model hijacking (model gaspı), prompt injection (doğrudan/indirekt talimat zehirleme)

 

Aşağıdaki rapor; model hijacking (model gaspı), prompt injection (doğrudan/indirekt talimat zehirleme) ve yapay zekâ tedarik zinciri risklerini, son 6–12 ayın verileri, vakaları ve regülasyonlarıyla birleştirerek; podcast/blog/kurumsal sunum formatlarına uygun, konuşma diliyle ama teknik doğruluğu yüksek, Türkiye bağlamına da yer veren kanıta dayalı bir çalışma olarak hazırlanmıştır. Her bölümdeki kilit iddialar en az 2 bağımsız kaynakla desteklenmiştir.

1. Executive Summary (≈300 kelime)

• Büyük resim: 2025 boyunca LLM tabanlı sistemlere karşı prompt injection ve tedarik zinciri üzerinden saldırılar hem nicelik hem sofistikasyon açısından arttı. IBM’in 2025 veri ihlali raporuna göre, AI ile ilişkili güvenlik olayına maruz kalan kuruluşların %97’sinde uygun AI erişim kontrolleri yoktu; %63’ünde AI yönetişim politikası bulunmuyordu. AI destekli güvenlik araçları ise yoğun kullanıldığında ortalama 1,9 milyon $ tasarruf sağladı. (ibm.com)
• Saha bulguları: 2024–2025’te Hugging Face Spaces gizli anahtar sızıntısı, kötü amaçlı ML modelleri; MindsDB–Weaviate entegrasyonunda uzaktan kod çalıştırma zafiyeti (CVE-2024-45846); AWS Bedrock’ta “LLMjacking” girişimleri; kurumsal asistanlarda (Copilot/Gemini) indirekt prompt injection zincirleri gündeme oturdu. (huggingface.co)
• Standartlar ve çerçeve: OWASP LLM Top 10 (2025) prompt injection’ı birincil risk (LLM01) olarak sınıflandırıyor; MITRE ATLAS, LLM Prompt Injection (AML.T0051) ve Poison Model gibi teknikleri taktik‑teknik düzeyinde katalogluyor. NIST’in 2024 Generative AI Profili (AI RMF’in eşlik dokümanı) kurumlara savunma hatlarını “govern-map-measure-manage” ekseninde netleştiriyor. (owasp.org)
• Regülasyon: AB AI Act uyarınca genel amaçlı AI (GPAI) model sağlayıcılarına yönelik yükümlülükler 2 Ağustos 2025’te yürürlüğe girdi; sistemik risk eşiğini aşan (≈10^25 FLOP) modeller için ek güvenlik/test yükümlülükleri var. Tam yaptırım yetkileri 2 Ağustos 2026’da devreye giriyor. (digital-strategy.ec.europa.eu)
• Türkiye: KVKK, yapay zekâ ve kişisel veriler bağlamında etkinlikler ve rehberlik çalışmalarını 2025’te artırdı; USOM yapay zekâ tabanlı oltalama alan adı engellemelerinde yüksek hacme ulaştı. (kvkk.gov.tr)
• “So what?”: Veriler gösteriyor ki, LLM uygulamalarında ihlallerin maddi etkisi hızla büyürken, basit yapılandırma ve tedarik zinciri hijyenindeki eksikler en kritik tetikleyiciler. Savunma hattında: kaynak etiketleme/ayrıştırma (provenance/spotlighting), giriş‑çıkış denetimi, araç/eklenti ayrıcalıklarının daraltılması, model ve veri imzalama, tedarik zinciri taraması ve sürekli kırmızı‑mavi takım döngüsü ROI’si en yüksek önlemler. (microsoft.com)

