Network Kuralları
Model, ajan veya çalışma zamanı bileşenlerinde beklenmeyen ağ erişimi ve dış bağlantı izlerini tespit eder.
Ağ kural ailesi; bu yüzeydeki bulguları kural kimliği, öncelik, CWE, OWASP LLM, sorumlu, yayın kararı ve yeniden test komutuyla kapatılabilir aksiyona çevirir.
AI sistemleri veri, istem ve gizli bilgi taşıdığı için beklenmeyen ağ çıkışı veri sızıntısına veya komut-kontrol kanalına dönüşebilir.
Desteklenen girdiler
YAMLJSONPythonTypeScriptnotebooksmodel cards
Tipik saldırı senaryoları
- Model yükleme akışı dış domaine telemetry gönderir.
- Ajan aracı izin dışı URL’ye veri taşır.
- Çalışma zamanı kodu gizli uç nokta veya webhook içerir.
Algılama mantığı
Sentinel Ağ kurallarında kanıt alanını dosya yolu, üst veri, opcode, AST düğümü, manifest alanı, bağımlılık veya arşiv girdisi gibi yeniden üretilebilir sinyale bağlar. Bulgu kapatılırken aynı sinyal ortadan kalkmalıdır.
İnceleme ve önceliklendirme
Ağ bulgularını tek başına "tarayıcı gürültüsü" gibi okumayın. Önce kanıtı doğrulayın, sonra yayın kararını önceliğe bağlayın, en sonunda aynı Sentinel komutuyla kapanış kanıtı üretin.
- Kaynak: dosya, manifest, istem, arşiv veya bağımlılık nereden geldi?
- Etki: kod çalıştırma, veri sızıntısı, tedarik zinciri veya kaynak tüketimi mi?
- Kontrol: izin listesi, hash doğrulaması, yalıtım, ağ çıkış politikası veya gizli bilgi döndürme gerekiyor mu?
- Kanıt: düzeltmeden sonra aynı kural kategorisi temiz dönüyor mu?
Düzeltme
Düzeltme, yalnızca bulguyu susturmak değil risk sınırını değiştirmek anlamına gelmelidir: çalıştırılabilir biçimi kaldırın, kaynak veya hash değerini sabitleyin, araç iznini daraltın, gizli bilgiyi döndürün ya da çalışma zamanı yalıtımı ekleyin.
CI politikası
category: NET
fail_on:
- CRITICAL
- HIGH
ticket_on:
- MEDIUM
retest: "sentinel scan ./project/"Kural dizini
| Kural kimliği | Öncelik | Başlık | CWE | Düzeltme ipucu |
|---|---|---|---|---|
| NET-METADATA-ENDPOINT | HIGH | Bulut Üst Veri Uç Noktasına Erişim | CWE-918 | Model ve ajan çalışma zamanı ortamlarından üst veri servisi erişimini kapatın. |
| NET-PRIVATE-RANGE-EGRESS | MEDIUM | Özel Ağ Aralığına Çıkış | CWE-200 | Ajan ağ erişimini onaylı hostlarla sınırlandırın. |
| NET-UNPINNED-MODEL-URL | MEDIUM | Sabitlenmemiş Uzak Model URL’i | CWE-494 | Yalnızca hash ile doğrulanmış model dosyalarını indirin. |
NET-METADATA-ENDPOINT — Bulut Üst Veri Uç Noktasına Erişim
HIGH| Kural kimliği | NET-METADATA-ENDPOINT |
|---|---|
| Kategori | NET |
| Öncelik | HIGH |
| CWE | CWE-918 |
| OWASP LLM | LLM06 — Excessive Agency, LLM02 — Sensitive Information Disclosure |
| Yanlış pozitif riski | LOW |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir. |
Açıklama
Kod veya araç yapılandırmasının bulut instance üst veri uç noktalarına erişebildiğini tespit eder.
Neden önemli?
AI sistemleri veri, istem ve gizli bilgi taşıdığı için beklenmeyen ağ çıkışı veri sızıntısına veya komut-kontrol kanalına dönüşebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Ağ kategorisinde şu kanıtı gördüğünde tetikler: 169.254.169.254, metadata.google.internal veya eşdeğer üst veri uç noktası hedeflenir. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
169.254.169.254, metadata.google.internal veya eşdeğer üst veri uç noktası hedeflenir.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı düşüktür. Kanıt doğrudan dosya, opcode, gizli bilgi örüntüsü, yol veya manifest alanına bağlanıyorsa bulguyu gerçek kabul edip kapanış kanıtı isteyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
- Kanıt: 169.254.169.254, metadata.google.internal veya eşdeğer üst veri uç noktası hedeflenir.
- Kapanış: sentinel scan ./project/ komutu temiz dönmeli.
Nasıl düzeltilir?
Model ve ajan çalışma zamanı ortamlarında üst veri servisine erişimi engelleyin, ağ çıkışını izin listesiyle sınırlayın.
