EresusSecurity
Araştırmalara Dön
Deserialization Threats

İnteraktif Siber Bağlantı Kurabilen (Reverse Shell) Zehirli Model Zidıyeti

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
10 Nisan 2026
Güncellendi: 27 Nisan 2026
6 dk okuma

Genel Bakış

Reverse Shell (Ters Bağlantı), kurbanın bilgisayarı üzerinden korsan sunucusuna aktif, canlı komut gönderilebilen interaktif bir tünel açılması işlemidir. Yapay Zeka Geliştirme (MLOps) süreçlerinde rastlanan PAIT-PKL-102 güvenlik ihlali; Eresus Sentinel'in, yapay zeka modelinin okunduğu esnada yetkisiz bir dış hat (outbound network connection) komutu tespit etmesiyle tetiklenir.

Geliştiriciler sıklıkla internetteki veri ağlarından (örneğin Hugging Face, Kaggle) açık kaynaklı .pkl, .bin veya .pt dosyaları çekerler. Python tabanlı pickle sistemi çalıştığında içindeki kodları (opcodes) bir sanal makinede yürütür. Korsan, modelin içerisindeki __reduce__ komutunu kullanarak, ağırlık noktalarını veya sinir ağı matrislerini yüklemek yerine doğrudan socket ve os dosyalarını devreye sokar. Modelin kodu; saldırganın kendi makinesindeki IP adresine sessizce "Ben emre hazırım, bağlan!" çağrısı yapar.

Eğer bu alarm ağınızda aktif olduysa: Cihazınızda kod okuturken zararsız görünen bir paket, sisteme arka kapı uydurmuş demektir. Dosya bir yapay zeka yapısı değil, doğrudan dışarı internet açan aktif bir terminal sızıntısıdır.

Ters Bağlantının Mantığı Üzerine

Modern kurumsal güvenlik duvarları dışarıdan içeriye gelen (Inbound) paket isteklerinizi çoğunlukla kusursuz engeller. Fakat Reverse Shell mimarisinde durum farklıdır: Virüs zaten şifreli modelin içinde şirketten içeri kendisi girdiği için, güvenlik duvarı bu defa "içeriden dışarıya" giden (Outbound) istekleri güvenilir varsayarak engellemez. Saldırgan bu sızıntı sayesinde sizin temiz güvenlik mimarinizi kandırarak uzaktan kod yazıp cihazınızı yönetebilir.

Saldırı Nasıl Gerçekleşiyor (How The Attack Works)

Korsan, popüler bir kütüphaneye veya ML dağıtım sahasına virüslü paketi anonim hesaplarla fırlatır. Şirket içi siber mühendis modeli yerel sisteme klonlayıp çalıştırdığı anda kod, TCP arayüzünü çağırıp korsana kapıyı açar.

sequenceDiagram
    participant Attacker as Saldırgan (C2 Sunucusu)
    participant File_System as Açık Kaynak Havuzu
    participant MLOps_Engineer as Kurumsal Veri Ağı (Kurban)
    participant Python_VM as Python Belleği
    
    Attacker->>File_System: Model adıyla içerisine 'socket' komutu gömülü Pickle yüklemesi
    MLOps_Engineer->>File_System: Modeli kurumsal bilgisayara çekme
    MLOps_Engineer->>Python_VM: Kodu başlatır (örnek: torch.load('model.pt'))
    Python_VM->>Python_VM: Kötücül Python soket kütüphaneleri işlenir
    Python_VM->>Attacker: Firewall'u atlayan Outbound (Dışa) TCP bağlantısı fırlatılır
    Attacker-->>Python_VM: Canlı shell ekranından bilgisayara sessiz direktifler iletilir
    Python_VM-->>Attacker: Gönderilen Linux işletim sistemi emri işletilir (Tam Kontrol)

Önemli Noktalar

  • Firewall Sistemlerini Yok Sayma: Bağlantının kurban bilgisayarından çıkış yapması, mevcut AWS veya Azure Security Group korumalarınızın çoğunu anlamsız kılabilir.
  • Anında Cihaz İşgali: Oluşturulan Shell (Konsol) ekranı, o esnada ortamda Python kullanan veri mühendisi veya sunucunun bulut IAM rolü neyse o yetkilere derhal el koyar.
  • Sessiz Çalışma Operasyonu: Yük, Thread fonksiyonu olarak tasarlandıysa kullanıcı fark etmeden arka planda iletişim sürer ve asıl Python betiği sanki modeli gerçekten yüklemiş gibi sahte sayılarla çalışmaya devam edip ekibi oyalayabilir.

Etkisi

İnteraktif bir "Reverse Shell" demek, bir siber korsanın doğrudan masanızdaki bilgisayar klavyesinden sisteme yazı yazdığı anlamına gelir. Saldırgan ağdaki iç veritabanlarını izleyerek şifrelenmemiş hasta/tasarımcı dosyalarına sızabilir, cihazda Ransomware (Aktif fidye virüsü) koşturabilir ya da yapay zeka şirketinize ait en gizli eğitilmiş modellerin binlerce gigabaytlık matris değerlerini rakip şirketlere veya C2 bulut sunucularına pompalayabilir.

En İyi Çözüm Pratikleri

  • Ağ Bölütleme (Network Segmentation): Üretime hazır makine öğrenimi sanal makinelerinizin dış dünyaya tam boy internet yetkisi olmamalıdır. Egress Filter (Dışarıya Gidiş İzni Filtresi) kurallarıyla tüm yapay zeka sunucularınızı sadece güvendiğiniz özel ağlar (VPC) arasında konuşturun.
  • Sıfır Güven (Zero-Trust) Dosya Mimaris: Kırılgan pickle altyapısında model dağıtmaktan kesinlikle vazgeçin. Ağ mimarinizi matematikten başka komut tanımayan pürüzsüz formattaki Safetensors standardına acilen taşıyın.
  • Ağ Grafiğini Dinleme (Active Traffic Monitoring): Standart Veri Bilimci (Data Science) sistemlerinden hiç olmaması gereken bir anda veya bir IP adresine TCP bağlantı akışı gözleniyorsa derhal uyaran izleme logları sistemleri kurgulayın.

