EresusSecurity
Araştırmalara Dön
Runtime Threats

PyTorch Güvenlik Parametrelerini Aşan Ölümcül RCE Zafiyeti

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
10 Nisan 2026
Güncellendi: 27 Nisan 2026
6 dk okuma

Genel Bakış

Dünyanın en yoğun kullanılan yapay zeka iskeletlerinden biri olan PyTorch, geçmişte ürettiği ağ modellerini belleğe depolarken (genelde .pt veya .pth formatlarında) Python'un yerleşik -ve de aşırı tehlikeli- pickle mimarisini default (varsayılan) sistem olarak benimsiyordu. Eresus Sentinel sistemlerinde tespit edilen PAIT-PYTCH-100 zafiyeti; dışarıdan çekilen modifiye edilmiş zehirli bir PyTorch modelinin, makinede uzaktan kod yürütme ayrıcalıkları (ACE/RCE) ele geçirmek gayesiyle torch.load() fonksiyonunu manipüle etme teşebbüsünü işaret eder.

Pytorch eski sürüm tehlikelerini hafifletmek amacıyla sisteme weights_only=True parametresini dahil etmişti. Bu parametre modeldeki verilerin yalnızca sayısal matematik verilerine (tensors) dönüşmesini ve harici tehlikeli sınıfların engellenmesine yarıyordu. Buna rağmen saldırganlar güvenlik sistemindeki istisnalı global komutlardan açık bulup (Örn. CVE-2025-32434 yamasıyla düzelen hata) güvenlik parametrelerini hiçe sayarak rastgele kabuk kodları işletme imkanı buldular.

Güvenli Sandığınız Yüklemeler Bypas Edildi (Execution Bypasses)

Eğer güvenlik panonuzda bu uyarı belirdiyse, yetkisiz saldırgan kurumsal düzeydeki PyTorch parametrelerinizi atlatacak düzeyde sofistike bir model kodlamıştır. Şirketinizin tecrübeli yapay zeka geliştiricileri komuta weights_only argümanını bilerek katsalar bile (yalnızca sayılara izin verme emri) sistemin o çaresiz kırıldığı milisaniyelerde torch.load() arkasındaki shell virüsü sunucuya başarıyla taşınmış demektir.

Saldırı Nasıl Gerçekleşiyor (How The Attack Works)

Kötü niyetli hacker donanımları, PyTorch sürümlerindeki (özellikle v2.5.1 ve altındaki) bilinen torch.load kütüphane boşluklarını incelerler. Parametreyi atlatacak sömürü dizesini direkt modelin Metadata kimlik bilgilerinin arasına kodlarlar.

sequenceDiagram
    participant Hacker
    participant PyTorch_Hub as Açık Kaynak Topluluğu
    participant Cloud_GPU as Üretim GPU Sunucusu
    participant Shell as İşletim Sistemi Motoru

    Hacker->>Hacker: PyTorch Global izinlerini tahrif eden virüsü modele yerleştirir
    Hacker->>PyTorch_Hub: İçine backport yerleştirilmiş "ResNet50-V2.pth" adıyla yayımlar
    Cloud_GPU->>PyTorch_Hub: Kurban yeni mimari testine başlamak için indirme yapar
    Cloud_GPU->>Cloud_GPU: `torch.load(dosya, weights_only=True)` ile sözde güvenli yükler
    Cloud_GPU->>Cloud_GPU: Güvenlik kodlarındaki "İstisnai açık (Bypass)" sayesinde filtre aşılır
    Cloud_GPU->>Shell: Sisteme entegre olan komutlar Linux işletim sisteminde C2 kapısı açar
    Shell-->>Hacker: Siber şebeke milyon dolarlık GPU serverınıza kök (Root) olarak oturur

Önemli Noktalar

  • Yalancı Güvenlik Hissiyatı: Siber güvenlikteki genel kanının aksine, yapısal olarak kökünden zehirli (Pickle vb.) altyapı kodlarının weights_only=True denilen ufak ek kısıtlamalarla kalıcı olarak bastırılması mümkün değildir ve mutlak güven telkin etmez.
  • Eski Sürümlere Şantaj: Makine öğrenim operasyonları çoğunlukla güncellenmesi unutulan eski container'lardan oluşur (PyTorch v2.0-2.5 arası). Bu yamalanmayan modeller, güncel bypass modüllerine en savunmasız birimlerdir.
  • Kamuflaj Performansı: PyTorch, arka tarafta ortamı virüs yağmuruna tuttuğu anlarda paralel olarak ekrana masum Tensor verilerini çekmeye de devam ederek sistemde yanlış ve sağlıklı çalıştığı hissini uydurabilir.

