EresusSecurity
Araştırmalara Dön
Deserialization Threats

Şifrelenmiş Sömürü Kodları İçeren Gelişmiş Model Zafiyeti (Obfuscation)

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
10 Nisan 2026
Güncellendi: 27 Nisan 2026
5 dk okuma

Genel Bakış

Serileştirme açıklarının (örneğin PAIT-PKL-100) temel çalışma mantığı __reduce__ üstünden çıplak bir shell (konsol) komutu çağırmak olsa da; gelişmiş siber tehdit grupları os.system gibi yalın kelimelerin basit güvenlik duvarlarına takıldığını bilirler. PAIT-PKL-101 uyarısı, son derece komplike şifrelenmiş ve gizlenmiş (Obfuscated) Python Pickle zafiyetlerine karşı tetiklenir. Eresus Sentinel sisteminiz bu uyarıyı verdiyse; şüpheli model içinde kendini Base64, Hexadecimal gibi yapılarla maskelemiş derin bir kod yürütme teşebbüsü yakalanmıştır.

Ağınızda bir PAIT-PKL-101 güvenlik ihlali tespit edildiğinde, durumun meali şöyledir:

  • Hedeflenen serileştirilmiş makine öğrenimi yapay zeka paketi (örneğin popüler görünen bir .pkl, .bin veya .pth), basit string analizlerine ve standart MLOps tarayıcılarına (scanner) yakalanmayacak şekilde maskelenmiş yazılım yönergeleri içerir.
  • Tehdit aktörü, komutu açık açık vermek yerine Python'un base64 veya codecs kütüphanelerini model yüklenirken otonom olarak içeri aktarıp getattr(sys.modules['os'], 'system') denilen parçalı formüllerle zararlıyı gizlemiştir.
  • Hedef net olarak cihazda Rastgele Kod Çalıştırma (RCE) hakkı elde etmektir ancak saldırının taşıyıcı kılıfı (Delivery mechanism) çok daha kusursuz tasarlanmıştır.

Şifrelemenin Anatomisi (Obfuscation)

Normal güvenlik duvarları zararlı ararken dosya metinlerinde wget veya bash ibaresi var mı diye bakar. PAIT-PKL-101 ihlalini tetikleyen bir modelin ilk kodları mükemmel şekilde temizdir, dosya sadece "Şunu bir çöz, matematiktir" diyerek kendisini sisteme şifrelenmiş yığar. Model RAM'e çıkartılıp parçaları birleştiği o esnada asıl kimliğini gösterir ve saklanan virüsü tam yetkiyle çalıştırır. Geleneksel koruma, virüsü ancak sistem çoktan enfekte olduğunda fark edebilir.

Saldırı Nasıl Gerçekleşiyor (How The Attack Works)

Düşmanlar virüs paketlerini Base64 formatlarına o kadar iyi sıkıştırırlar ki, disk tabanlı güvenlik yazılımları bu bloğu sadece yapay zekaya ait yoğun bir "Sinir Ağı Matrisi (Tensor data)" zanneder.

sequenceDiagram
    participant Saldirgan as Saldırgan
    participant Dosya_Alani as Model Havuzu (Hugging Face)
    participant EDR as Bilgisayar Antivirüsü (EDR)
    participant Python_VM as Python Yükleme Ortamı
    participant Shell as İşletim Sistemi (Konsol)

    Saldirgan->>Saldirgan: Shell virüsünü Base64 bloğu olarak şifreler
    Saldirgan->>Dosya_Alani: Şifreli virüsü deşifre komutuyla modele yerleştirir
    Python_VM->>Dosya_Alani: Kurban modeli indirir ve kodu (pickle.load) derler
    EDR-->>Python_VM: Antivirüs dosyayı okur (Bunu salt, masum bir yapay zeka sayısı sanır)
    Python_VM->>Python_VM: Yükleme anında arka planda 'base64.b64decode()' emri çalışır
    Python_VM->>Shell: Parçalar RAM üstünde birleşir ve virüs bilgisayara fırlatılır
    Shell->>Saldirgan: Karşı tarafın siber şebekesine sessiz bağlantı (Backdoor) kurulur

Önemli Noktalar

  • İmza Kontrollerini Baypas Etme: Geleneksel sistem koruyucuları makineye kod gömüldüğünde haberdar olacak şekilde ayarlandığından, bu saldırı türü MLOps için ölümcüldür.
  • Katmanlı Tetiklenme: Model sanki kendi kendini üretiyormuş gibi önce şifresini kırar, sonra insan izni (Human Intervention) olmaksızın kendi zehrini sunucuya boşaltır.

