Giriş
Sentinel, AI/LLM uygulamaları ve model tedarik zinciri için CLI-first güvenlik tarayıcısıdır. Bu dokümanlar Sentinel bulgularının neyi yakaladığını, neden önemli olduğunu ve nasıl düzeltileceğini açıklar.
Eresus Sentinel; model dosyası, istem, ajan, MCP, konteyner, gizli bilgi ve AI tedarik zinciri risklerini kural kimliği, öncelik, CWE, OWASP LLM ve yeniden test komutuyla raporlayan CLI odaklı güvenlik platformudur.
Amaç, AI güvenliği dokümanını pazarlama metni olmaktan çıkarıp günlük mühendislik kararlarında kullanılabilecek bir referansa çevirmektir: hangi dosya risklidir, hangi bulgu yayını durdurur, hangi komutla tekrar test edilir?
Sentinel ile şunları yapabilirsiniz:
- Model dosyası risklerini bulun — pickle, PyTorch, ONNX, GGUF, safetensors ve sıkıştırılmış paketler.
- İstem ve şablon güvenliğini test edin — istem enjeksiyonu, güvensiz Jinja2, RAG sızıntısı ve koruma atlatma kalıpları.
- Ajan ve MCP yüzeylerini doğrulayın — manifest dosyaları, izinler, araç sınırları ve ağ maruziyeti.
- CI/CD içinde raporlayın — JSON, SARIF, JUnit, CSV, HTML ve Markdown çıktıları.
Kimler kullanır?
Sentinel tek bir kişi türü için değil; model dosyasını indiren geliştirici, yayın kapısı kuran platform ekibi, LLM uygulamasını test eden güvenlik araştırmacısı ve risk dilini yönetime anlatan güvenlik lideri için aynı bulgu kimliğini kullanır.
| Ekip | Soru | Sentinel çıktısı |
|---|---|---|
| AI / ML | Bu model dosyası güvenle yüklenir mi? | Dosya bulguları, AIBOM, hash ve kaynak notları |
| AppSec | İstem, RAG veya ajan akışı veri sızdırır mı? | Firewall, Jinja2, gizli bilgi ve ağ bulguları |
| Platform | Bu yayın durmalı mı, iş kaydı mı açılmalı? | SARIF/JUnit, öncelik ve yayın kapısı politikası |
Sentinel hangi yüzeyleri kapsar?
- Dosya taraması — model dosyaları, arşivler ve model üst verisi.
- SAST — Python ve çok dilli kodda AI/ML kötü örüntü kontrolleri.
- Prompt Firewall — istem enjeksiyonu, koruma atlatma ve çıktı koruma kontrolleri.
- Tedarik zinciri — bağımlılık, HuggingFace deposu ve model kaynağı kontrolleri.
AI güvenliği kaynak haritasında Sentinel nereye oturur?
Awesome AI Security listelerinde öne çıkan başlıklar; yönetişim, saldırı teknikleri, kırmızı takım testleri, MCP güvenliği, model dosyası taraması, koruma kuralları, gizlilik ve tedarik zinciri kontrolleridir. Sentinel dokümanları bu haritada özellikle uygulanabilir teknik kanıta odaklanır: dosyayı tara, bulguyu kural kimliğiyle kapat, CI/CD’de tekrar üret ve risk kararını OWASP LLM/CWE diliyle anlat.
- ottosulin/awesome-ai-security
- TalEliyahu/Awesome-AI-Security
- AISecHub Awesome AI Security
- Awesome AI for Security
- Floating Pragma Awesome AI Security
Çıktılar nasıl kullanılır?
Yerel incelemede okunabilir tablo, CI/CD’de SARIF veya JUnit, güvenlik raporunda Markdown/HTML kullanılır. Böylece aynı bulgu hem geliştiriciye hem güvenlik ekibine aynı kimlikle gider.
Önerilen çalışma modeli
- Önce küçük ve bilinen bir model klasörünü tarayın; tarayıcı davranışını ekipçe görün.
- Kural kimliği ve öncelik değerlerini yayın politikanıza bağlayın.
- CRITICAL/HIGH bulgular için düzeltme ve yeniden test komutunu rapora ekleyin.
- Bulguları OWASP LLM, CWE ve iç risk diliyle eşleyin.
- Kurulum — Sentinel’i yerel ortamda hazırlayın.
- Kural Rehberi — tüm Sentinel kural kategorileri.
- Prompt Firewall — istem, şablon ve araç çağrısı sınırlarını test edin.
- MCP / Ajan Güvenliği — ajan araç izinleri ve MCP yüzeyleri.
- Öncelik Rehberi — bulguların nasıl önceliklendirileceği.
- CWE Eşlemesi — CWE’den Sentinel kurallarına çapraz tablo.
CLI
En kısa akış tek dosya taramasıyla başlar, sonra proje veya CI çıktısına genişler.
sentinel artifact model.pt
sentinel artifact ./models/ -f sarif -o report.sarif
sentinel scan ./project/Sık sorular
Sentinel bir pentest yerine geçer mi?
Hayır. Sentinel tekrar üretilebilir teknik sinyalleri yakalar; canlı istismar zinciri, iş mantığı suistimali ve risk kabul görüşmesi için manuel güvenlik doğrulaması gerekir.
Sentinel hangi arama niyetine cevap verir?
AI güvenlik tarayıcısı, LLM güvenlik tarayıcısı, istem enjeksiyonu güvenlik duvarı, model dosyası tarayıcısı, MCP güvenlik tarayıcısı ve AI tedarik zinciri güvenliği arayan ekipler için teknik referans sağlar.
İlk gün hangi komut çalıştırılmalı?
Küçük bir model klasörüyle başlayın: `sentinel artifact ./models/`. Ardından `sentinel scan ./project/` ve SARIF çıktısını CI’a taşıyın.
Bulgular müşteriye nasıl anlatılır?
Yönetici özeti OWASP LLM ve iş etkisiyle yazılır; teknik ekte Sentinel kural kimliği, CWE, kanıt, düzeltme ipucu ve yeniden test komutu yer alır.
Eresus desteği
Bulguyu rapora değil, kapatılabilir aksiyona çevirin.
AI/LLM güvenlik programı için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.
Güvenlik Testi Başlat