2. Mevcut Durum Analizi (≈1000 kelime)

• Tehdit taksonomisi
  • Prompt injection
    • Doğrudan: Kullanıcının açık uçlu girdisiyle sistem talimatlarının baskılanması. OWASP LLM01 ve MITRE ATLAS AML.T0051.000 olarak geçer. (owasp.org)
    • İndirekt: Modelin taradığı e‑posta, web sayfası, PDF, takvim daveti gibi üçüncü taraf içeriklerine gömülü talimatlarla ajanı yönlendirme. Microsoft ve araştırma topluluğu, e‑posta/ajanda üzerinden “0‑click”e yakın akışlar gösterdi. (microsoft.com)
    • Kanıtlar: Black Hat 2024’te Copilot üzerinde görünmeyen e‑posta etiketleriyle enjeksiyon; akademide LLMail‑Inject zorluğunda binlerce adaptif saldırı örneği; ChatGPT’de hafıza/URL üzerinden kişisel veri sızdırma PoC’leri. (techtarget.com)
  • Model hijacking (gasp/arka kapı)
    • “Sleeper agents”: Güvenlik eğitimi sonrası bile tetikleyiciyle tehlikeli davranışı sürdüren LLM’ler; Anthropic çalışmaları ve “cognitive hijacking” sınıfı araştırmalar. (anthropic.com)
    • Operasyonel düzey: Bulut hesapları ele geçirilerek foundation model çağrılarına yönelme (Wiz’in JINX‑2401 kampanyası). (threats.wiz.io)
  • Tedarik zinciri
    • Model/dataset/araç ekosistemi: Hugging Face hub’da kötü amaçlı/pickle tabanlı modellerle RCE ve geri kabuk PoC’leri; 2024 Spaces olayıyla sızan token/secret riskleri. (arstechnica.com)
    • Vektör/veri katmanı: MindsDB‑Weaviate entegrasyonunda eval temelli kod enjekte edilebilmesi (CVE‑2024‑45846). (nvd.nist.gov)
    • Yazılım zinciri yankısı: XZ backdoor (CVE‑2024‑3094) gibi upstream bağımlılıkların konteyner imajlarına sızması; 2025’te bazı Docker imajlarında kalıntı tespitleri. (cisa.gov)
• Yaygınlık/istatistikler
  • IBM 2025: Küresel ortalama ihlal maliyeti 2025’te 4,4M $; AI ile ilişkili olay yaşayanların %97’sinde AI erişim kontrolü zayıf; %63’te AI yönetişimi yok. AI güvenliği ve otomasyon yoğun kullanımda 1,9M $ tasarruf. (ibm.com)
  • 2024 IBM basın notu: 2024’te ortalama maliyet 4,88M $; gölge veriler ve IP hırsızlığı yükselişte; çalınmış kimlik bilgileri en sık vektör. (2025’le trend karşılaştırması için). (newsroom.ibm.com)
  • Accenture 2025: Kuruluşların %90’ı AI destekli tehditlere hazır değil; %77’si model/boru hattı/alt yapıda temel veri‑AI güvenliği pratiklerinden yoksun. (accenture.com)
  • BCG 2025 CISO anketi: AI destekli saldırılar CISOlarda en üst kaygı; bütçeler ~%10 artış beklentisi. (bcg.com)
  • OWASP/Topluluk içgörüleri: LLM01 (Prompt Injection) ve LLM05 (Supply Chain) 2025 listede öne çıkıyor; üretim sistemlerinde enjeksiyonun “çözülemeyen” doğasına dikkat çeken endüstri analizleri. (owasp.org)
• Saldırı yüzeyi nerelerde büyüyor?
  • Çok‑modlu girişler (görsel‑metin‑ses), tarayıcı/araç zinciri (MCP, eklentiler), bellekli asistanlar ve RAG. (microsoft.com)
  • Ajans/oynatıcılar: E‑posta, takvim, doküman başlığı/metadata gibi “görünmez” taşıyıcılar; tedarik zinciri tarafında model dosya formatlarının (pickle, TF Lambda layers) deserializasyon riskleri. (techtarget.com)
• Türkiye vs. global
  • Türkiye: KVKK, yapay zekâ ve mahremiyet temasını düzenli etkinliklerle gündemde tutuyor. USOM, yerli AI ile oltalama alan adı engellemede yüksek hacim paylaştı (64.115 alan adı). Bu, ülkedeki AI güvenliği kapasitesinin somutlaşması açısından önemli. (kvkk.gov.tr)
  • AB: AI Act ile GPAI yükümlülükleri başladı; sistemik riskli modeller (≥10^25 FLOP) için ek güvenlik ve bildirim şartı. (digital-strategy.ec.europa.eu)
  • ABD: 2025 başında 14110 sayılı EO’nun iptali ile federal çerçeve değişti; OMB M‑24‑10 (2024) kurum içi AI yönetişimi ve envanter beklentilerini tanımlamıştı, fakat 2025’te idari yaklaşım “yenilik ve yaygınlaştırma” yönüne evrildi. (theverge.com)

