Kavramlar
Sentinel dokümantasyonu kural kimliği, kanıt, öncelik ve düzeltme akışını aynı zihinsel modele bağlar.
Sentinel kavram modeli; bulgu, kanıt, öncelik, sorumlu, yayın kararı ve kapanış kanıtı alanlarını tek bir operasyonel risk kaydı gibi ele alır.
Bulgu nedir?
Bulgu, Sentinel’in bir dosya, istem, manifest, bağımlılık veya çalışma zamanı ayarında yakaladığı doğrulanabilir sinyaldir. Bulgu tek başına her zaman istismar değildir; öncelik ve kanıtla birlikte yorumlanır.
Kanıt modeli
- Kural kimliği — aynı bulgunun raporda, CI’da ve yeniden testte takip edilmesini sağlar.
- Kanıt — opcode, regex, AST düğümü, manifest alanı veya üst veri ipucunu gösterir.
- Düzeltme ipucu — geliştiriciye uygulanabilir ilk düzeltme yönünü verir.
Risk taksonomisi
Sentinel bulguları üç seviyede okunur: dosya veya kod sinyali, AI/LLM saldırı yüzeyi ve iş etkisi. Örneğin unsafe pickle önce dosya formatı riskidir, sonra tedarik zinciri riskidir, en sonunda model yükleyen runner üzerinde kod çalıştırma etkisine bağlanır.
- Dosya veya kod sinyali: tarayıcı ne gördü?
- Saldırı yüzeyi: model, istem, ajan, ağ, konteyner veya gizli bilgi mi?
- İş etkisi: veri sızıntısı, kod çalıştırma, maliyet patlaması veya yayın güveni mi?
- Kapanış kanıtı: aynı komutla temiz çıktı alınabiliyor mu?
Yayın kararı
CRITICAL ve HIGH bulgular genellikle üretime çıkışı durdurur. MEDIUM bulgular sahip atanarak takip edilir. LOW ve INFO bulgular hijyen, envanter ve politika ayarı için kullanılır.
OWASP AI Exchange tehdit taksonomisi
OWASP AI Exchange, yapay zeka sistemlerine yönelik tehditleri üç kategoride sınıflandırır. Her Sentinel modülü bu kategorilerden birine veya birkaçına doğrudan haritalar.
- Kullanım yoluyla gelen tehditler — Prompt Firewall, Runtime Gateway ve MCP/Agent Security tarafından ele alınır. İstem enjeksiyonu, dolaylı enjeksiyon ve meşru araçların saldırgan amaçla kullanılması bu kategoriye girer.
- Geliştirme zamanı tehditleri — HuggingFace Guard ve Tedarik Zinciri/AIBOM tarafından ele alınır. Model zehirlenmesi, sahte checkpoint dosyaları, zehirlenmiş eğitim verisi ve bağımlılık zafiyetleri bu kategoriye girer.
- Çalışma zamanı tehditleri — API/Panel ve Runtime Gateway tarafından ele alınır. Kimlik doğrulama sorunları, oran sınırı atlatma, yetkisiz erişim ve günlük manipülasyonu bu kategoriye girer.
Kırmızı Takım/Değerlendirmeler modülü tüm üç kategoriye yönelik koşullandırılmış deneme kümesi çalıştırabilir ve OWASP LLM Top 10 2025 kategorileriyle çapraz eşleştirebilir.
Ajan tabanlı yapay zeka güvenliği
Araç kullanan ve çok adımlı karar veren ajanlarda risk yalnızca model cevabı değildir; hedefin değişmesi, araçların kötüye kullanılması, kimlik kapsamının aşılması, bellek zehirlenmesi ve ajanlar arası güven hatası da yayın kararını etkiler. Sentinel MCP/Agent Security modülü bu yüzeylerde doğrulanabilir kanıt üretir.
- ASI01 — Agent Goal Hijack: ajanın hedefi veya aksiyon yolu saldırgan içerikle değişir
- ASI02 — Tool Misuse and Exploitation: meşru araçlar zararlı veya beklenmeyen aksiyon için kullanılır
- ASI03 — Identity and Privilege Abuse: ajan kimliği ve devralınan izinler beklenen kapsamı aşar
- ASI04 — Agentic Supply Chain Vulnerabilities: MCP sunucusu, araç, istem veya bağımlılık zehirlenir ya da değiştirilir
- ASI05–ASI10 — Beklenmeyen kod çalıştırma, bellek ve bağlam zehirlenmesi, ajanlar arası güvensiz iletişim, zincirleme hata, insan güveninin kötüye kullanılması ve sınır dışına çıkan ajan davranışı
AppSec kanıtı nasıl okunmalı?
Sentinel dokümanlarında amaç, güvenlik kısaltmalarını yan yana dizmek değil, ekiplerin hangi kanıtla karar vereceğini göstermektir. Kaynak kod, çalışan uygulama, bağımlılık, gizli bilgi ve altyapı bulguları aynı yayın kararına bağlandığında gürültü azalır.
| Kontrol alanı | Sentinel kanıtı | Yayın kararı |
|---|---|---|
| Kaynak kod analizi | AST düğümü, veri akışı, tehlikeli kullanım ve gizli bilgi izi | Kod sahibi ve düzeltme PR’ı olmadan yüksek risk kapatılmaz. |
| Çalışan uygulama testi | HTTP isteği/yanıtı, rol veya tenant senaryosu ve çalışma zamanı günlüğü | İstismar etkisi doğrulanırsa yayın durur. |
| Bağımlılık ve paket incelemesi | Paket adı, sürüm, CVE/OSV kaydı ve kullanım noktası | Üretim yolundaki kritik paket için yükseltme veya açık istisna gerekir. |
| Gizli bilgi taraması | Anahtar deseni, dosya yolu, commit veya artifact kaynağı | Anahtar döndürülmeden ve erişim kapsamı incelenmeden bulgu kapanmaz. |
| IaC ve container incelemesi | Manifest alanı, imaj digest’i, izin ve ağ açıklığı | Production maruziyeti varsa yayın kapısına girer. |
Yönetişim çerçeveleri
Sentinel bulguları birden fazla yapay zeka yönetişim ve güvenlik çerçevesiyle hizalanır. Tablodaki her çerçeve, bulgu meta verisi aracılığıyla uyumluluk takibi için kullanılabilir.
- OWASP LLM Top 10 2025 — Sentinel kural kimliği SARIF çıktısında LLM kategorisiyle eşleşir; ekip hangi AI risk sınıfıyla uğraştığını hızlı görür.
- MITRE ATLAS — Adversarial ML tehdit matrisi; taktik ve teknik kimlikler (AML.T*, AML.M*) kanıt bağlamında görünür
- OWASP AI Exchange — Çalışma zamanı ve geliştirme zamanı tehditleri için kapsamlı kontrol kataloğu; Runtime Gateway ve HuggingFace Guard açıkça haritalanır
- NIST AI RMF — Yönetişim, yönetme, ölçme ve azaltma işlevleri; Sentinel bulguları ölçme ve azaltma akışlarını destekler
- ISO/IEC 42001 — AI yönetim sistemi standardı; Sentinel AIBOM çıktısı ISO 42001 tedarik zinciri kanıt gereksinimlerini destekler