CLI
sentinel scan ./project/Politika örneği
rules:
NET-METADATA-ENDPOINT:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel scan ./project/"Beklenen çıktı
NET-METADATA-ENDPOINT HIGH
Bulut Üst Veri Uç Noktasına Erişim
Model ve ajan çalışma zamanı ortamlarından üst veri servisi erişimini kapatın.Örnek
requests.get("http://169.254.169.254/latest/meta-data/iam/security-credentials/")# Egress allowlist
allowed_hosts = ["api.vendor.example"]İlgili kurallar
- NET-PRIVATE-RANGE-EGRESS: Özel Ağ Aralığına Çıkış
- NET-UNPINNED-MODEL-URL: Sabitlenmemiş Uzak Model URL’i
NET-PRIVATE-RANGE-EGRESS — Özel Ağ Aralığına Çıkış
MEDIUM| Kural kimliği | NET-PRIVATE-RANGE-EGRESS |
|---|---|
| Kategori | NET |
| Öncelik | MEDIUM |
| CWE | CWE-200 |
| OWASP LLM | LLM06 — Excessive Agency |
| Yanlış pozitif riski | MEDIUM |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin. |
Açıklama
Ajan veya tarayıcı yapılandırmalarının iç RFC1918 ağlarına ya da localhost hedeflerine erişebildiğini bulur.
Neden önemli?
AI sistemleri veri, istem ve gizli bilgi taşıdığı için beklenmeyen ağ çıkışı veri sızıntısına veya komut-kontrol kanalına dönüşebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Ağ kategorisinde şu kanıtı gördüğünde tetikler: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 veya localhost hedefleri izin dışı görünür. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 veya localhost hedefleri izin dışı görünür.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.
- Kanıt: 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 veya localhost hedefleri izin dışı görünür.
- Kapanış: sentinel scan ./project/ komutu temiz dönmeli.
Nasıl düzeltilir?
Ajan ağ erişimini onaylı host listesiyle sınırlayın ve iç servis erişimi için ayrı onay akışı kullanın.
CLI
sentinel scan ./project/Politika örneği
rules:
NET-PRIVATE-RANGE-EGRESS:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel scan ./project/"Beklenen çıktı
NET-PRIVATE-RANGE-EGRESS MEDIUM
Özel Ağ Aralığına Çıkış
Ajan ağ erişimini onaylı hostlarla sınırlandırın.Örnek
requests.get("http://169.254.169.254/latest/meta-data/iam/security-credentials/")# Egress allowlist
allowed_hosts = ["api.vendor.example"]İlgili kurallar
- NET-METADATA-ENDPOINT: Bulut Üst Veri Uç Noktasına Erişim
- NET-UNPINNED-MODEL-URL: Sabitlenmemiş Uzak Model URL’i
NET-UNPINNED-MODEL-URL — Sabitlenmemiş Uzak Model URL’i
MEDIUM| Kural kimliği | NET-UNPINNED-MODEL-URL |
|---|---|
| Kategori | NET |
| Öncelik | MEDIUM |
| CWE | CWE-494 |
| OWASP LLM | LLM03 — Supply Chain |
| Yanlış pozitif riski | MEDIUM |
| Sorumlu | Uygulama güvenliği ve arka uç/ajan sahibi |
| Yayın kararı | Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin. |
Açıklama
Hash doğrulaması veya sürüm sabitlemesi olmadan uzak model indiren URL kullanımlarını tespit eder.
Neden önemli?
AI sistemleri veri, istem ve gizli bilgi taşıdığı için beklenmeyen ağ çıkışı veri sızıntısına veya komut-kontrol kanalına dönüşebilir.
Ne zaman tetiklenir?
Sentinel bu kuralı Ağ kategorisinde şu kanıtı gördüğünde tetikler: Model URL’i commit, digest, sağlama toplamı veya imzalı manifest olmadan kullanılır. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.
Kanıt biçimi
Model URL’i commit, digest, sağlama toplamı veya imzalı manifest olmadan kullanılır.
Beklenen kanıt
Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.
Yanlış pozitif notu
Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.
İnceleme ve önceliklendirme
- Sorumlu: Uygulama güvenliği ve arka uç/ajan sahibi.
- Karar: Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.
- Kanıt: Model URL’i commit, digest, sağlama toplamı veya imzalı manifest olmadan kullanılır.
- Kapanış: sentinel scan ./project/ komutu temiz dönmeli.
Nasıl düzeltilir?
Model indirmelerini hash doğrulaması, sabit sürüm ve içeride aynalama politikasıyla yönetin.
CLI
sentinel scan ./project/Politika örneği
rules:
NET-UNPINNED-MODEL-URL:
owner: "Application security and backend/agent owner"
fail_on: ["CRITICAL", "HIGH"]
retest: "sentinel scan ./project/"Beklenen çıktı
NET-UNPINNED-MODEL-URL MEDIUM
Sabitlenmemiş Uzak Model URL’i
Yalnızca hash ile doğrulanmış model dosyalarını indirin.Örnek
requests.get("http://169.254.169.254/latest/meta-data/iam/security-credentials/")# Egress allowlist
allowed_hosts = ["api.vendor.example"]İlgili kurallar
- NET-METADATA-ENDPOINT: Bulut Üst Veri Uç Noktasına Erişim
- NET-PRIVATE-RANGE-EGRESS: Özel Ağ Aralığına Çıkış