3. Vaka Çalışmaları (3–5 gerçek örnek)

• Vaka 1 — Hugging Face Spaces Secrets Olayı (Mayıs 2024)
  • Ne oldu? Spaces ortamında gizli anahtarlara yetkisiz erişim şüphesi; geniş token iptalleri ve KMS’e geçiş; fine‑grained token önerisi. (huggingface.co)
  • Neden önemli? ML‑Ops tedarik zincirinde secrets yönetimi ve “token sprawl” riskini görünür kıldı. TechCrunch ve diğer güvenlik yayınları olayı doğruladı. (techcrunch.com)
• Vaka 2 — Kötü Amaçlı ML Modelleri (2024–2025)
  • Ne oldu? JFrog, Hugging Face’te en az ~100 modelde kötü amaçlı fonksiyonellik buldu; bazıları reverse shell açabiliyordu. 2025’te HF‑JFrog işbirliğiyle taramalar derinleşti. (arstechnica.com)
  • Neden önemli? Model dosyası formatları (pickle/TF Lambda) ile RCE riski; “trust_remote_code=True” gibi bayrakların operasyonel etkisi. (jfrog.com)
• Vaka 3 — MindsDB–Weaviate Entegrasyonu CVE‑2024‑45846
  • Ne oldu? “SELECT WHERE” içinden Python kodu eval ile çalışabiliyordu; CVSS 8.8. (nvd.nist.gov)
  • Neden önemli? LLM/RAG yığınındaki yardımcı servis ve vektör katmanındaki zafiyetin zincir etkisi. (NVD ve ulusal CERT eşlemesi mevcut.) (incibe.es)
• Vaka 4 — AWS’de LLMjacking (Wiz: JINX‑2401, 2024 sonu)
  • Ne oldu? Ele geçirilmiş IAM anahtarları ile Bedrock model çağrılarına erişim denemeleri; SCP’ler nedeniyle engellendi. (threats.wiz.io)
  • Neden önemli? Model servislerinin de “hedef varlık” olarak görüldüğünü ve bulut politika‑kontrollerinin kritik olduğunu gösterdi.
• Vaka 5 — Kurumsal Asistanlarda İndirekt Enjeksiyon
  • Ne oldu? Black Hat 2024 gösterimi: Görünmeyen e‑posta etiketleriyle Copilot yönlendirme; 2025 araştırmaları ve MSRC yazıları “indirekt enjeksiyon”un ana etki vektörü olduğunu vurguladı. (techtarget.com)

