Model Güvenliği: Supply Chain Risk ve SBOM

1. Giriş: AI Modellerinde Tedarik Zinciri Güvenliği

Yapay zeka ve makine öğrenimi modelleri, günümüzde sağlık, finans, otonom araçlar ve savunma sanayi gibi kritik sektörlerde hayati kararlar almaktadır. Ancak bu modellerin üretim, eğitim ve dağıtım süreçlerindeki tedarik zinciri güvenliği çoğu zaman göz ardı edilmektedir. Bir modelin eğitim verilerinden başlayarak, kullandığı kütüphanelere, çalıştığı altyapıya kadar her aşama potansiyel bir saldırı yüzeyi oluşturur.

Geleneksel yazılım dünyasında SolarWinds ve Log4Shell gibi tedarik zinciri saldırıları büyük yıkımlara yol açmıştır. AI dünyasında ise bu riskler çok daha karmaşık ve tehlikeli boyutlar kazanmaktadır. Bir modelin eğitim verilerine zehirli veri enjekte etmek, model ağırlıklarına gizli kapılar yerleştirmek veya dağıtım sürecinde modeli manipüle etmek — tüm bunlar modern AI tedarik zinciri saldırılarının örnekleridir.

Bu rehberde, AI model tedarik zincirindeki tüm risk noktalarını, saldırı vektörlerini ve bunlara karşı uygulanabilecek savunma stratejilerini detaylı şekilde ele alacağız. SBOM (Software Bill of Materials) kavramından model provenance'a, güvenli dağıtımdan dijital imzalamaya kadar kapsamlı bir güvenlik çerçevesi sunacağız.

2. Supply Chain Risk Nedir?

AI bağlamında supply chain risk (tedarik zinciri riski), bir AI modelinin yaşam döngüsünün herhangi bir aşamasında ortaya çıkabilecek güvenlik tehditlerini ifade eder. Bu zincir, veri toplama aşamasından modelin son kullanıcıya ulaşmasına kadar uzanan geniş bir süreci kapsar.

Tedarik Zinciri Katmanları

Katman	Risk Alanı	Örnek Tehdit
Veri Katmanı	Eğitim verileri	Veri zehirleme, label flipping
Yazılım Katmanı	ML kütüphaneleri, bağımlılıklar	Kötü amaçlı paketler, typosquatting
Model Katmanı	Model ağırlıkları, mimarisi	Backdoor yerleştirme, model klonlama
Altyapı Katmanı	Eğitim ve inference ortamı	GPU firmware saldırıları, container escape
Dağıtım Katmanı	Model servisi, API'ler	Man-in-the-middle, model değiştirme

Geleneksel yazılım tedarik zinciri riskleri ile AI tedarik zinciri riskleri arasında önemli farklar bulunmaktadır. AI modellerinde verinin kendisi bir bağımlılık haline gelir. Bir modelin davranışı, eğitildiği verilere doğrudan bağlıdır ve bu verilerin manipülasyonu, modelin çıktılarını köklü şekilde değiştirebilir.

Üçüncü Taraf Model Riskleri

Hugging Face, GitHub ve benzeri platformlardan indirilen önceden eğitilmiş modeller, özellikle yüksek risk taşır. Bu modellerin eğitim süreçleri, kullanılan veriler ve olası manipülasyonlar hakkında çoğu zaman yeterli bilgi bulunmaz. Transfer learning ve fine-tuning süreçlerinde kullanılan temel modelin güvenliği, üzerine inşa edilen tüm uygulamaların güvenliğini doğrudan etkiler.

Özellikle pickle formatında serileştirilmiş modeller, keyfi kod çalıştırma (arbitrary code execution) riski taşır. Bu dosyalar deserialize edildiğinde zararlı kod tetiklenebilir ve sistemin tamamına erişim sağlanabilir.

3. Model Zehirleme (Data Poisoning) Saldırıları

Model zehirleme, bir AI modelinin eğitim verilerine kötü amaçlı örnekler enjekte ederek modelin davranışını manipüle etme saldırısıdır. Bu saldırı türü, tedarik zincirinin en erken aşamasını hedef alır ve tespit edilmesi oldukça zordur.

