Yapay Zeka Güvenliği Merkezi
LLM, RAG, ajan, MCP, model dosyası ve MLOps güvenliği için yapay zeka sistemleri üretime alınmadan önce kullanılacak pratik karar merkezi.
Veri sızıntısına veya yetkisiz araç çalıştırmaya dönüşen prompt injection.
İzin farkındalığı olmayan kontrollerle hassas içerik getiren RAG sistemleri.
Karantina veya kaynak izi olmadan üretime giren güvensiz model dosyaları.
Burada ne bulacaksınız?
Model riskleri
Güvensiz dosya formatları, model kabul kararları, kaynak güveni ve tedarik zinciri maruziyeti.
Ajan ve MCP güvenliği
Araç izinleri, MCP kaydı, kimlik sınırları ve istenmeyen aksiyon yolları.
RAG ve veri sınırları
Veri getirme kuralları, hassas içerik sızıntısı, kiracı sınırları ve denetim kanıtı.
İlk sürüm Eresus kaynakları, güvenlik bültenleri ve araçlarıyla doldurulur. Üçüncü taraf tarama sonucu içeri alınmaz, sahte model durumu yazılmaz.
Açık veri kaynakları
ProtectAI tarzı görünüm için açık risk veritabanlarını, model meta verisini ve Eresus doğrulamasını birlikte kullanmak gerekir. Dış kayıtlar Sentinel veya Eresus incelemesiyle doğrulanmadan sinyal olarak kalır.
Genel amaçlı AI sistemlerinde hata sınıfları, raporlar, zafiyetler ve ölçümleri kanıt meta verisiyle tutan açık veritabanı.
Model, ajan ve AI uygulaması risk sinyalleri için kullanılır.
PyPI, npm, Go ve Rust gibi ekosistemlerde paket ve sürüm seviyesinde açık kaynak zafiyet verisi sağlar.
transformers, gradio, llama-index, langchain, torch ve tensorflow gibi AI yığını bağımlılıkları için kullanılır.
Etiketler, dosyalar, son güncelleme tarihi, safetensors bilgisi ve güvenlik tarama durumu alanları gibi model deposu meta verisi sağlar.
Envanter alanları için kullanılır; meta veri tek başına güvenlik hükmü sayılmaz.
AI sistemlerine yönelik saldırgan taktikleri, teknikleri, azaltım yolları ve vaka çalışmalarını sağlar.
Sınıflandırma ve ortak dil için kullanılır; model tarama durumu değildir.
Yayındaki sistem hatalarından öğrenmek için toplanan gerçek dünya AI olayları ve ramak kala kayıtları.
Yayındaki AI zararları için bağlam ve eğilim kanıtı olarak kullanılır.
Model yükleme akışında güvensiz model serileştirme riski.
Özel hazırlanmış model arşivi yapılandırması model yükleme güvenliğini etkileyebilir.
Model dosyalarında güvensiz pickle kullanımı etrafında tarayıcı atlatma sinyali.
Birden fazla model ailesinde prompt injection ölçümü.
Öne çıkan kaynaklar
Yapay Zeka Ajan Çalışma Zamanı Güvenliği Nedir?
Yapay zeka ajan çalışma zamanı güvenliği, agentlerin üretim sırasında araç, bellek, veri getirme ve API yetkilerini nasıl kullandığını kanıtla izleyen ve sınırlandıran güvenlik yaklaşımıdır.
LLM Pentest ile Web Pentest Arasındaki Fark
LLM, RAG ve agent sistemleri için güvenlik testi klasik web pentestten nasıl ayrılır; hangi durumda hangisine ihtiyaç duyulur?
Backdoored LLM Tespiti Nasıl Yapılır?
Arka kapılı dil modellerini ölçekli test etmek için trigger arama, davranış farkı analizi ve model intake kontrollerini inceliyoruz.
CVE-2026-7482: Ollama GGUF Heap Out-of-Bounds Okuma — Tam Teknik Analiz
CVE-2026-7482, Ollama'nın GGUF model yükleyicisindeki kritik heap OOB okuma açığıdır (CVSS 9.1). Kimliği doğrulanmamış uzak saldırganlar sahte GGUF dosyasıyla ~2 MB heap belleği sızdırabilir: ortam değişkenleri, API anahtarları, sistem promptları ve anlık konuşma verileri. İki hata zinciri, tam PoC, yama analizi ve Ollama 0.17.1 ile düzeltme.
İlgili güvenlik bültenleri
MCPHub Sunucu Kaydında Kimlik Doğrulamasız Uzaktan Kod Çalıştırma
MCPHub server registration akışında saldırgan kontrollü komut ve argüman değerleri STDIO üzerinden çalıştırılabildiği için host üzerinde tam uzaktan kod çalıştırma etkisi oluşabilir.
MCPHub skipAuth Konfigürasyonu ile Kimlik Doğrulama Atlatma
MCPHub üzerinde skipAuth etkinleştirildiğinde kimlik doğrulama ve admin yetkilendirme kontrolleri atlanır; kimliği doğrulanmamış kullanıcılar ayrıcalıklı API fonksiyonlarına erişebilir.