Etkisi

PyTorch mimarisi çalıştıran bilgisayarlar ekseriyetle en maliyetli donanımlara (Yüksek VRAM'li binlerce işlemcilik GPU'lara) ve TB seviyesinde eşsiz eğitim verilerine direkt bağlıdır. Bu sızıntının başarıya ulaşması durumunda kurumun en değerli sunucuları siber işgale girer. Korsanlar devasa sunucu gücünü şirketinizin faturasına yazacak formda gizli Bitcoin madencilerine çevirebilir (Cryptojacking) ya da projenize ait yeni jenerasyon tasarım sızıntılarını o an bağlandığı portlar üstünden C2 ağlarına yedekleyebilir.

En İyi Çözüm Pratikleri

  • Yerleşik Safetensors Ağlarına Dönüş: Endüstrinin üzerinde hemfikir olduğu en güvenli siber önlem, eski ve tehdit uyandıran .pt veya .pth dosya mantıklarından kesin şekilde kopup salt-veri blokajı sağlayan .safetensors protokolüne geçmektir. Kod derlemesine fiziken mani olduğundan bu açığı %100 sıfırlar.
  • Agresif Sürüm Yamalamaları: Şirketinizdeki tüm GPU havuzlarındaki PyTorch kütüphanelerini (özellikle v2.5 dahil) acilen 2.6 ve sonrasına çekerek kritik weights_only bypass açıklarını kapattığınızdan emin olun.
  • Özel Yalıtılmış Sandbox Alanları: İnternetten bulduğunuz veya çekmek zorunda kaldığınız arkaik .pt uzantılarını asıl ağınıza dahil etmeyin. Dış sunuculara internet portu bulunmayan kapalı Docker alanlarında yükleyerek (Air-gapping) izole tutun.

İyileştirme (Remediation)

Uyarı konsolunda beliren bir PAIT-PYTCH-100 aktivasyonu gördüğünüz an kod yükleyen sunucunun tüm fişini çekerek sanal ağınızı fiziksel izolasyona zorlayın. Terminal log dosyalarınızı inceleyerek arka plan kodlarının işletim sistemi seviyesine ne denli indiğini adli bilişim (Forensics) seviyesinde yorumlayın. İç mimarinizdeki (S3 klasörleri ve önbellekler) bu kimliğe sahip tüm PyTorch kalıntılarını kalıcı tasfiyeden geçirin. Elde etmeniz gereken eğitim formatı modelini baştan Safetensors standardına çevirerek kurun.

İleri Okumalar ve Kaynaklar (Further Reading)

PyTorch zafiyet mimarileri üzerinde yetkinliğinizi derinleştirecek siber güvenlik belgeleri:

📥 Eresus Sentinel PyTorch Güvenlik Bypass Girişimlerini Temelden Yıkar! Güncellenmemiş kütüphane hataları (Zero-Day bypasslar) yüzünden GPU sunucularınızı tehlikeye fırlatmayın! Eresus Sentinel, yükleme süreçlerinden önce model içindeki PyTorch argümanlarını gizliden manipüle etmeye çalışan küresel tetikleyicileri derhal engeller ve Python motoruna girmeden pakedi iptal eder. Siber çağın proaktif makine öğrenimi güvenliğine bugün geçin.

Daha Fazla Bilgi | Demo Randevusu Alın

SSS

Bu risk sadece prompt injection ile mi sınırlı?

Hayır. AI güvenliğinde prompt injection önemli bir başlangıçtır ama tek başına resmi anlatmaz. Retrieval katmanı, tool izinleri, model artefact güveni, loglarda hassas veri, kullanıcı yetkisi ve entegrasyon sınırları birlikte değerlendirilmelidir.