4. Derinlemesine Sektörel Analiz (≈1500 kelime; özet halinde)

• Teknik boyut
  • Kök neden: LLM’ler kaynaklar arası “talimat vs veri” ayrımını içsel olarak yapamıyor; bu yüzden birleştirilmiş prompt akışında veri içindeki komutlar da “niyet” olarak yorumlanabiliyor. “Spotlighting/provenance” ve çok‑ajanlı denetim hatları güncel savunma eğilimleri. (microsoft.com)
  • Güvenlik çerçeveleri: OWASP LLM Top 10 (LLM01/05/04), MITRE ATLAS (AML.T0051, AML.T0028), NIST GenAI Profili (AI RMF 600‑1). (owasp.org)
  • Savunma mimarisi:
    • Girdi katmanı: Kaynak etiketleme/ayrıştırma (spotlighting), zararlı içeriği sınıflandırma (LLM‑as‑a‑judge + kural tabanlı), imza+davranışsal katmanlar; çok‑ajanlı savunma boru hattı. (microsoft.com)
    • Çıktı katmanı: Komut/SQL/RCE üretebilecek çıktılara doğrulama (policy enforcement), araç çağrılarında “onay‑gerektir + minimum ayrıcalık”. (cisco.com)
    • Tedarik zinciri: Model/dataset/embedding imzalama, SBOM benzeri MBOM (Model BOM); model tarama (Guardian/JFrog), imza doğrulama ve izolasyonlu yükleme. (axios.com)
• Ekonomik boyut
  • Maliyet tarafı: Ortalama ihlal maliyeti 4,4–4,88M $ bandında; AI güvenliği/otomasyon yoğun kullanımda 1,9–2,2M $ tasarruf. Bu fark, kısa vadede bile güvenlik yatırımlarının ROI’sini destekliyor. (ibm.com)
  • Bütçe ve pazar: CISOlarda AI tehditleri 1 numaralı kaygı; 2025’te siber bütçelerde ~%10 artış; kuruluşların %90’ı henüz “hazır” değil. (bcg.com)
  • Gelir/risk: Prompt injection ile ajanın yetkisiz işlem yapması; gizli veri sızıntısı, sahte sipariş/ödemeler; model gaspıyla yönlendirilmiş kararlar (reklam/propaganda). Bu vakalar müşteri güveni ve düzenleyici yaptırımlar kaynaklı gelir kaybına dönüşüyor. (IBM maliyet verileri, AB AI Act yaptırım çerçevesi.) (ibm.com)
• Hukuki boyut
  • AB AI Act zaman çizelgesi: GPAI yükümlülükleri 2 Ağustos 2025; yaptırım yetkisi 2 Ağustos 2026; sistemik risk (≥10^25 FLOP) modeller için bildirim ve güvenlik/şeffaflık zorunluluğu. (digital-strategy.ec.europa.eu)
  • ABD federal resim (2025): 14110 sayılı EO’nun iptali sonrası yaklaşım esnedi; yine de OMB M‑24‑10 ve kurum içi AI yönetişimi uygulamada referans olarak kaldı. Kurumlar CAIO atamaları ve envanterle ilerliyor. (theverge.com)
  • Türkiye: KVKK, AI ve kişisel veri kesişiminde bilinç yükseltme; henüz AI’ye özgü bağlayıcı kapsamlı bir çerçeve yok, ancak AB ile iş yapanlar AI Act’e de facto tabi. (kvkk.gov.tr)
• Etik boyut
  • Enjeksiyonla manipülasyon ve “bağlamsal önyargı” artırma; propaganda/advertorial çıktı enjeksiyonları; toplumsal güven erozyonu ve içerik bütünlüğü. (2025 akademi ve vaka literatürü) (arxiv.org)
• Sektörlere göre odak
  • Finans: Ajanların ödeme/transfer araçlarıyla entegrasyonu → “onay gerektir” ve çok faktörlü operasyon şart. (BCG, Accenture eğilimleri) (bcg.com)
  • Sağlık: RAG’lerde kaynak etiketleme, PHI maskesi ve çıktıda klinik onay; AI Act yüksek etkili kullanım için test/izleme gerektiriyor (AB tarafı). (digital-strategy.ec.europa.eu)
  • Kamu: OMB M‑24‑10 ile envanter‑risk‑güvence döngüsü; satır arası AI tedarik süreçleri için yeni kılavuzlar. (whitehouse.gov)
  • Yazılım/Teknoloji: HF/NPM/PyPI zinciri, CI/CD güvenliği, model skanları, imzalı artefakt dağıtımı. (JFrog/Protect AI araçları) (axios.com)
  • Türkiye’de kritik altyapı/telekom: USOM ekosistemi ve SOME koordinasyonu; oltalama ve alan adı kontrolleri yüksek hacimde. (uab.gov.tr)