İyileştirme (Remediation)

PAIT-PKL-102 tehdidinin Eresus Log ekranlarına yansıması cihazın ihlal edildiğine kesin kanıttır. İlgili Kubernetes (K8S) hücresini veya makineyi anında donanımsal bağlılıktan kopartın; kapatıp tekrar açmayın (dijital olay yeri siber adli bilişimi için kanıtların RAM'de kalması gerekir). Bağlantı kurulan "Dış IP" adresinizi panodan tespit ederek Firewall üstünden yasaklı IP menüsüne (Block/Ban IP) yollayın. Eresus Sentinel sistemine girerek havuzdaki geri kalan cihazlarla bu virüslü paketin etkileşime girip girmediğini kontrol altına alın.

İleri Okumalar ve Kaynaklar (Further Reading)

Ağınızı model kökenli sömürülere kapatıp korumanızı bir adım ileri taşıyınız:

📥 Eresus Sentinel Şirket Ağınızı Sessiz Hack Sızıntılarından Korur! Enfekte olmuş yapay zeka sunucularınızın veri yayınlamasını beklemeden önlem alın! Eresus Sentinel, pickle kodları içerisinde dışarı ağ fırlatılması için özel çağırılan tehlikeli modülleri erkenden analiz edip makinede kabuk oluşturulmasını daha oluşmadan iptal eder. Siber ortamınızı bugünden Eresus Sentinel ile kilitleyin.

Daha Fazla Bilgi | Demo Randevusu Alın

SSS

Bu risk sadece prompt injection ile mi sınırlı?

Hayır. AI güvenliğinde prompt injection önemli bir başlangıçtır ama tek başına resmi anlatmaz. Retrieval katmanı, tool izinleri, model artefact güveni, loglarda hassas veri, kullanıcı yetkisi ve entegrasyon sınırları birlikte değerlendirilmelidir.

İlk teknik kontrol ne olmalı?

Önce sistemin hangi veriye eriştiği, hangi aksiyonları alabildiği ve bu aksiyonların hangi kimlikle çalıştığı haritalanmalıdır. Bu harita olmadan yapılan test genellikle birkaç prompt denemesinden öteye geçemez.

Ne zaman profesyonel destek gerekir?

AI uygulaması müşteri verisine, iç dokümana, üretim API’lerine veya otomatik aksiyon alan agent akışlarına erişiyorsa profesyonel güvenlik incelemesi gerekir. Bu noktada risk artık model cevabı değil, kurum içi yetki ve veri sınırıdır.

Operasyonel İnceleme Checklisti

  • Model veya agent kaynağı doğrulandı mı?
  • Tool izinleri minimum yetkiyle mi tanımlandı?
  • Retrieval sonucu kullanıcı yetkisine göre filtreleniyor mu?
  • Memory kalıcı talimat riskine karşı incelendi mi?
  • Model artefact hash veya imza ile takip ediliyor mu?
  • Yükleme işlemi sandbox içinde test edildi mi?
  • Prompt testi runtime aksiyon testiyle desteklendi mi?
  • MCP veya plugin server listesi çıkarıldı mı?
  • Agent production API çağırıyorsa onay var mı?
  • Veri sızıntısı senaryosu kontrollü denendi mi?
  • Kapsam net yazıldı mı?
  • Etkilenen varlık sahibi belli mi?
  • Test ortamı production etkisinden ayrıldı mı?
  • Kullanıcı rolleri doğru temsil ediliyor mu?
  • Hassas veri sınıfı tanımlandı mı?
  • Yetki sınırı teknik olarak doğrulandı mı?
  • Log kaynağı ve saklama süresi belli mi?
  • Bulgu tekrar üretilebilir kanıtla destekleniyor mu?
  • İş etkisi teknik etkiden ayrı açıklandı mı?
  • Düzeltme sahibi belirlendi mi?
  • Retest kriteri yazıldı mı?
  • Benzer risklerin nerelerde tekrar edebileceği kontrol edildi mi?
  • Monitoring veya alert tarafında görünürlük var mı?
  • Olay müdahale adımı gerekiyorsa planlandı mı?
  • Yönetim özeti teknik jargona boğulmadan hazırlanabilir mi?

Sonraki Teknik Adım

Bu checklist tamamlandıktan sonra bulgular önem sırasına göre backlog’a taşınmalı, kritik riskler için retest planı çıkarılmalı ve ilgili servis/hub sayfasına iç bağlantı verilmelidir. Eresus Security bu aşamada kapsam netleştirme, kanıt üretme ve remediation önceliklendirme konusunda teknik ekiplerle birlikte çalışır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

İlgili Araştırmalar

AI Security

AI ile Geliştirilen Uygulama Güvenli mi?

Cursor, Claude, ChatGPT veya AI app builder ile geliştirilen uygulamaları production öncesi güvenli hale getirmek için pratik kontrol listesi.

AI Security

LLM Pentest ile Web Pentest Arasındaki Fark

LLM, RAG ve agent sistemleri için güvenlik testi klasik web pentestten nasıl ayrılır; hangi durumda hangisine ihtiyaç duyulur?

AI Security

AI Agent Runtime Security Nedir?

AI agent runtime security, agentlerin production sırasında tool, memory, retrieval ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.