Model Security

Model dosyası üretime girmeden önce güvenilir mi, kanıtlayın.

Eresus; HuggingFace ve özel model depolarından gelen pickle, PyTorch, ONNX, safetensors, GGUF, arşiv ve konteyner artefaktlarını tedarik zinciri ve çalışma zamanı riski açısından inceler.

Güvenlik görüşmesi planla Tüm hizmetler

Kimin için uygun

Bu program en çok aşağıdaki ekiplerde hızla değer üretir.

Yapay zeka ürün ve platform ekipleri

LLM, RAG, MCP, ajan veya model kabul akışlarını iç ya da müşteri yüzüne taşıyan ekipler.

Yapay zeka alanına genişleyen güvenlik ekipleri

Sızma testi programı çalıştırıp şimdi koruma kuralı, prompt ve araç suistimali doğrulamasına ihtiyaç duyan organizasyonlar.

Açıklanabilir sertleştirme isteyen ekipler

Politika, prompt, MCP ve çalışma zamanı bulgularını doğrudan yayın kararına çevirmek isteyen ekipler.

Kapsam

Model dosyası ve arşiv kabul akışı

Pickle/PyTorch yükleme ve kod çalıştırma riski

ONNX external data ve özel operatör kontrolleri

AIBOM, hash, imza, lisans ve kaynak geçmişi

Risk sinyalleri

Model yükleme sırasında kod çalıştırma

Model klasörü dışına çıkan harici veri yolu

Eksik hash/imza nedeniyle değiştirilebilir artefakt

Model kartı, notebook veya config içinde gizli bilgi

Teslimatlar

Model kabul risk raporu

Sentinel rule ID ve kanıt çıktıları

AIBOM ve tedarik zinciri kontrol listesi

CI/CD model intake kapısı önerileri

Model kabul akışı

Model dosyasını dosya gibi değil, çalıştırılabilir tedarik zinciri gibi inceleyin.

Problem

Modelin nereden geldiğini, nasıl yüklendiğini ve hangi ortamda çalışacağını netleştiririz.

Saldırı senaryosu

Zararlı pickle, özel operatör, arşiv kaçışı, gizli bilgi ve bağımlılık zincirlerini deneriz.

Kanıt

Bulguyu dosya yolu, hash, opcode, AST düğümü, manifest veya model üst verisiyle bağlarız.

Teslimat

Kabul kriteri, karantina, imzalama ve yeniden test adımlarını yayın kararına çeviririz.

Sık sorulanlar

Alıcıların ilk konuşmada netleştirmek istediği başlıklar.

Hangi yapay zeka yüzeylerini test ediyorsunuz?+

Prompt, ajan, RAG akışı, MCP sunucuları, araç yürütme, model kabul süreci ve politika sınırlarını gerçek kullanıcı akışları üzerinde test ederiz.

Bu çalışma sadece prompt injection testi mi?+

Hayır. Prompt injection sadece bir katman. Kimlik, araç izinleri, veri sızıntısı, model dosyaları ve zincirlenen sistem suistimallerini de doğrularız.

Bulguları mühendislik aksiyonlarına çeviriyor musunuz?+

Evet. Her bulguyu koruma kuralı değişimi, prompt iyileştirmesi, kimlik sınırı, araç kapsamı veya yayına alma kararıyla eşleriz.

Riskleri iş etkisine bağlarız.

Bulgular sadece CVSS skoru olarak kalmaz. Hangi müşteri akışını, hangi veri sınıfını, hangi operasyonel hedefi etkilediği açıkça yazılır.

Teslimat geliştirici ve yönetici için ayrı okunur.

Teknik ekipler yeniden üretilebilir kanıt ve düzeltme yönü alır; liderlik tarafı ise risk hikayesini, önceliği ve kapanış durumunu net görür.

İlgili içerik

Bu hizmeti açıklayan araştırma ve güvenlik bültenleri.

İlgili hizmetler

Yapay Zeka Güvenlik Testi DevSecOps Uygulama Desteği Kaynak Kod Analizi

Araştırma

Backdoored LLM Tespiti Nasıl Yapılır?

Arka kapılı dil modellerini ölçekli test etmek için trigger arama, davranış farkı analizi ve model intake kontrollerini inceliyoruz.

Araştırma

Göz Ardı Edilen Tehdit Yüzeyi: Yapay Zeka (AI) Model Dosyalarında Gizlenen Sıfırıncı Gün (0-Day) Zafiyetleri

Siber güvenlik dünyasında herkes API güvenliğine, web zafiyetlerine veya bulut sızıntılarına odaklanmışken devasa bir tehdit yüzeyi göz ardı ediliy...

Sonraki adım

Bu kapsamı gerçek risk yüzeyinize göre birlikte netleştirelim.

Pilot, tek uygulama, kritik API, AI ajan akışı veya daha geniş program fark etmez; önce iş etkisi yüksek yüzeyden başlarız.

Güvenlik görüşmesi planla Kapsam iste