Etkisi

Şifrelenmiş siber yüklerin (Obfuscated payload) çalıştırılmasındaki en büyük kriz, virüsün alarm zillerini çalmadan günlerce ağda gizlenebilmesidir. İlgili eklenti RAM'de aktive olduğunda:

  • Yatay İlerleme (Lateral Movement): İşletim sisteminde uyur vaziyete geçen bot, MLOps mühendisinin veri istasyonundan (Data scientist workspace) sızarak şirketin genel muhasebe veya müşteri kimlik veritabanlarına ulaşmak için yatay haritalandırma yapar.
  • Sessiz Veri İhracatı: Ransomware (Fidye) yazılımları, modelin o klasik sessiz "Hesaplanıyor..." evresini şemsiye olarak kullanıp şirketinizdeki dosyaları günlerce hiç duyulmadan sizin haberiniz olmadan dışarı yollar.

En İyi Çözüm Pratikleri

Tüm MLOps ağınızdaki maskelenmiş zafiyetleri ekarte etmek adına:

  • Saf Veri Modellerine (Data-Only Models) Geçin: Ağırlıkları depolamak veya kaydetmek adına .pkl türevlerinden uzak durun. Safetensors gibi %100 saf matematik sayıları içeren modern formatlar, içeriğine sızdırılmış bir Base64 yürütme algoritmasına zaten temel yapısı itibarıyla müsaade edemez, okumaz ve çalıştırmaz.
  • Derin Sezgisel Analiz Yapın: Kodun ismine ve metnine aldanan sığ EDR yazılımları yerine Eresus Sentinel gibi "Bu kod derlendiğinde nereye varacak?" diyen sezgisel simulasyonlu güvenlik platformlarına entegre olun.

İyileştirme (Remediation)

Ağınızdaki bir PAIT-PKL-101 alarmı, şirketinize zeki bir kaçış denemesi yapıldığı manasına gelir. Hemen model okuma container ünitesini (Inference platform) devre dışı bırakın. Sürecin barındırdığı ortam şifrelerinin kopyalandığını varsayarak Active Directory yetkilendirmelerini sıfırlayın. Şifrelenen sürecin cihazda kendisini kalıcı yapacak gizli görevler (Daemon processes, Cron jobs) bırakmadığından emin olmak için Eresus Forensic loglarını dikkatlice okuyun.

İleri Okumalar ve Kaynaklar (Further Reading)

Maskelenmiş ve şifrelenmiş makine öğrenimi saldırı türleri üzerine kurumsal bilgilerinizi genişletmek için:

📥 Eresus Sentinel Modellerdeki Gizli Şifrelenmiş Tüm Virüsleri Açığa Çıkartır Sıradan güvenlik çözümlerinin okuyamadığı karmaşık .pkl zafiyetlerini Eresus Sentinel mükemmelen teşhis eder. Gelişmiş sezgisel simulasyon mimarimizle, zehirli opcodelar güvenli altyapınızda infilak etmeden onları karantinaya alın. LLMSecOps siber boru hattınızı bugünden koruyun.

Daha Fazla Bilgi | Demo Randevusu Alın

SSS

Bu risk sadece prompt injection ile mi sınırlı?

Hayır. AI güvenliğinde prompt injection önemli bir başlangıçtır ama tek başına resmi anlatmaz. Retrieval katmanı, tool izinleri, model artefact güveni, loglarda hassas veri, kullanıcı yetkisi ve entegrasyon sınırları birlikte değerlendirilmelidir.

İlk teknik kontrol ne olmalı?

Önce sistemin hangi veriye eriştiği, hangi aksiyonları alabildiği ve bu aksiyonların hangi kimlikle çalıştığı haritalanmalıdır. Bu harita olmadan yapılan test genellikle birkaç prompt denemesinden öteye geçemez.

Ne zaman profesyonel destek gerekir?

AI uygulaması müşteri verisine, iç dokümana, üretim API’lerine veya otomatik aksiyon alan agent akışlarına erişiyorsa profesyonel güvenlik incelemesi gerekir. Bu noktada risk artık model cevabı değil, kurum içi yetki ve veri sınırıdır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

İlgili Araştırmalar

AI Security

AI ile Geliştirilen Uygulama Güvenli mi?

Cursor, Claude, ChatGPT veya AI app builder ile geliştirilen uygulamaları production öncesi güvenli hale getirmek için pratik kontrol listesi.

AI Security

LLM Pentest ile Web Pentest Arasındaki Fark

LLM, RAG ve agent sistemleri için güvenlik testi klasik web pentestten nasıl ayrılır; hangi durumda hangisine ihtiyaç duyulur?

AI Security

AI Agent Runtime Security Nedir?

AI agent runtime security, agentlerin production sırasında tool, memory, retrieval ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.