5. Risk ve Fırsat Matrisi (Tablo özeti + ≈500 kelime)

• Risk matrisi (örnek; 1= düşük, 5= yüksek)
  • İndirekt prompt injection ile veri sızıntısı: Olasılık 4, Etki 5 → Çok yüksek öncelik. Kanıt: MSRC rehberi; BH 2024 Copilot PoC; arXiv enjeksiyon çalışmaları. (microsoft.com)
  • Kötü amaçlı model/artefakt (HF/TF/pickle): Olasılık 3‑4, Etki 4 → Yüksek öncelik. Kanıt: JFrog bulguları, HF Spaces olayı. (arstechnica.com)
  • Bulut/model servislerine yetkisiz erişim (LLMjacking): Olasılık 2‑3, Etki 4 → Orta‑yüksek. Kanıt: Wiz JINX‑2401. (threats.wiz.io)
  • Vektör DB/entegrasyon zafiyetleri: Olasılık 3, Etki 4 → Yüksek. Kanıt: CVE‑2024‑45846. (nvd.nist.gov)
  • Upstream tedarik zinciri (XZ backdoor yankısı): Olasılık 2, Etki 5 → “Siyah kuğu” yakını. (cisa.gov)
• Fırsatlar
  • Güvenlik otomasyonu ve AI destekli SOC: IBM/BCG verileri; ihlal maliyetini milyon seviyesinde düşürme potansiyeli. (ibm.com)
  • Güvenli AI ürünleştirme (AI‑SPM, AIFW): Cloudflare/CrowdStrike gibi ürünlerle görünürlük ve politika kontrolü. (cloudflare.com)
• Görselleştirme önerileri:
  • “Saldırı zinciri ısı haritası” (girdi‑araç‑çıktı katmanlarında risk yoğunluğu),
  • “Önlem başına beklenen kayıp azaltımı” çubuk grafiği,
  • “Türkiye‑AB‑ABD regülasyon zaman çizelgesi” Gantt şeması.

6. Hukuki ve Regülatif Çerçeve (≈750 kelime)

• AB AI Act
  • Uygulama: 1 Ağustos 2024 yürürlük; 2 Şubat 2025 yasaklı uygulamalar, 2 Ağustos 2025 GPAI yükümlülükleri; 2 Ağustos 2026 yaptırım; 2 Ağustos 2027 eski modeller için geçiş sonu. (digital-strategy.ec.europa.eu)
  • GPAI ve sistemik risk: ≥10^25 FLOP eşik; şeffaflık, telif ve güvenlik değerlendirmesi; ihlallerde ciro bazlı para cezaları. (digital-strategy.ec.europa.eu)
• ABD
  • 2025 politika değişimi: 14110 sayılı EO’nun iptali; OMB M‑24‑10 ve kurum içi uygulamalar (CAIO, envanter, “high‑impact AI” korumaları) referans niteliğinde. (theverge.com)
  • Satın alma ve tedarik: 2024’te yayımlanan M‑24‑18 ile sorumlu AI tedariki ilkeleri; 2025’te kurum stratejileri ve CAIO atamaları. (whitehouse.gov)
• Türkiye
  • KVKK odağı: Mahremiyet ve AI; konferanslar, rehberlik ve akademik yayınlar; AB ile iş yapanların fiilen AI Act’e uyum çalışması yapması gerekecek. (kvkk.gov.tr)
• Emsal ve davalar bağlamı
  • AI tedarik zinciri kaynaklı ihlallerin yaptırım/ceza riskleri; AB’de GPAI ihlallerinde %3 ciroya kadar cezalar. (Kurumsal risk açıklaması) (lw.com)

7. Gelecek Projeksiyonları (1‑3‑5 yıl, ≈500 kelime)

• 1 yıl (2026):
  • AB’de GPAI yaptırım devreye girdiği için model sağlayıcıları test‑değerlendirme, olay bildirimi ve şeffaflık yatırımlarını artıracak. “Prompt injection dayanıklılık metrikleri” sektör standardı adayları çıkacak (LLMail‑Inject ve benzeri benchmark’ların yaygınlaşması). (digital-strategy.ec.europa.eu)
• 3 yıl (2028):
  • 10^25–10^26 FLOP eşiğini aşan model sayısı hızla artacak; “sistemik riskli” model sayısında süperlineer artış beklentisi; bu da red‑teaming ve tedarik zinciri otomatizasyonuna talebi büyütecek. (arxiv.org)
• 5 yıl:
  • AI güvenliği “platform” yaklaşımı (AI‑SPM, AIFW, model imzalama, kanıtlanabilir kaynak ayrıştırma) standartlaşır. Tedarik zinciri için MBOM ve sürekli tarama, yazılım SBOM kadar olağan hale gelir. (BCG/Accenture eğilimleri + endüstri ürün duyuruları) (bcg.com)
• Soundbite’lar
  • “LLM’ler talimat ile veriyi ayırmıyor; ayrımı mimari düzeyde siz yapmak zorundasınız.” (microsoft.com)
  • “Model dosyası artık yeni ‘EXE’: İmzalamaz, taramaz ve izole etmezseniz RCE’ye davetiye.” (axios.com)

