ONNX Model Kuralları

Riskli ONNX grafik üst verisini, harici tensor yollarını ve özel operatör kullanımını tespit eder.

Kısa tanım

ONNX kural ailesi; bu yüzeydeki bulguları kural kimliği, öncelik, CWE, OWASP LLM, sorumlu, yayın kararı ve yeniden test komutuyla kapatılabilir aksiyona çevirir.

ONNX ağırlıklar için pickle’dan daha güvenlidir; fakat grafik üst verisi ve harici veri referansları yol kaçışı, dosya bütünlüğü bozulması veya güvensiz çalışma zamanı davranışı için kötüye kullanılabilir.

Kural yardım URL’i

Desteklenen girdiler

.onnx
.pb
.ort
ONNX external data sidecars

Tipik saldırı senaryoları

Model, beklenen model klasörünün dışındaki tensor verisine referans verir.
Özel operatör güvenilmeyen çalışma zamanı eklentisi gerektirir.
Üst veri, kaynak bilgisi değişikliğini veya beklenmeyen üretici alanlarını saklar.

Algılama mantığı

Sentinel ONNX kurallarında kanıt alanını dosya yolu, üst veri, opcode, AST düğümü, manifest alanı, bağımlılık veya arşiv girdisi gibi yeniden üretilebilir sinyale bağlar. Bulgu kapatılırken aynı sinyal ortadan kalkmalıdır.

İnceleme ve önceliklendirme

ONNX bulgularını tek başına "tarayıcı gürültüsü" gibi okumayın. Önce kanıtı doğrulayın, sonra yayın kararını önceliğe bağlayın, en sonunda aynı Sentinel komutuyla kapanış kanıtı üretin.

Operasyonel kontrol listesi

Kaynak: dosya, manifest, istem, arşiv veya bağımlılık nereden geldi?
Etki: kod çalıştırma, veri sızıntısı, tedarik zinciri veya kaynak tüketimi mi?
Kontrol: izin listesi, hash doğrulaması, yalıtım, ağ çıkış politikası veya gizli bilgi döndürme gerekiyor mu?
Kanıt: düzeltmeden sonra aynı kural kategorisi temiz dönüyor mu?

Düzeltme

Düzeltme, yalnızca bulguyu susturmak değil risk sınırını değiştirmek anlamına gelmelidir: çalıştırılabilir biçimi kaldırın, kaynak veya hash değerini sabitleyin, araç iznini daraltın, gizli bilgiyi döndürün ya da çalışma zamanı yalıtımı ekleyin.

CI politikası

sentinel-policy.yml

category: ONNX
fail_on:
  - CRITICAL
  - HIGH
ticket_on:
  - MEDIUM
retest: "sentinel artifact ./models/ --rule ONNX"

Kural dizini

Kural kimliği	Öncelik	Başlık	CWE	Düzeltme ipucu
ONNX-EXTERNAL-DATA-PATH	HIGH	Harici Veri Yolu Kaçışı	CWE-22	Model paketinin dışına çıkan harici veri yollarını reddedin.
ONNX-CUSTOM-OP	HIGH	ONNX Özel Operatörü	CWE-94 CWE-829	Özel operatörleri açıkça onaylayın veya grafikten kaldırın.
ONNX-METADATA-TAMPER	MEDIUM	Şüpheli ONNX Üst Verisi	CWE-345	Kaynak bilgisini tamamlayın ve model yayını imzalayın.

ONNX-EXTERNAL-DATA-PATH — Harici Veri Yolu Kaçışı

HIGH

Kural kimliği	ONNX-EXTERNAL-DATA-PATH
Kategori	ONNX
Öncelik	HIGH
CWE	CWE-22
OWASP LLM	LLM03 — Supply Chain
Yanlış pozitif riski	LOW
Sorumlu	AI/ML platform veya model yayın sahibi
Yayın kararı	Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.

