OWASP LLM
Sentinel bulguları, OWASP Top 10 for LLM Applications v2025 risk diliyle incelenip önceliklendirilebilir. Bu sayfa, kural kimliklerini yönetim, AppSec ve mühendislik ekiplerinin ortak anlayacağı risk başlıklarına bağlar.
OWASP LLM eşlemesi, Sentinel kural kimliklerini LLM01-LLM10 risk diliyle bağlayarak yönetici özeti, uyumluluk raporu ve mühendislik iş kaydı arasında ortak risk sözlüğü oluşturur.
Haritalama
| OWASP | Risk | Sentinel kapsamı |
|---|---|---|
| LLM01:2025 | İstem enjeksiyonu (Prompt Injection) | İstem güvenlik duvarı, Jinja2 şablonları, GGUF sohbet şablonları |
| LLM02:2025 | Hassas bilgi ifşası (Sensitive Information Disclosure) | Gizli bilgiler, çıkış güvenlik duvarı, RAG test verileri, loglar |
| LLM03:2025 | Tedarik zinciri (Supply Chain) | Model dosyası tarayıcıları, HuggingFace kabul kontrolü, OCI, CVE, manifestler |
| LLM04:2025 | Veri ve model zehirleme (Data and Model Poisoning) | Model kaynak geçmişi, manifest bütünlüğü, şüpheli üst veri |
| LLM05:2025 | Hatalı çıktı işleme (Improper Output Handling) | Çıkış güvenlik duvarı, şablon işleme, sonraki kod yolları |
| LLM06:2025 | Aşırı ajan yetkisi (Excessive Agency) | MCP izinleri, araç manifestleri, ağ çıkışı |
| LLM07:2025 | Sistem istemi sızıntısı (System Prompt Leakage) | İstem test verileri, şablonda gizli bilgi ifşası, çıkış koruma kuralları |
| LLM08:2025 | Vektör ve embedding zayıflıkları (Vector and Embedding Weaknesses) | RAG bağlam sızıntısı, zehirlenmiş belgeler, getirme sınırları |
| LLM09:2025 | Yanlış bilgi üretimi (Misinformation) | Değerlendirme kanıtı, model kaynak geçmişi, rapor inceleme akışı |
| LLM10:2025 | Sınırsız kaynak tüketimi (Unbounded Consumption) | Boyut sınırları, arşiv açılma oranı, tensor boyutları, model kaynak tüketimi saldırıları |
Kaynak: OWASP Top 10 for LLM Applications v2025.
İş akışı
Uyumluluk kontrolü tek başına pentest değildir; fakat hangi AI risk sınıfının hangi teknik bulguyla desteklendiğini gösterir. Yönetici özetinde OWASP başlığını, teknik ekte Sentinel kural kimliğini kullanın.
sentinel compliance check . --framework owasp-llmKapsam sınırları
Sentinel statik sinyalleri, model dosyası güvenliğini, istem/ajan kontrollerini ve CI kanıtını güçlendirir. Canlı istismar zinciri, iş mantığı suistimali veya insan onay akışı gibi konular için manuel güvenlik doğrulaması gerekir.
Eresus desteği
Bulguyu rapora değil, kapatılabilir aksiyona çevirin.
OWASP LLM ve AI güvenlik uyumluluğu için exploit kanıtı, önceliklendirme, düzeltme yönü ve yeniden test akışı gerekiyorsa Eresus ekibi kapsamı birlikte çıkarabilir.
Güvenlik Testi Başlat