EresusSecurity
ÜrünÜrünler

Model Güvenliği

Modern yapay zeka yığınlarında model dosyaları, çıkarım yolları, harici ağırlıklar ve güvensiz çalışma zamanı davranışları için değerlendirme ve sertleştirme.

Eresus ile GörüşÜrünler
Risk ve Regülasyon Sinyalleri

Güvensiz model yükleme yolları üzerinden uzaktan kod çalıştırma.

Inference ortamlarından sessiz model zehirleme ve veri sızdırma.

Aynı model dosyasını kullanan tüm aşağı akış ortamlarında tedarik zinciri mirası.

Kimler İçin

Üçüncü taraf weight veya model dosyası içeri alan MLOps ekipleri.

Yapay zeka tedarik zinciri riskini yöneten güvenlik ekipleri.

Inference pipeline’larını iç veya dış kullanıcılara açan platform ekipleri.

Kullanım Alanları

Pickle, GGUF, ONNX, Keras ve benzeri model dosyalarını denetleyin.

Modeller üretime ulaşmadan güvensiz deserialization ve çalıştırma yollarını haritalayın.

Harici modeller için daha güvenli kabul ve karantina akışları kurun.

İlgili İçerikler

Araştırma

Yapay Zeka Modellerinde Gözden Kaçan Tehlike: Keras ve Pickle Dosya Zafiyetleri

Yapay zeka güvenliğinde herkes prompt injection ve API'lere odaklanırken, en büyük tehlike arka planda yatıyor: Zararlı kod barındıran AI model...

2026-03-31Oku
Rehber

Yapay Zeka Çerçevelerinde (GGUF & MXNet) Kritik Zafiyetler: Heap Overflow Tehdidi

Model sıkıştırma kalıplarından GGUF veya MXNet kullanırken güvende misiniz? Dışarıdan yüklenen okyanus misali dosyaların hafıza taşması (Memory/Heap...

2026-04-26Oku
Güvenlik Bülteni

CVE-2026-7482: Ollama GGUF Heap Out-of-Bounds Okuma — Tam Teknik Analiz

CVE-2026-7482, Ollama'nın GGUF model yükleyicisindeki kritik heap OOB okuma açığıdır (CVSS 9.1). Kimliği doğrulanmamış uzak saldırganlar sahte GGUF dosyasıyla ~2 MB heap belleği sızdırabilir: ortam değişkenleri, API anahtarları, sistem promptları ve anlık konuşma verileri. İki hata zinciri, tam PoC, yama analizi ve Ollama 0.17.1 ile düzeltme.

2026-05-05Oku

İlgili Güvenlik Bültenleri

Güvenlik Bulgusu

MCPHub Sunucu Kaydında Kimlik Doğrulamasız Uzaktan Kod Çalıştırma

MCPHub server registration akışında saldırgan kontrollü komut ve argüman değerleri STDIO üzerinden çalıştırılabildiği için host üzerinde tam uzaktan kod çalıştırma etkisi oluşabilir.

2026-04-22Oku

Sık Sorulan Sorular

Sadece yayına alınmış modelleri mi inceliyorsunuz?

Hayır. Üretim öncesi model kabulü, dosya kaynak izi, CI/CD kontrolleri ve çalışma zamanı izolasyonunu tek akışta değerlendirebiliriz.

Açık kaynak model import’larını inceleyebilir misiniz?

Evet. Özellikle topluluk veya üçüncü taraf model dosyalarına güvenilen yapılarda en yaygın tehdit yüzeylerinden biridir.

Bu saldırı yüzeyini birlikte doğrulayalım mı?

Bu iş akışı için kapsam, tehdit modelleme ve düzeltme öncelikleri üzerine Eresus Security ile görüşün.

Eresus ile Görüş