Zehirleme Türleri

Availability Poisoning: Modelin genel performansını düşürmeyi amaçlar. Eğitim verisine rastgele gürültü veya yanlış etiketler ekleyerek modelin doğruluğunu azaltır. Bu saldırı nispeten kolay tespit edilebilir çünkü model performansında gözle görülür bir düşüş yaşanır.

Targeted Poisoning: Modelin belirli girdiler için yanlış sonuçlar üretmesini sağlar. Örneğin, bir spam filtresini belirli bir gönderici veya konu ile gelen mailleri spam olarak işaretlememesi için manipüle edebilir. Bu tür saldırılar çok daha tehlikelidir çünkü model genel performansını korurken sadece hedeflenen durumlarda hatalı davranır.

Backdoor Poisoning: Model zehirlemesinin en gelişmiş biçimidir. Eğitim verilerine belirli bir tetikleyici (trigger) ile birlikte kötü amaçlı örnekler eklenir. Model, normal şartlarda doğru çalışır ancak tetikleyici mevcut olduğunda saldırganın istediği çıktıyı üretir.

Zehirleme Tespit Yöntemleri

Zehirlenmiş verileri tespit etmek için çeşitli yöntemler kullanılır. İstatistiksel analiz ile veri dağılımındaki anomaliler tespit edilebilir. Spectral signature analysis yöntemi, zehirlenmiş örneklerin özellik uzayındaki imzalarını belirlemeye çalışır. Activation clustering ise modelin iç katmanlarındaki aktivasyonları analiz ederek şüpheli örnekleri gruplara ayırır.

Ayrıca Neural Cleanse ve STRIP gibi araçlar, eğitilmiş modellerde zehirleme izlerini tespit etmek için kullanılabilir. Bu araçlar, modelin karar sınırlarındaki anormallikleri belirleyerek potansiyel backdoor'ları ortaya çıkarır.

4. Backdoor Saldırıları ve Trojan Modeller

Backdoor saldırıları, AI modellerine gizli kapılar yerleştirerek saldırgana kontrol imkânı tanıyan sofistike tehditlerdir. Trojan modeller olarak da bilinen bu modeller, standart test setlerinde normal performans gösterirken, belirli bir tetikleyici (trigger pattern) algıladıklarında saldırganın belirlediği çıktıyı üretir.

Backdoor Yerleştirme Yöntemleri

Eğitim Zamanı Backdoor: Eğitim verisine tetikleyici paternler (örneğin, görüntünün köşesindeki küçük bir kare veya metin içindeki belirli kelime dizileri) eklenir. Model, bu paternleri hedeflenen çıktıyla ilişkilendirmeyi öğrenir.

Model Değiştirme (Weight Manipulation): Eğitilmiş bir modelin ağırlıkları doğrudan değiştirilerek backdoor yerleştirilir. Bu yöntem, modelin eğitim verisine erişim gerektirmez, sadece model dosyalarına erişim yeterlidir.

Transfer Learning Yoluyla: Tedarik zincirindeki en sinsi saldırı vektörlerinden biridir. Saldırgan, popüler bir önceden eğitilmiş modele backdoor yerleştirir. Bu model fine-tuning yapıldığında bile backdoor korunabilir ve tüm türetilmiş modellere yayılır.

# Backdoor tespit örneği - Neural Cleanse yaklaşımı
import torch
import numpy as np

def detect_backdoor(model, clean_data, num_classes):
    """Her sınıf için minimum perturbation maskesi hesapla"""
    anomaly_scores = []
    for target_class in range(num_classes):
        mask, pattern = reverse_engineer_trigger(
            model, clean_data, target_class
        )
        l1_norm = torch.norm(mask, p=1)
        anomaly_scores.append(l1_norm.item())
    
