EresusSecurity
Araştırmalara Dön
Runtime Threats

TorchScript Modellerinde Dosya Okuma Anında Şüpheli Rastgele Kod Çalıştırma Tahmini

Yiğit İbrahim SağlamOfansif Güvenlik Uzmanı
10 Nisan 2026
Güncellendi: 26 Nisan 2026
6 dk okuma
GuideAI Security

Genel Bakış

Eksiksiz (Definitive) bir kod sömürüsü varlığını mutlak olarak açık etse de, modern siber tehdit grupları izlerini gelişmiş ağ koruma duvarlarından gizlemek maksadıyla virüs kodlarını karmaşık şifreleme yöntemleriyle (obfuscation) kapatırlar. PAIT-TCHST-301 bildirimleri MLOps çalışanlarına; .pt veya .pth uzantılı bir TorchScript arşivi yüklendiğinde çok katmanlı, alışılagelmedik ve yoğun derecede "Rastgele Kod Çalıştırma (Arbitrary Code Execution)" emareleri sergileyen şüpheli bir algoritma algılandığını gösterir. Her ne kadar bu karmaşık bloklar henüz halka açık net bir CVE referansıyla (saldırı imzasıyla) eşleşmese de, modelin torch.jit.load() döngüsü başlatıldığında olağan dışı faliyetler talep ettiği açıkça gözlemlenmiştir.

Altyapı izleme süzgeciniz bir PAIT-TCHST-301 uyarısı tetikliyorsa:

  • Paketlemesi yapılan TorchScript matematiksel mimarisi sisteme dahil olurken, normal ağ akışlarıyla açıklanamayacak düzeyde garip kütüphane dosyaları çekmeye yeltenmiştir (yüksek entropi / gizli mantık döngüleri).
  • Dosyanın sunucuya ulaştığında gerçek bir üretim sunucusunda mı (production) yoksa korunaklı bir sanal test makinesinde mi (sandbox) çalıştığını analiz eden "Keşif" kodları çalıştırdığından ciddi şekilde şüphelenilmektedir.
  • PAIT-TCHST-300'deki mutlak tehdit varlığının aksine 301 numaralı uyarı; daha sinsi şekilde şifrelenmiş, sezgisel ve çok daha yoğun takibe alınması gereken karmaşık bir sızıntı denemesidir.

Önemli Noktalar

  • Maskelenmiş Oltalama Uygulamaları: Geleceği planlayan saldırganlar, zehirli Python scriptlerini, OS erişim taleplerini devasa bir tensor (matris) şablonu hesabıymış gibi gizlerler; böylece güvenlik kapısını sessizce geçerler.
  • Önce Keşfet Sonra Vur: Yükleme aşamasındaki bu şüpheli kodlar bazen ana virüs dosyasını indirmek yerine sadece ortamı analiz eder. Cihaz sanal bir güvenlik motoruysa sahte veriler üreterek gizlenmeye devam eder.
  • Tehdidin Gizli Yüzü: Geleneksel yapay zeka analiz ve API kalkanları, uygulamanın dosya okumasını yasal bir olay sandığı için sadece zararlı istihbaratını okuyan yapılarca (Eresus Security gibi) bu gizlenen eylemin arkasındaki hedef anlaşılabilir.

Etkisi

Sunucularınızdaki bu aşırı şüpheli okuma eylemlilik sürecini (Load Process) dikkate almamak ve yoksaymak, sinsi kurgulanmış "Gölge Malware" yazılımlara kurumsal binalarınızın en güvenli veritabanları içerisine gark etmek demektir. İşleme konulan veya durdurulamayan bu şifreli eylemler; sessiz bir bilgi aktarım noktası (Beacon) vasıtasıyla içeride ne bulursa loglayıp C2 komuta kontrol sunucularına satar. Açıklanamamış ve karanlıkta kalmış olan bir yükleme esnası şüphesi, makineden tahmin tutarlılığını alıp cihazınızı şeffaf bir köle haline dönüştürür.