Açıklama

ONNX harici tensor referanslarının dosya klasörü dışına çıkmasını veya mutlak yol kullanmasını tespit eder.

Neden önemli?

Ne zaman tetiklenir?

Sentinel bu kuralı ONNX kategorisinde şu kanıtı gördüğünde tetikler: ExternalDataProto location değeri içinde ../, mutlak yol, URL şeması veya platforma özgü disk öneki bulunur. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

ExternalDataProto location değeri içinde ../, mutlak yol, URL şeması veya platforma özgü disk öneki bulunur.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı düşüktür. Kanıt doğrudan dosya, opcode, gizli bilgi örüntüsü, yol veya manifest alanına bağlanıyorsa bulguyu gerçek kabul edip kapanış kanıtı isteyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi

Sorumlu: AI/ML platform veya model yayın sahibi.
Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
Kanıt: ExternalDataProto location değeri içinde ../, mutlak yol, URL şeması veya platforma özgü disk öneki bulunur.
Kapanış: sentinel artifact ./models/ --rule ONNX komutu temiz dönmeli.

Nasıl düzeltilir?

Yolları normalize edin, tensor yan dosyalarını dosya kökünün içinde tutun ve yüklemeden önce dosya hash değerlerini doğrulayın.

CLI

sentinel artifact ./models/ --rule ONNX

Politika örneği

sentinel-policy.yml

rules:
  ONNX-EXTERNAL-DATA-PATH:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule ONNX"

Beklenen çıktı

ONNX-EXTERNAL-DATA-PATH HIGH
Harici Veri Yolu Kaçışı
Model paketinin dışına çıkan harici veri yollarını reddedin.

Örnek

Riskli

external_data: [
  { key: "location", value: "../../secrets.bin" }
]

Daha güvenli

external_data: [
  { key: "location", value: "weights/model_data.bin" }
]
# Path is normalized and hash-pinned in the manifest.

İlgili kurallar

ONNX-CUSTOM-OP: ONNX Özel Operatörü
ONNX-METADATA-TAMPER: Şüpheli ONNX Üst Verisi

ONNX-CUSTOM-OP — ONNX Özel Operatörü

HIGH

Kural kimliği	ONNX-CUSTOM-OP
Kategori	ONNX
Öncelik	HIGH
CWE	CWE-94 CWE-829
OWASP LLM	LLM03 — Supply Chain
Yanlış pozitif riski	MEDIUM
Sorumlu	AI/ML platform veya model yayın sahibi
Yayın kararı	Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.

Açıklama

Standart ONNX çekirdekleri dışında çalışma zamanı eklentisi gerektiren özel domain veya operatör referanslarını işaretler.

Neden önemli?

Ne zaman tetiklenir?

Sentinel bu kuralı ONNX kategorisinde şu kanıtı gördüğünde tetikler: Standart dışı domain değeri veya eklenti operatör adı taşıyan grafik düğümleri görülür. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

Standart dışı domain değeri veya eklenti operatör adı taşıyan grafik düğümleri görülür.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi

Sorumlu: AI/ML platform veya model yayın sahibi.
Karar: Yayın kapısı olarak değerlendirin; düzeltme veya açık risk kabulü gerekir.
Kanıt: Standart dışı domain değeri veya eklenti operatör adı taşıyan grafik düğümleri görülür.
Kapanış: sentinel artifact ./models/ --rule ONNX komutu temiz dönmeli.

Nasıl düzeltilir?

Eklenti incelemesi, imzalı çalışma zamanı paketi ve üretim öncesi yalıtılmış çıkarım şartı koyun.

CLI

sentinel artifact ./models/ --rule ONNX

Politika örneği

sentinel-policy.yml

rules:
  ONNX-CUSTOM-OP:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule ONNX"

Beklenen çıktı

ONNX-CUSTOM-OP HIGH
ONNX Özel Operatörü
Özel operatörleri açıkça onaylayın veya grafikten kaldırın.