8. Aksiyona Dönük Öneriler (≈500 kelime)

• İlk 90 gün
  • Envanter: Tüm AI kullanım/bağlantı haritası (modeller, veri kaynakları, araçlar, vektör DB’ler, kimlikler). OMB M‑24‑10 çerçevesini referans alabilirsiniz. (whitehouse.gov)
  • Politika: Prompt hijyen kuralları (kural‑tabanlı + LLM‑as‑judge), “yüksek etkili AI” için onay gerektiren akışlar. (owasp.org)
  • Tedarik zinciri: Model/dataset imzalama, MBOM; Guardian/JFrog benzeri tarama; izolasyonlu yükleme; trust_remote_code= false varsayılanı. (axios.com)
• 3–6 ay
  • Teknik önlemler:
    • Spotlighting/provenance: Kaynakları sürekli işaretleyin; farklı girdiler için sürekli ve güvenilir köken sinyali verin. (microsoft.com)
    • Çok‑ajanlı savunma: Üretim öncesi ve sonrası enjeksiyon tespit/temizleme ajanları; çıktı doğrulama; araç çağrılarında “onay‑gerektir”. (arxiv.org)
    • Araç/eklenti kabuğu: MCP/eklenti izinlerini minimumda tutun; komut çalıştırma/okuma‑yazma gibi yetkileri ayrıştırın. (OWASP LLM07/08/05) (owasp.org)
  • Süreç: Sürekli kırmızı‑takım (LLMail‑Inject benzeri senaryolar), olay masası tatbikatları (data exfil, zincir enjeksiyonu). (msrc.microsoft.com)
• 6–12 ay
  • Uyum: AB’de faaliyet varsa GPAI yükümlülükleri için şeffaflık, telif, enerji/riske dair gereklilikleri kapatın; 2026 yaptırımına hazır olun. (digital-strategy.ec.europa.eu)
  • Ölçüm: “Injection Success Rate (ISR)” ve “Policy Override Frequency (POF)” gibi metrikleri üretim KPI’larına ekleyin. (arxiv.org)

9. İnsanların En Çok Merak Ettiği Sorular (kanıtlı kısa yanıtlar)

• “Gerçekten mümkün mü?” Evet. Üretim sistemlerinde sıfır tıklamaya yakın zincirler (e‑posta/ajanda), doküman/website kaynaklı indirekt enjeksiyonlar ve kötü amaçlı model dosyalarıyla RCE gösterildi. (techtarget.com)
• “Ne kadar yaygın?” 2025’te kuruluşların çok büyük kısmı AI risklerine hazırlıksız (%90); prompt injection OWASP’ta 1 numara. IBM 2025 verileri de AI olaylarında kontrol/yönetişim eksikliğini gösteriyor. (accenture.com)
• “Riskleri neler?” Kritik: veri sızıntısı, yetkisiz işlem, itibar ve düzenleyici ceza, RCE ile yayılım, IP hırsızlığı. (IBM maliyet; AB yaptırım; JFrog/HF olayları.) (ibm.com)
• “Nasıl para kazanılır/kaybedilir?” Saldırganlar hesap/hak kötüye kullanımı, kripto/rek. kazanç, fidye; kurumlar müşteri kaybı, operasyon durması, ceza ve dava maliyeti yaşar. (Wiz, IBM, AB AI Act). (threats.wiz.io)
• “Yasal mı?” AB’de GPAI için açık yükümlülükler yürürlükte; ABD’de federal çerçeve gevşedi ama kurum içi yönetişim bekleniyor; Türkiye’de KVKK mahremiyet odağı güçlü. (digital-strategy.ec.europa.eu)
• “Gelecekte ne olacak?” Sistemik riskli modeller artacak; savunma tarafında kaynak etiketleme, model imzalama ve AI‑SPM platform yaklaşımı norm hâline gelecek. (arxiv.org)

10. Red Flag Kontrol Listesi

• Teyit edilmemiş viral iddialar; tek kaynağa dayalı dramatik bulgular; 2 yıldan eski istatistiklerle “bugün” yorumu; anekdotların genelleştirilmesi; “sihirli” tek‑tık çözümler. (Bu raporda her kritik iddia için en az 2 kaynak verildi.)