    # MAD (Median Absolute Deviation) ile anomali tespiti
    median = np.median(anomaly_scores)
    mad = np.median(np.abs(anomaly_scores - median))
    anomaly_index = (median - np.min(anomaly_scores)) / (mad + 1e-6)
    
    return anomaly_index > 2.0  # Eşik değeri

LLM'lerde Backdoor Riskleri

Büyük dil modellerinde (LLM) backdoor saldırıları özellikle endişe vericidir. Bir LLM, belirli bir bağlamda zararlı kod üretmek, hassas bilgileri sızdırmak veya güvenlik kontrollerini atlamak üzere programlanabilir. Fine-tuning sürecinde eklenen backdoor'lar, modelin genel dil yeteneğini etkilemeden gizli kalabilir ve milyonlarca kullanıcıyı etkileyebilir.

5. SBOM: Software Bill of Materials

SBOM (Software Bill of Materials), bir yazılımın içerdiği tüm bileşenlerin, bağımlılıkların ve bunların sürümlerinin ayrıntılı envanterini sunan bir belgedir. AI bağlamında SBOM kavramı, modelin eğitim verileri, kullanılan kütüphaneler, hiperparametreler ve altyapı bilgilerini de kapsayacak şekilde genişletilmektedir.

AI-SBOM Bileşenleri

Bileşen	Açıklama	Önem Derecesi
Veri Kaynakları	Eğitim, doğrulama ve test veri setleri	Kritik
ML Framework	PyTorch, TensorFlow, JAX sürümleri	Kritik
Bağımlılıklar	Tüm Python paketleri ve sürümleri	Yüksek
Temel Model	Pre-trained model referansı ve hash'i	Kritik
Hiperparametreler	Eğitim konfigürasyonu	Orta
Altyapı	Donanım, OS, container imajları	Yüksek

SBOM Standartları

AI-SBOM oluşturmak için kullanılabilecek birçok standart bulunmaktadır. SPDX (Software Package Data Exchange), Linux Foundation tarafından desteklenen ve ISO standardı olarak kabul edilen bir formattır. CycloneDX, OWASP tarafından geliştirilen ve AI/ML bileşenlerini destekleyen bir diğer önemli standarttır. CycloneDX'in son sürümleri, makine öğrenimi modelleri için özel alanlar içerir ve model kartları (model cards) ile entegrasyon sağlar.

# CycloneDX AI-SBOM örneği (JSON formatı)
{
  "bomFormat": "CycloneDX",
  "specVersion": "1.6",
  "components": [
    {
      "type": "machine-learning-model",
      "name": "fraud-detection-v2",
      "version": "2.1.0",
      "modelCard": {
        "modelParameters": {
          "approach": "supervised",
          "task": "classification"
        },
        "datasets": [...],
        "quantitativeAnalysis": {...}
      },
      "hashes": [{
        "alg": "SHA-256",
        "content": "a1b2c3d4..."
      }]
    }
  ]
}

SBOM oluşturma süreci otomatikleştirilmelidir. CI/CD pipeline'larına entegre edilen SBOM üretim araçları, her model sürümünde otomatik olarak bileşen envanteri çıkarır. Bu sayede herhangi bir güvenlik açığı keşfedildiğinde, etkilenen tüm modeller hızlıca belirlenebilir.

6. Model Provenance ve Köken Takibi

Model provenance (model kökeni), bir AI modelinin tüm yaşam döngüsünü belgeleme ve izleme pratiğidir. Modelin hangi verilerle eğitildiği, kim tarafından geliştirildiği, hangi dönüşümlerden geçtiği ve nasıl dağıtıldığı gibi bilgileri kapsar.

Provenance Grafikleri

Model provenance, bir yönlü çizge (DAG - Directed Acyclic Graph) olarak modellenebilir. Her düğüm bir varlığı (veri, model, konfigürasyon) temsil ederken, kenarlar bu varlıklar arasındaki ilişkileri ve dönüşümleri gösterir. Bu yapı, modelin kökeninin tam şeffaflığını sağlar ve herhangi bir sorun durumunda kök neden analizini kolaylaştırır.

