Prompt Security Neden Yetmez?
Prompt security tek başına yeterli değildir çünkü modern AI sistemleri sadece metin üretmez; veri getirir, tool çağırır, memory yazar ve API aksiyonu alır. Prompt filtresi modelin cevabını sınırlamaya çalışır, fakat agentin hangi veriye eriştiğini, hangi token ile işlem yaptığını veya hangi tool’u çağırdığını garanti etmez. Güvenli AI mimarisi prompt güvenliğini; kimlik, yetkilendirme, retrieval izolasyonu, tool permission, logging ve runtime enforcement ile tamamlamalıdır.
Temel Değerlendirme
Prompt güvenliği iyi bir kapıdır, ama bina değildir. Jailbreak ve prompt injection risklerini azaltır; fakat RAG veri sızıntısı, tool abuse, MCP yetki hataları, fazla geniş API token’ları ve memory zehirlenmesi gibi riskleri tek başına çözemez.
Prompt Security Ne İşe Yarar?
Prompt security şu alanlarda değerlidir:
- Zararlı kullanıcı talimatlarını sınıflandırma.
- Sistem prompt’unun sızmasını zorlaştırma.
- Hassas veri üretimini azaltma.
- Jailbreak denemelerini yakalama.
- Uygunsuz içerik veya politika dışı cevapları sınırlama.
Bu kontroller gereklidir.
Sorun, bunların bütün AI güvenliği gibi sunulmasıdır.
Nerede Yetersiz Kalır?
RAG ve Veri Yetkisi
RAG sistemlerinde risk, modelin ne söylediğinden önce hangi dokümanı gördüğüdür.
Kullanıcının erişmemesi gereken bir doküman retrieval sonucuna girerse, prompt filtresi bu hatayı her zaman yakalayamaz.
Asıl kontrol retrieval katmanında permission-aware index ve object-level authorization olmalıdır.
Tool Abuse
Bir agent “müşteri kaydını güncelle” tool’una erişebiliyorsa, risk artık metin değildir.
Tool çağrısının:
- Hangi kullanıcı adına yapıldığı,
- Hangi parametreleri kabul ettiği,
- Hangi onay adımına bağlı olduğu,
- Hangi logla doğrulandığı
ayrı ayrı test edilmelidir.
MCP ve Plugin Ekosistemi
MCP veya plugin tabanlı mimariler agentlere yeni yetenek verir.
Ama her yeni tool aynı zamanda yeni attack surface demektir.
Prompt filtresi tool sunucusunun yetki modelini, input doğrulamasını veya ağ erişimini güvenceye almaz.
Memory Zehirlenmesi
Agent kalıcı memory kullanıyorsa saldırgan bir oturumda bıraktığı talimatın sonraki oturumları etkilemesini deneyebilir.
Bu durumda güvenlik sadece anlık prompt kontrolü değil, memory yazma/silme politikasını da kapsar.
Karar Tablosu
| Risk | Prompt filtresi yardımcı olur mu? | Ek kontrol gerekir mi? | | --- | --- | --- | | Jailbreak | Evet | Evet, red team testi | | Sistem prompt sızıntısı | Kısmen | Evet, veri minimizasyonu | | RAG yetki hatası | Kısmen | Evet, permission-aware retrieval | | Tool abuse | Kısmen | Evet, runtime policy | | MCP server riski | Hayır veya sınırlı | Evet, tool security review | | Memory poisoning | Kısmen | Evet, memory lifecycle kontrolü |
Pratik Örnek
Bir satış destek agenti, CRM’den müşteri bilgisi okuyabiliyor ve teklif e-postası hazırlıyor olsun.
Prompt filtresi saldırganın açık talimatlarını engelleyebilir.
Ama agentin CRM token’ı tüm müşterilere erişiyorsa, düşük yetkili kullanıcı kendi hesabı dışındaki kayıtlara dolaylı erişim sağlayabilir.
Bu bir prompt problemi değil, authorization problemidir.
