Eresus’un araştırma, güvenlik bülteni ve güvenlik gündemi akışı
AI güvenliği, MCP ekosistemi, uygulama güvenliği ve gerçek saldırı zincirleri etrafında üretilen yazıları, güvenlik bültenlerini ve gündem analizlerini burada topluyoruz.
Son Yazılar
LiteRT Sınır Dışı Yazma-Okuma (Out-of-bounds Heap Corruption) Zafiyeti
Mobil ve IoT platformlarına yüklenen (.tflite) modelleri içerisinde matematik dizilimleri ve boyut parametrelerini bozarak yerel hafızaya taşma yaptıran...
Keras Model Lambda Katmanında Şüpheli Operatör Saptandı
Model yüklenirken Lambda katmanından çıkan ve yapay zeka operasyonlarıyla çelişen dış bağlantılı şüpheli motor komutlarının (suspicious operator) tespit...
Keras Özel Nesne Hırsızlığı ve Yapısal DoS Bozulmaları
.h5 veya .keras uzantılı görünüşte masum modellerin ince yapısal katman detaylarıyla oynayıp, sisteminizi kitlenmeye (OOM) ve kod felcine sürükleyen...
Keras HDF5 'Lambda Layer' İzinsiz Kod Çalıştırma (RCE) Zafiyeti
Eski nesil (.h5 / .hdf5) Keras modellerinin içine kodlanmış kancaları (Lambda layer) okutarak makinede Python komutu işleten sömürü dizgeleri.
Joblib Model Yükleme Aşamasında Şüpheli Kod Blokları Saptandı
Joblib model yüklenmesi sırasında potansiyel olarak gizlenmiş deserialization tehditleri taşıyabilecek yüksek riskli şüpheli çalıştırılabilir komut...
Joblib / Scikit-Learn Rastgele Kod Çalıştırma (ACE) Zafiyeti
Scikit-Learn makine öğrenimi modellerini depolamak için kullanılan Joblib arayüzü üstünden yürütülen siber komut sömürü (Deserialization) teşebbüsleri.
GGUF Metadata Bellek Bozulması Zafiyeti (Llama.cpp Buffer Overflow)
GGUF modellerinin meta verilerini (metadata) kasıtlı manipüle edip Llama.cpp gibi C++ okuyucularının belleğini taşırarak sisteme sızan yıkıcı sömürü...
Ortam Değişkenleri ve Kütüphane Yollarını Ezme Zafiyeti (Extraction-Triggered Overwrite)
Model arşivinin klasöre çıkarılırken kritik ortam çalışma dosyalarının üstüne (kütüphane ezmesi) yazıp uygulamanın temel işleyişini fidye kodlarıyla...
Model Yapılandırma Formatlarıyla Rastgele Kod Çağrıları (Config Executable Targets)
Model arşivinin içine yerleştirilmiş konfigürasyon (düzenleme) nesnelerini taklit ederek siber sisteminizin yönetiminde Rastgele Kod (RCE) okutan...