11. Bonus Araştırma Yönleri

• Karşıt görüşler: “Enjeksiyon riskleri abartılıyor; politika‑filtre yeter” diyen yaklaşımlar — pratik vakalar bu görüşe sistematik olarak ters düşüyor. (wired.com)
• Başarısız savunmalar: Sadece reg‑exp veya sadece kelime listesi; yüksek FP/FN. (JFrog sahte pozitif ve kaçak örnekleri) (jfrog.com)
• Sektör dışı ilham: Yazılım tedarik zincirinden SBOM→MBOM geçişi; kod imzalama disiplinlerinin model imzalamaya uyarlanması. (XZ/Docker yankısı) (techradar.com)
• Black swan: Model ağırlıklarının sızıntısı ve zincirleme supply‑chain enfeksiyonu; araç zincirinde onaysız finansal işlem çoklamaları.

Kaynakça ve Referanslar (seçme, bölümler içinde de işaretlenmiştir)

• IBM Cost of a Data Breach 2025/2024. (ibm.com)
• OWASP Top 10 for LLM Apps (2025/1.1). (owasp.org)
• MITRE ATLAS: teknikler ve işbirliği notları. (github.com)
• NIST AI RMF – GenAI Profili (NIST.AI.600‑1). (nist.gov)
• AB AI Act – GPAI takvimi ve kılavuzlar. (digital-strategy.ec.europa.eu)
• HF Spaces disclosure ve ilgili haberler. (huggingface.co)
• JFrog/Hugging Face kötü amaçlı model bulguları. (arstechnica.com)
• MindsDB–Weaviate CVE‑2024‑45846 (NVD/CERT). (nvd.nist.gov)
• Wiz JINX‑2401 (LLMjacking). (threats.wiz.io)
• Copilot/Gemini indirekt enjeksiyon gösterimleri ve MSRC rehberleri. (techtarget.com)
• Accenture/BCG/McKinsey pazar ve risk çalışmaları. (accenture.com)
• Türkiye: KVKK/USOM duyuruları ve haberler. (kvkk.gov.tr)

Ek: Uygulama Kontrol Listesi (özet)

• Tasarımda güvenlik:
  • Kaynak ayrıştırma (spotlighting), güvenilir‑güvenilmez içerik ayrımı; “context firewall”. (microsoft.com)
• İşletimde güvenlik:
  • Prompt ve yanıt denetimi; araç çağrılarında insan‑onayı; ayrıcalıkların asgariye indirilmesi. (cisco.com)
• Tedarik zinciri:
  • Model/dataset imzası ve MBOM; HF/PyPI/NPM kaynaklı paket ve model taraması; izolasyonlu yükleme. (axios.com)
• Süreklilik:
  • LLMail‑Inject benzeri kırmızı takım tatbikatları; ISR/POF performans göstergeleri; AB AI Act uyum yol haritası. (msrc.microsoft.com)

Notlar ve “shadow patterns”

• Reddit/Topluluk: HF token uyarıları alan kullanıcılar, trust_remote_code hassasiyeti, kripto‑madencilik şüphesi bildirimleri; bunlar resmi istatistiklerde görünmeyebilir ama saha sinyali sağlar. Bu nedenle resmi zafiyet veri tabanları ve üretici duyurularıyla çapraz teyit edilmiştir. (reddit.com)

Kapanış (tek cümlelik soundbite)

• “Veriler gösteriyor ki: LLM’leri güvenli kılmanın sırrı, modeli ‘daha fazla dinletmekte’ değil — veriyi, talimattan ayrıştırıp tedarik zincirini sertleştirmekte.” (microsoft.com)