En İyi Çözüm Pratikleri (AI Security)

Bu tür TorchScript kod çalıştırmalarını ağ sınırlarında kapsamlı bir biçimde tasviye etmek adına:

  • Derlenmiş ve paketlenmiş tek bir .pt model dosyasının asla saf masum bir "matematik verisi" olduğunu zannetmeyin. Dışarıdan çekilen makine zekası öğelerinin hepsi işleme girdiği vakit tam yetkili bir Executable Code (Yazılım Çalıştırma Aracı) rolü üstlenir.
  • Bir sistem komutu şüpheli davranışlarla dizin okuyorsa ortamın yetkilerini iptal eden yatay ve dikey geniş donanım süzgeçleri; bilhassa Eresus Sentinel Sezgisel İzleme algoritmalarını kurgulayın.
  • Kesin surette Modellerin teste çekilmesi ve test bitiminde entegrasyona eklenmesi sürecindeki fiziksel/donanımsal sunucularınızı birbirinden uzak tutun.

İyileştirme (Remediation)

Şüpheli model okuması saptanan geliştirici rotalarınızı (Deployments / CI-CD) dondurun. Varlığı tespit edilmiş ancak fonksiyonelliği gizli olan .pt dosyasını analiz etmeye çalışmayın (Çalıştırdıkça sömürü eylemi büyüyecektir), modeli yalıtılmış ağ ortamına göndererek Siber Operasyonlar Merkezi (SOC) ekibinize devredin. Tespit esnasında cihaz telemetrisinden nelerin kopyalandığını ya da sunucunun hangi gizli ağ portlarına sorgu yapmaya zorlandığını Eresus logları eşliğinde deşifre edin. Şirket MLOps ağınıza hiçbir surette "Test Onayı" almamış açık kaynak model dosyası sokmayarak, riski kapı dışına itin.

📥 Eresus Sentinel Gizlenmiş Dosya Okuma Açıklarını Bulur Kapsamlı bir Eresus Sentinel kurulumu sayesinde, yapay zeka geliştiricileriniz kodları sahaya sürmeden aylarca önce dosyaların en derinlerindeki şifrelenmiş anomali hareketlerini berrak bir biçimde gözlemlersiniz. ML Boru-hattı operasyonlarınızı mutlak siber egemenlikle inşa edin.

Daha Fazla Bilgi | Demo Randevusu Alın

Temel Değerlendirme

TorchScript Modellerinde Dosya Okuma Anında Şüpheli Rastgele Kod Çalıştırma Tahmini konusu yalnızca teknik bir ayrıntı değildir; yanlış ele alındığında veri sızıntısı, yetki aşımı, operasyon kesintisi veya regülasyon riski doğurur. En doğru yaklaşım, varlıkları ve kullanıcı rollerini netleştirip gerçek saldırı yolunu kanıtla test etmek, ardından düzeltmeyi ölçülebilir retest kriterine bağlamaktır.

Neden Kritik?

  • Saldırganlar çoğu zaman en zayıf teknik kontrolü değil, en zayıf varsayımı hedefler.
  • Otomatik taramalar bilinen kalıpları yakalayabilir ama iş etkisini ve zincirleme saldırı yolunu tek başına göstermez.
  • Güvenlik çıktısı geliştirici, yönetici ve uyum ekibi tarafından aynı şekilde anlaşılmıyorsa aksiyona dönüşmez.

Pratik Senaryo

Bir ekip sistemi güvenli kabul eder çünkü login çalışır, pipeline yeşildir veya model beklenen cevabı üretir. Ancak saldırgan aynı akışta farklı kullanıcı, farklı tenant, farklı dosya veya farklı token ile deneme yaptığında tasarımın sakladığı gerçek risk ortaya çıkar. Bu yüzden testler mutlu yol yerine kötüye kullanım senaryolarıyla yazılmalıdır.

Yanlış Bilinenler

  • “Araç taradı, kritik yok” güvenlik onayı değildir.
  • “İç sistem, saldırgan erişemez” varsayımı modern saldırı zincirlerinde zayıftır.
  • “Bu sadece teknik borç” denilen konu çoğu zaman müşteri verisi veya production erişimiyle birleşir.

Karar Tablosu

| Durum | Risk seviyesi | Önerilen aksiyon | | --- | --- | --- | | Demo veya izole test ortamı | Düşük-Orta | Mimari kararları ve veri akışını belgeleyin | | Staging production verisine yakın | Orta-Yüksek | Yetki, log ve abuse testlerini ekleyin | | Production veya müşteri verisi | Yüksek | Profesyonel assessment, remediation ve retest planlayın |

Kontrol Listesi

  • Model kaynağı, hash ve provenance kaydı var mı?
  • Load işlemi network izolasyonunda mı?
  • Runtime ortam değişkenlerine erişebiliyor mu?
  • Model karantina ortamında davranış analizi gördü mü?
  • Aynı artefact hangi servislerde kullanılıyor?