W3C PROV standardı ve ML-specific uzantıları, model provenance'ı standart bir formatta belgelemeyi mümkün kılar. MLflow, DVC (Data Version Control) ve Kubeflow Pipelines gibi araçlar, provenance bilgilerini otomatik olarak toplar ve saklar.

Blockchain Tabanlı Provenance

Bazı organizasyonlar, model provenance kayıtlarının değiştirilemezliğini garanti altına almak için blockchain teknolojisini kullanmaktadır. Modelin her aşamasının hash'i blockchain'e kaydedilir ve bu sayede provenance bilgilerinin sonradan manipüle edilmesi imkânsız hale gelir. Ancak bu yaklaşımın ölçeklenebilirlik ve maliyet açısından zorlukları da bulunmaktadır.

7. Güvenli Model Dağıtımı

Model dağıtım süreci, tedarik zincirinin en kritik aşamalarından biridir. Modelin eğitim ortamından üretim ortamına transferi sırasında birçok güvenlik riski ortaya çıkabilir.

Güvenli Model Formatları

Model serileştirme formatı, güvenli dağıtımın temel taşıdır. Pickle formatının inherent güvenlik riskleri nedeniyle, daha güvenli alternatifler tercih edilmelidir:

• SafeTensors: Hugging Face tarafından geliştirilen, keyfi kod çalıştırmaya izin vermeyen güvenli bir format. Tensör verilerini doğrudan bellekten eşleme (memory mapping) ile yükler.
• ONNX: Open Neural Network Exchange formatı, platformlar arası taşınabilirlik sağlarken güvenlik açısından da daha kontrollü bir ortam sunar.
• TensorFlow SavedModel: Protocol Buffer tabanlı serileştirme kullanır ve pickle'a göre daha güvenlidir, ancak yine de dikkatli kullanılmalıdır.

Container Güvenliği

Model dağıtımında yaygın olarak kullanılan container teknolojileri için güvenlik önlemleri alınmalıdır. Minimal base image'ler kullanmak, container'ları root olmayan kullanıcılarla çalıştırmak, image imzalama ve tarama süreçlerini otomatikleştirmek temel gereksinimlerdir. Distroless veya Alpine tabanlı imajlar, saldırı yüzeyini minimuma indirir.

8. Doğrulama ve İmzalama Mekanizmaları

Model bütünlüğünü garanti altına almak için kriptografik doğrulama ve dijital imzalama mekanizmaları kritik öneme sahiptir. Bu mekanizmalar, modelin üretim ortamına ulaşana kadar değiştirilmediğini doğrular.

Kriptografik Hash Doğrulaması

Her model dosyasının SHA-256 veya SHA-3 hash'i hesaplanmalı ve güvenli bir şekilde saklanmalıdır. Model dağıtımının her aşamasında hash doğrulaması yapılarak dosya bütünlüğü kontrol edilir. Bu basit ama etkili yöntem, model dosyalarının transit sırasında değiştirilmesini tespit eder.

Dijital İmzalama

Sigstore ve Cosign gibi araçlar, model dosyalarını dijital olarak imzalamak için kullanılabilir. Bu araçlar, modelin kim tarafından üretildiğini ve üretimden sonra değiştirilmediğini kriptografik olarak garanti eder. Container imajları için Docker Content Trust ve Notary servisleri benzer güvenlik sağlar.

# Cosign ile model imzalama örneği
# Model dosyasının hash'ini hesapla
sha256sum model.safetensors > model.sha256

# Cosign ile imzala
cosign sign-blob --key cosign.key \
  --output-signature model.sig \
  model.safetensors

# Doğrulama
cosign verify-blob --key cosign.pub \
  --signature model.sig \
  model.safetensors

SLSA Framework

SLSA (Supply Chain Levels for Software Artifacts), Google tarafından önerilen ve tedarik zinciri güvenliği için kademeli bir çerçeve sunar. SLSA'nın dört seviyesi, kaynak bütünlüğünden tam otomatik yapı sistemlerine kadar giderek artan güvenlik gereksinimleri tanımlar. AI modelleri için SLSA uyumluluğu, model build pipeline'larının güvenliğini artırır.

