanılmalıdır.

Sonraki Adım

Bu yazıdan sonra backdoored LLM tespiti, model file backdoor formatları ve pickle/RCE içerikleri aynı model intake sürecine bağlanmalıdır.

Güvenlik Doğrulaması

Bu riski kendi sisteminizde test ettirdiniz mi?

Eresus Security; sızma testi, AI ajan güvenliği ve kırmızı takım operasyonlarıyla gerçek istismar kanıtı üretir.

Pilot test talep et

İlgili Araştırmalar

Research

Yapay Zeka Modellerinde Gözden Kaçan Tehlike: Keras ve Pickle Dosya Zafiyetleri

Yapay zeka güvenliğinde herkes prompt injection ve API'lere odaklanırken, en büyük tehlike arka planda yatıyor: Zararlı kod barındıran AI model...

AI Security

AI Model Dosyalarında Backdoor Riski

Pickle, PyTorch, ONNX, Keras ve GGUF model dosyalarında backdoor riskinin neden klasik dosya taramasından daha derin olduğunu inceliyoruz.

Derin Analiz

Python'un En Saf Bug'ı: Makine Öğrenimi Modellerinde (.pkl) Uzaktan Kod Çalıştırma (RCE) Zafiyeti

Göz önünde saklanan zafiyetler her zaman en tehlikeli olanlarıdır. Özellikle Makine Öğrenimi (ML) dünyasında veri bilimciler her gün yüzlerce model...