Ne Zaman Profesyonel Destek Gerekir?

Dış model dosyası kullanılıyorsa, model registry üretime bağlıysa veya inference ortamı hassas credential taşıyorsa profesyonel model security review gerekir.

Eresus Yaklaşımı

Eresus Security bulguları yalnızca başlık olarak raporlamaz. Her bulgu için tekrar üretilebilir kanıt, iş etkisi, önerilen düzeltme, sorumlu ekip ve retest koşulu yazılır.

Eresus uzmanları, model dosyalarını yalnızca imza veya hash açısından değil; yükleme davranışı, unsafe deserialization, runtime izolasyonu ve tedarik zinciri kanıtı açısından inceler.

Uygulama Planı

1. Kapsamı Netleştir

  • Etkilenen varlıkları, kullanıcı rollerini ve veri sınıflarını çıkarın.
  • Normal kullanıcı akışıyla saldırgan akışını ayrı ayrı yazın.
  • Hariç tutulan sistemleri ve test sınırlarını açıkça belirtin.

2. Kanıt Üret

  • Bulguyu tek ekran görüntüsüne değil, tekrar üretilebilir adımlara bağlayın.
  • Etkiyi teknik hata ve iş sonucu olarak ayrı açıklayın.
  • Log, request ID, test hesabı ve zaman bilgisini not edin.

3. Retest Kriterini Belirle

  • Düzeltmenin ne zaman tamam sayılacağını önceden yazın.
  • Aynı sınıf hatanın başka endpoint veya akışlarda olup olmadığını kontrol edin.
  • Bulguyu kapatmadan önce negatif test senaryosunu yeniden çalıştırın.

Sık Sorulan Sorular

TorchScript Modellerinde Dosya Okuma Anında Şüpheli Rastgele Kod Çalıştırma Tahmini için ilk adım nedir?

İlk adım sistemin hangi veriye, hangi kimlikle ve hangi iş akışı üzerinden eriştiğini çıkarmaktır. Araç seçimi bundan sonra anlamlı hale gelir.

Otomatik araçlar bu riski tamamen yakalar mı?

Hayır. Otomatik araçlar başlangıç için faydalıdır, fakat yetki sınırı, iş mantığı, zincirleme etki ve gerçek istismar kanıtı manuel analiz gerektirir.

Bu çalışma çıktısı nasıl aksiyona dönüşür?

Her bulgu bir remediation sahibi, öncelik, iş etkisi ve retest kriteriyle yazıldığında doğrudan güvenlik backlog’una veya sprint planına girebilir.

Eresus bu konuda nasıl destek olur?

Eresus Security kapsam çıkarma, teknik test, kanıt üretimi, remediation danışmanlığı ve retest aşamalarını tek çalışma akışında destekler.

  • Yazı ilgili hub sayfasına bağlanmalı ve okuyucuya bir sonraki teknik adımı göstermelidir.
  • Aynı pillar içindeki en az iki destekleyici bloga bağlantı verilmelidir.
  • Hizmet CTA’sı genel iletişim çağrısı gibi değil, okuyucunun karar anına uygun şekilde yazılmalıdır.
  • Raporlama dili teknik kanıt, iş etkisi ve düzeltme önceliğini aynı yerde göstermelidir.

Retest Kapanış Kriteri

Bir bulgu yalnızca düzeltme yapıldı diye kapanmış sayılmaz. Aynı saldırı adımı tekrar denendiğinde başarısız olmalı, loglarda beklenen kayıt oluşmalı ve benzer akışlarda aynı sınıf hata bulunmamalıdır. Bu yaklaşım içeriği sadece bilgilendirici olmaktan çıkarıp uygulamaya dönük hale getirir.

  • Bu kontrol, karar vericinin sadece riski anlamasını değil, sonraki güvenlik adımını netleştirmesini sağlar.

İlgili Araştırmalar

AI Security

AI Model Dosyalarında Backdoor Riski

Pickle, PyTorch, ONNX, Keras ve GGUF model dosyalarında backdoor riskinin neden klasik dosya taramasından daha derin olduğunu inceliyoruz.

AI Security

Backdoored LLM Tespiti Nasıl Yapılır?

Arka kapılı dil modellerini ölçekli test etmek için trigger arama, davranış farkı analizi ve model intake kontrollerini inceliyoruz.