9. Risk Azaltma Stratejileri

AI model tedarik zinciri risklerini azaltmak için kapsamlı bir strateji benimsemek gereklidir. Aşağıda, organizasyonların uygulayabileceği temel risk azaltma stratejilerini ele alıyoruz.

1. Derinlemesine Savunma (Defense in Depth)

Tek bir güvenlik katmanına güvenmek yerine, tedarik zincirinin her aşamasında çoklu güvenlik kontrolleri uygulanmalıdır. Veri doğrulaması, model taraması, runtime monitoring ve anomali tespiti birlikte çalışmalıdır.

2. Zero Trust Model Yönetimi

Hiçbir modele veya veri kaynağına varsayılan olarak güvenilmemelidir. Her model, kaynağından bağımsız olarak doğrulanmalı, taranmalı ve test edilmelidir. İç ortamda geliştirilen modeller bile aynı güvenlik süreçlerinden geçmelidir.

3. Sürekli İzleme ve Anomali Tespiti

Üretim ortamındaki modellerin davranışları sürekli izlenmelidir. Model drift, beklenmedik çıktılar veya performans değişimleri, bir tedarik zinciri saldırısının göstergesi olabilir. Model monitoring araçları ile gerçek zamanlı anomali tespiti sağlanmalıdır.

4. Güvenli Geliştirme Yaşam Döngüsü

ML geliştirme yaşam döngüsüne güvenlik kontrollerini entegre etmek kritiktir. Kod incelemesi, otomatik güvenlik taramaları, bağımlılık denetimleri ve penetrasyon testleri standart süreçler haline getirilmelidir. MLSecOps yaklaşımı, DevSecOps prensiplerini ML pipeline'larına uyarlar.

5. Olay Müdahale Planı

Model tedarik zinciri ihlalleri için özel bir olay müdahale planı hazırlanmalıdır. Bu plan; ihlalin tespiti, etkilenen modellerin belirlenmesi, acil geri alma (rollback) prosedürleri, kök neden analizi ve düzeltici eylemleri kapsamalıdır. Düzenli tatbikatlar ile planın etkinliği test edilmelidir.

10. Araçlar ve Framework'ler

Model tedarik zinciri güvenliğini sağlamak için kullanılabilecek başlıca araçlar ve framework'ler:

Araç	Kullanım Alanı	Açıklama
ModelScan	Model Tarama	Zararlı model dosyalarını tespit eder
Fickling	Pickle Analizi	Pickle dosyalarındaki zararlı kodu tespit eder
SafeTensors	Güvenli Format	Güvenli model serileştirme formatı
Sigstore/Cosign	İmzalama	Dijital imzalama ve doğrulama
in-toto	Supply Chain	Tedarik zinciri bütünlüğü framework'ü
MITRE ATLAS	Tehdit Modelleme	AI sistemlerine yönelik saldırı taksonomisi

11. Geleceğe Bakış

AI model tedarik zinciri güvenliği alanı hızla gelişmektedir. Yakın gelecekte beklenen önemli trendler arasında federated model doğrulama, homomorphic encryption ile güvenli model eğitimi ve sıfır bilgi kanıtları (ZKP) ile model bütünlük doğrulaması yer almaktadır.

Düzenleyici çerçeveler de bu alanda önemli gelişmeler kaydetmektedir. AB AI Act, ABD Executive Order 14110 ve NIST AI Risk Management Framework gibi düzenlemeler, AI tedarik zinciri güvenliğini yasal bir gereklilik haline getirmektedir. Organizasyonların bu düzenlemelere uyum sağlamak için proaktif adımlar atması kritik önem taşımaktadır.

Model tedarik zinciri güvenliği, AI sistemlerinin güvenilirliğinin ve toplumsal kabulünün temel taşlarından biridir. Bugün atılacak doğru adımlar, gelecekte çok daha büyük güvenlik krizlerinin önlenmesini sağlayacaktır.

12. Sıkça Sorulan Sorular (SSS)