Örnek

Riskli

external_data: [
  { key: "location", value: "../../secrets.bin" }
]

Daha güvenli

external_data: [
  { key: "location", value: "weights/model_data.bin" }
]
# Path is normalized and hash-pinned in the manifest.

İlgili kurallar

ONNX-EXTERNAL-DATA-PATH: Harici Veri Yolu Kaçışı
ONNX-METADATA-TAMPER: Şüpheli ONNX Üst Verisi

ONNX-METADATA-TAMPER — Şüpheli ONNX Üst Verisi

MEDIUM

Kural kimliği	ONNX-METADATA-TAMPER
Kategori	ONNX
Öncelik	MEDIUM
CWE	CWE-345
OWASP LLM	LLM03 — Supply Chain
Yanlış pozitif riski	MEDIUM
Sorumlu	AI/ML platform veya model yayın sahibi
Yayın kararı	Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.

Açıklama

Üretici, domain, lisans, hash veya eğitim kaynağı üst verisinde eksik ya da tutarsız alanları bulur.

Neden önemli?

Ne zaman tetiklenir?

Sentinel bu kuralı ONNX kategorisinde şu kanıtı gördüğünde tetikler: producer_name, domain, model_version, license veya sağlama toplamı alanlarında beklenmeyen boşluk veya çelişki görülür. Bulgu; dosya adı, üst veri, opcode, AST düğümü veya manifest alanı gibi yeniden üretilebilir kanıtla raporlanmalıdır.

Kanıt biçimi

producer_name, domain, model_version, license veya sağlama toplamı alanlarında beklenmeyen boşluk veya çelişki görülür.

Beklenen kanıt

Rapor; etkilenen dosya veya manifest yolunu, yakalanan sinyali, kural kimliğini, önceliği, sorumluyu ve kapanışta çalıştırılacak yeniden test komutunu içermelidir.

Yanlış pozitif notu

Yanlış pozitif olasılığı orta seviyededir. Önce kaynak, beklenen kullanım ve sahip bilgisini doğrulayın; gerekirse izin listesi ekleyin ama kanıtı rapordan silmeyin.

İnceleme ve önceliklendirme

Operasyonel kontrol listesi

Sorumlu: AI/ML platform veya model yayın sahibi.
Karar: Sahip atayın, sprint içinde düzeltin ve yeniden test komutunu iş kaydına ekleyin.
Kanıt: producer_name, domain, model_version, license veya sağlama toplamı alanlarında beklenmeyen boşluk veya çelişki görülür.
Kapanış: sentinel artifact ./models/ --rule ONNX komutu temiz dönmeli.

Nasıl düzeltilir?

Kaynak üst verisi ekleyin, modeli imzalayın ve yayın manifestinde kaynak/hash bilgilerini tutun.

CLI

sentinel artifact ./models/ --rule ONNX

Politika örneği

sentinel-policy.yml

rules:
  ONNX-METADATA-TAMPER:
    owner: "AI/ML platform or model release owner"
    fail_on: ["CRITICAL", "HIGH"]
    retest: "sentinel artifact ./models/ --rule ONNX"

Beklenen çıktı

ONNX-METADATA-TAMPER MEDIUM
Şüpheli ONNX Üst Verisi
Kaynak bilgisini tamamlayın ve model yayını imzalayın.

Örnek

Riskli

external_data: [
  { key: "location", value: "../../secrets.bin" }
]

Daha güvenli

external_data: [
  { key: "location", value: "weights/model_data.bin" }
]
# Path is normalized and hash-pinned in the manifest.

İlgili kurallar

ONNX-EXTERNAL-DATA-PATH: Harici Veri Yolu Kaçışı
ONNX-CUSTOM-OP: ONNX Özel Operatörü

Kaynaklar

ÖncekiPyTorch SonrakiSafetensors