AI Scanner Pentest: Mozilla’dan Ücretsiz LLM Güvenlik Aracı
Yapay zeka modellerinin (LLM) güvenliği her geçen gün daha kritik bir hal alırken, siber güvenlik dünyasında dengeleri değiştirecek yeni bir araç duyuruldu. Google’ın efsanevi Project Zero ekibinin yapay zeka alanındaki muadili olarak konumlandırılan Mozilla 0din AI, tamamen açık kaynaklı AI Scanner pentest web platformunu yayınladı.
Eğer kurumunuzda yapay zeka sistemlerini test ediyorsanız veya ürünlerinize bir dil modeli (LLM) entegre ediyorsanız, bu araç siber güvenlik laboratuvarınızın (ve Kırmızı Takım operasyonlarınızın) vazgeçilmezi olmaya aday. Bu makalede, modern AI Scanner pentest platformunun özelliklerini, kullanım senaryolarını ve kurulum adımlarını inceliyoruz.
📋 İçindekiler Tablosu
- Kaputun Altındaki Güç: NVIDIA garak Motoru
- AI Scanner Pentest Aracı Neler Yapabiliyor?
- Kimler İçin Uygun? Kullanım Senaryoları
- Olay ve Özellik Özeti Tablosu
- Hızlı Kurulum ve Başlangıç
Kaputun Altındaki Güç: NVIDIA garak Motoru
AI Scanner pentest aracını sıradan bir zafiyet tarayıcıdan ayıran en önemli detay, arka planda çalışan güçlü motorudur. Sistem, gücünü doğrudan NVIDIA garak (LLM zafiyet tarayıcısı) altyapısından alır.
Bu entegrasyon sayesinde platform, 35 farklı zafiyet sınıfında tam 179 özel güvenlik kontrolü gerçekleştirebilir. Üstelik bu taramalar rastgele değil, dünya standartı olan OWASP LLM Top 10 (Prompt Injection, Veri Sızdırma vb.) zafiyet listesinin tamamını kapsayacak şekilde optimize edilmiştir.
AI Scanner Pentest Aracı Neler Yapabiliyor?
Kurumsal düzeydeki birçok ücretli rakibinin aksine tamamen ücretsiz ve sınırsız olan bu platform, bir SOC analistinin ve Kırmızı Takım (Red Team) üyesinin ihtiyaç duyduğu her şeyi sunar:
- Hibrit Tarama Desteği: Sadece API tabanlı LLM endpoint’lerini değil, tarayıcı üzerinden çalışan sohbet (Chat UI) arayüzlerini de başarıyla tarar.
- ASR (Saldırı Başarı Oranı) Metriği: Modelinizin hangi tür saldırılara karşı zayıf olduğunu “Attack Success Rate” grafikleriyle zaman çizelgesinde gösterir.
- Kurumsal Dışa Aktarma: Yöneticilere sunulmak üzere her bir saldırının (payload) detayını içeren kapsamlı PDF raporları oluşturur.
- SIEM Entegrasyonu: Kurumsal ağlarda olay müdahalesi (Incident Response) için Splunk ve Rsyslog gibi SIEM araçlarıyla doğrudan entegre çalışır.
- Güvenli Mimari: Danışmanlık firmaları için Multi-tenant (Çoklu Kiracı) desteği sunar ve tüm verileri kriptografik olarak şifreler.
Kimler İçin Uygun? Kullanım Senaryoları
Yeni nesil AI Scanner pentest aracı, yapay zeka ekosistemindeki üç temel güvenlik grubu için tasarlanmıştır:
- Red Team (Kırmızı Takım): Şirket içi geliştirilen veya dışarıdan alınan AI ürünlerinin dayanıklılığını test etmek için.
- Bug Bounty Avcıları: Ödül avcılığı platformlarındaki LLM sistemlerinde zafiyet bulmak ve süreçleri otomatize etmek için.
- Uyumluluk (Compliance) Ekipleri: Kurumun kendi AI servisinin KVKK, GDPR ve diğer veri güvenliği standartlarına uygunluğunu periyodik olarak denetlemek için.
Olay ve Özellik Özeti Tablosu
Aşağıdaki tablo platformun temel teknik detaylarını özetlemektedir:
| Özellik / Kategori | Detaylar |
|---|---|
| Geliştirici | Mozilla 0din AI |
| Tarama Motoru | NVIDIA garak (179 Kontrol, 35 Zafiyet Sınıfı) |
| Kapsam | OWASP LLM Top 10 Standartları |
| Kurumsal Özellikler | Splunk / Rsyslog Entegrasyonu, PDF Export, Multi-tenant |
| Lisans Türü | Açık Kaynak (Open-Source), Tamamen Ücretsiz |
Hızlı Kurulum ve Başlangıç
Bu aracı yerel laboratuvarınıza (Linux veya macOS terminalinize) kurmak son derece kolaydır. Sistem gereksinimlerini karşıladıktan sonra aşağıdaki tek satırlık bash komutuyla kurulumu başlatabilirsiniz:
curl -sL https://raw.githubusercontent.com/0din-ai/ai-scanner/main/scripts/install.sh | bashYapay zeka güvenliği alanındaki diğer açık kaynaklı projelere ve sızma testi araçlarına göz atmak için CUMBUR.NET Siber Güvenlik kategorimizi takip etmeye devam edin. Aracın kaynak kodlarını incelemek için resmi GitHub Deposunu ziyaret edebilirsiniz.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