Yanlış Bilinenler
“Model güçlü olursa güvenlik sorunu azalır”
Daha güçlü model daha iyi akıl yürütebilir.
Ama fazla yetkili tool ve zayıf veri sınırı varsa güçlü model de yanlış aksiyon alabilir.
“Sistem prompt’u gizli tutmak yeter”
Sistem prompt önemlidir ama güvenlik garantisi değildir.
Gerçek güvenlik veriye ve aksiyona erişim sınırlarında kurulur.
“AI güvenliği sadece jailbreak testidir”
Jailbreak testleri resmin bir parçasıdır.
Kurumsal risk çoğu zaman RAG, tool, identity, logging ve incident response tarafında oluşur.
Profesyonel Destek Eşiği
AI sisteminiz sadece cevap üretmiyor, veri getiriyor veya aksiyon alıyorsa profesyonel değerlendirme gerekir.
Özellikle şu durumlarda:
- RAG içinde müşteri veya çalışan verisi var.
- Agent production tool kullanıyor.
- MCP, plugin veya özel API entegrasyonu var.
- Kullanıcı rolleri modele güvenilerek ayrıştırılıyor.
- Prompt testleri dışında kanıtlı güvenlik değerlendirmesi yapılmadı.
Eresus CTA
Eresus Security, prompt güvenliğini runtime, retrieval ve API yetki modeliyle birlikte değerlendirir. AI uygulamanız yayına çıkmadan önce prompt filter’ın ötesinde hangi aksiyonların gerçekten mümkün olduğunu proof-driven test edebiliriz.
SSS
Prompt security tamamen gereksiz mi?
Hayır. Prompt security gereklidir ama tek katman değildir. En iyi sonuç, prompt kontrolleriyle teknik yetki ve veri sınırlarının birlikte kurulmasıyla alınır.
Guardrail ürünleri yeterli olur mu?
Guardrail ürünleri yardımcı olur; ancak kurumunuza özel tool, RAG, identity ve API akışları manuel değerlendirme ister.
İlk test nereden başlamalı?
AI sisteminin veri kaynakları, tool listesi, kullanıcı rolleri ve token kapsamı çıkarılmalıdır. Sonra bu sınırlar saldırgan senaryolarıyla doğrulanmalıdır.
Ek Kontrol Soruları
- Bu risk hangi varlıkları etkiliyor?
- Hangi kullanıcı rolleri bu akışa erişebiliyor?
- Aynı sorun başka endpoint veya entegrasyonda tekrar ediyor mu?
- Bulgunun müşteri verisine etkisi var mı?
- Loglardan olayın izi sürülebiliyor mu?
- Düzeltme sonrası retest nasıl yapılacak?
- Geçici önlem ile kalıcı çözüm ayrıldı mı?
- İş etkisi teknik ekibin dışında da anlaşılır mı?
- Benzer hata için önleyici kontrol eklenebilir mi?
- Ekip bu kontrolü release sürecine bağlayabilir mi?
- Gerekirse bağımsız doğrulama için hangi kanıtlar hazırlanmalı?
- Sonraki sprintte hangi iç bağlantı ve servis sayfası desteklemeli?
İlgili Araştırmalar
AI Agent Runtime Security Nedir?
AI agent runtime security, agentlerin production sırasında tool, memory, retrieval ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.
AI SecurityLLM Pentest ile Web Pentest Arasındaki Fark
LLM, RAG ve agent sistemleri için güvenlik testi klasik web pentestten nasıl ayrılır; hangi durumda hangisine ihtiyaç duyulur?
AI SecurityKVKK ve GDPR Kapsamında RAG Modelleri: Yapay Zekada Veri Mahremiyeti Çıkmazı
Şirket içi RAG (Retrieval-Augmented Generation) mimarilerinde KVKK ve GDPR uyumluluğu nasıl sağlanır? LLM tabanlı sistemlerde 'Unutulma Hakkı' ve veri...