EresusSecurity
KaynakKaynaklar

Config Validator

Prompt, veri getirme, MCP sunucusu, ortam gizli bilgisi ve yapay zeka yayına alma varsayılanları etrafında yapılandırma hijyeni için kaynak sayfası.

Eresus ile GörüşKaynaklar
Risk ve Regülasyon Sinyalleri

Güvenli özellikleri istismar edilebilir yollara çeviren yanlış yapılandırmalar.

Operasyonel göründüğü için güvenlik açısından kritik olmayan değişiklik gibi kaçan config ayarları.

Güvenilmeyen MCP veya ajan config’lerinin doğrudan komut ya da erişim yoluna dönüşmesi.

Kimler İçin

Yapay zeka yapılandırma pratiklerini standartlaştıran platform ekipleri.

Deployment varsayılanları ve config drift’i denetleyen güvenlik ekipleri.

Hızla değişen MCP ve ajan ekosistemi yapılandırmalarıyla uğraşan ekipler.

Kullanım Alanları

Prompt, araç yapılandırması, MCP kaydı ve gizli bilgi maruziyetindeki güvensiz varsayılanları haritalayın.

Değişen yapay zeka ve ajan yapılandırmaları için inceleme listeleri oluşturun.

Yüksek değişim hızına sahip ortamlarda sessiz config drift’i azaltın.

İlgili İçerikler

Rehber

Agentic AI Güvenliği: MLSecOps ile DevSecOps’un Kesişimi

Understanding Agentic AI systems that go beyond traditional AI models by acting autonomously with limited human oversight.

2026-04-26Oku

İlgili Güvenlik Bültenleri

Güvenlik Bulgusu

MCPHub Sunucu Kaydında Kimlik Doğrulamasız Uzaktan Kod Çalıştırma

MCPHub server registration akışında saldırgan kontrollü komut ve argüman değerleri STDIO üzerinden çalıştırılabildiği için host üzerinde tam uzaktan kod çalıştırma etkisi oluşabilir.

2026-04-22Oku
Güvenlik Bulgusu

MCPHub skipAuth Konfigürasyonu ile Kimlik Doğrulama Atlatma

MCPHub üzerinde skipAuth etkinleştirildiğinde kimlik doğrulama ve admin yetkilendirme kontrolleri atlanır; kimliği doğrulanmamış kullanıcılar ayrıcalıklı API fonksiyonlarına erişebilir.

2026-04-22Oku
Güvenlik Bulgusu

SSE Uç Noktası URL Yolundan Rastgele Kullanıcı Adı Kabul Ediyor — MCPHub'da Kullanıcı Kimliği Taklidi

MCPHub, hesabı doğrulamadan veya kimliğini kontrol etmeden SSE URL yolundan gelen saldırgan kontrolündeki kullanıcı adını kabul edip dahili kullanıcı bağlamı oluşturuyor; bu durum kullanıcı kimliği taklidine izin veriyor.

2026-04-22Oku

Sık Sorulan Sorular

Bu kaynak sadece MCP ile mi ilgili?

Hayır. MCP önemli bir örnek ama kaynak daha geniştir ve genel yapay zeka/ajan yapılandırma hijyenini kapsar.

Neden yapılandırmayı ayrı bir kaynak haline getiriyorsunuz?

Çünkü birçok yapay zeka olayı modelin tekil hatasından değil, varsayılanlar, bağlantı düzeni ve politika boşluklarından kaynaklanır.

Bu saldırı yüzeyini birlikte doğrulayalım mı?

Bu iş akışı için kapsam, tehdit modelleme ve düzeltme öncelikleri üzerine Eresus Security ile görüşün.

Eresus ile Görüş