İlk teknik kontrol ne olmalı?

Önce sistemin hangi veriye eriştiği, hangi aksiyonları alabildiği ve bu aksiyonların hangi kimlikle çalıştığı haritalanmalıdır. Bu harita olmadan yapılan test genellikle birkaç prompt denemesinden öteye geçemez.

Ne zaman profesyonel destek gerekir?

AI uygulaması müşteri verisine, iç dokümana, üretim API’lerine veya otomatik aksiyon alan agent akışlarına erişiyorsa profesyonel güvenlik incelemesi gerekir. Bu noktada risk artık model cevabı değil, kurum içi yetki ve veri sınırıdır.

Operasyonel İnceleme Checklisti

  • Model veya agent kaynağı doğrulandı mı?
  • Tool izinleri minimum yetkiyle mi tanımlandı?
  • Retrieval sonucu kullanıcı yetkisine göre filtreleniyor mu?
  • Memory kalıcı talimat riskine karşı incelendi mi?
  • Model artefact hash veya imza ile takip ediliyor mu?
  • Yükleme işlemi sandbox içinde test edildi mi?
  • Prompt testi runtime aksiyon testiyle desteklendi mi?
  • MCP veya plugin server listesi çıkarıldı mı?
  • Agent production API çağırıyorsa onay var mı?
  • Veri sızıntısı senaryosu kontrollü denendi mi?
  • Kapsam net yazıldı mı?
  • Etkilenen varlık sahibi belli mi?
  • Test ortamı production etkisinden ayrıldı mı?
  • Kullanıcı rolleri doğru temsil ediliyor mu?
  • Hassas veri sınıfı tanımlandı mı?
  • Yetki sınırı teknik olarak doğrulandı mı?
  • Log kaynağı ve saklama süresi belli mi?
  • Bulgu tekrar üretilebilir kanıtla destekleniyor mu?
  • İş etkisi teknik etkiden ayrı açıklandı mı?
  • Düzeltme sahibi belirlendi mi?
  • Retest kriteri yazıldı mı?
  • Benzer risklerin nerelerde tekrar edebileceği kontrol edildi mi?
  • Monitoring veya alert tarafında görünürlük var mı?
  • Olay müdahale adımı gerekiyorsa planlandı mı?
  • Yönetim özeti teknik jargona boğulmadan hazırlanabilir mi?

Sonraki Teknik Adım

Bu checklist tamamlandıktan sonra bulgular önem sırasına göre backlog’a taşınmalı, kritik riskler için retest planı çıkarılmalı ve ilgili servis/hub sayfasına iç bağlantı verilmelidir. Eresus Security bu aşamada kapsam netleştirme, kanıt üretme ve remediation önceliklendirme konusunda teknik ekiplerle birlikte çalışır.

Ek Kontrol Soruları

  • Bu risk hangi varlıkları etkiliyor?
  • Hangi kullanıcı rolleri bu akışa erişebiliyor?
  • Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
  • Bulgunun müşteri verisine etkisi var mı?
  • Loglardan olayın izi sürülebiliyor mu?
  • Düzeltme sonrası retest nasıl yapılacak?
  • Geçici önlem ile kalıcı çözüm ayrıldı mı?
  • İş etkisi teknik ekibin dışında da anlaşılır mı?
  • Benzer hata için önleyici kontrol eklenebilir mi?
  • Ekip bu kontrolü release sürecine bağlayabilir mi?
  • Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
  • Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?

İlgili Araştırmalar

AI Security

AI ile Geliştirilen Uygulama Güvenli mi?

Cursor, Claude, ChatGPT veya AI app builder ile geliştirilen uygulamaları production öncesi güvenli hale getirmek için pratik kontrol listesi.

AI Security

LLM Pentest ile Web Pentest Arasındaki Fark

LLM, RAG ve agent sistemleri için güvenlik testi klasik web pentestten nasıl ayrılır; hangi durumda hangisine ihtiyaç duyulur?

AI Security

AI Agent Runtime Security Nedir?

AI agent runtime security, agentlerin production sırasında tool, memory, retrieval ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.