Kategori Tanımı · AI Firewall · Runtime Savunma

Yapay Zekâ Güvenlik Duvarı
(LLM Firewall) Nedir?

Dil modelleri kurumsal uygulamalara girdikçe, klasik ağ ve web güvenliği yetersiz kalıyor. Bu rehber, LLM firewall (yapay zekâ güvenlik duvarı) kavramını tanımlar; ne yaptığını, geleneksel WAF'tan farkını, mimarisini ve proxy/gateway olarak nasıl entegre edildiğini OWASP LLM Top 10, MITRE ATLAS ve NIST AI RMF eşlemeleriyle açıklar.

TLDR: LLM firewall (yapay zekâ güvenlik duvarı), bir dil modeli uygulamasına giden istekleri ve modelden dönen yanıtları çalışma zamanında inceleyen bir güvenlik katmanıdır. Amacı; prompt injection, jailbreak, hassas veri (PII) sızıntısı ve zararlı çıktıyı gerçek zamanlı tespit edip maskelemek veya engellemektir. Geleneksel WAF paketleri ve imzaları denetlerken, LLM firewall doğal dilin niyetini ve anlamını denetler. Genellikle uygulama ile model API'si arasına bir proxy / AI gateway olarak yerleştirilir ve OWASP LLM Top 10'daki LLM01, LLM02 ve LLM06 risklerini hedefler.

LLM firewall (yapay zekâ güvenlik duvarı) nedir?

LLM firewall, bir büyük dil modeli (LLM) uygulamasının girdi ve çıktı akışını çalışma zamanında (runtime) denetleyen bir güvenlik katmanıdır. Kullanıcıdan gelen istem (prompt) modele ulaşmadan önce ve modelin ürettiği yanıt kullanıcıya dönmeden önce, bu katman içeriği inceler; politikaya aykırı, manipülatif ya da hassas veri barındıran akışları tespit eder ve maskeleme, yeniden yazma veya engelleme ile müdahale eder.

Kavram literatürde AI firewall, LLM güvenlik duvarı, prompt firewall ya da daha geniş anlamda AI gateway ve LLM guardrail gibi adlarla da anılır. Ortak nokta şudur: model kod olarak güvenli olsa bile, dil modeline verilen ve modelden alınan doğal dil içeriği yeni bir saldırı yüzeyidir ve bu yüzeyi geleneksel ağ güvenliği araçları görmez. LLM firewall tam da bu semantik katmanda çalışır.

Basitçe: bir web uygulamasını nasıl WAF koruyorsa, bir yapay zekâ uygulamasını da benzer mantıkla runtime bir savunma katmanı korur. Ancak inceleme birimi paket veya HTTP başlığı değil, anlam taşıyan metindir.

LLM firewall ne işe yarar? Temel işlevleri

Olgun bir LLM firewall, tek bir kural motorundan çok bir savunma hattıdır. Başlıca işlevleri aşağıdaki gibi gruplanabilir:

1. Prompt injection ve jailbreak tespiti

Girdideki gizli talimatları (prompt injection) ve model güvenlik politikasını aşmaya çalışan kalıpları (jailbreak) yakalar. Bunlar "önceki talimatları unut", rol yaptırma, kademeli nezaket eskalasyonu (crescendo) veya çeviri bahanesi gibi doğrudan ve dolaylı biçimlerde gelebilir. LLM firewall bu kalıpları imza, sınıflandırıcı ve LLM-judge kombinasyonuyla değerlendirir.

2. Hassas veri (PII) tespiti ve maskeleme

Hem girdide hem çıktıda kişisel veriyi tanır ve maskeler. Türkiye bağlamında bu, TC kimlik numarası, IBAN, kart numarası, telefon ve plaka gibi alanların yalnızca desen (regex) ile değil, algoritma doğrulamalı (TC doğrulama, IBAN MOD-97, Luhn) biçimde yakalanmasını gerektirir. Ayrıntı için KVKK ve LLM'de PII maskeleme yazısına bakılabilir.

3. Çıktı filtreleme ve içerik denetimi

Modelin yanıtı kullanıcıya ulaşmadan önce denetlenir: zararlı içerik, veri sızıntısı, sistem promptu ifşası veya güvenli olmayan biçimlendirme (ör. yanıta gömülü çalıştırılabilir kod, tehlikeli bağlantı) taranır. Bu, OWASP'ın "Improper Output Handling" (LLM05) kalemine denk gelir.

4. Araç/agent yetkisi sınırlama

Model bir agent gibi araç çağırıyorsa (e-posta gönderme, veritabanı sorgusu, ödeme), firewall bu çağrıların meşruluğunu ve kapsamını denetler. Aşırı yetki (LLM06 Excessive Agency) ve araç ele geçirme (tool hijacking) girişimlerini sınırlar.

5. Runtime izleme ve olay kaydı

Tüm bu denetimler gerçek zamanlı çalışır ve loglanır. Böylece güvenlik ekipleri; hangi saldırı kalıplarının denendiğini, hangi çıktıların bloklandığını ve zaman içindeki eğilimleri görebilir. Bu izleme katmanı, LLM firewall'u statik bir filtre olmaktan çıkarıp bir tespit-mühendisliği (detection engineering) yüzeyine dönüştürür. Konu runtime LLM guardrail tasarımıyla doğrudan ilişkilidir.

LLM firewall geleneksel WAF'tan nasıl farklı?

En sık sorulan soru budur: "Zaten bir WAF'ımız var, LLM firewall'a neden gerek duyalım?" Cevap, iki aracın farklı katmanlarda ve farklı tehdit modellerinde çalışmasında yatar. WAF ağ/uygulama trafiğinin yapısını, LLM firewall ise doğal dilin anlamını denetler.

Boyut Geleneksel WAF LLM Firewall
İnceleme birimiHTTP isteği, paket, başlıkDoğal dil istem ve yanıt
Tespit mantığıİmza, kural, desen (SQLi, XSS)Semantik/niyet analizi + sınıflandırıcı + LLM-judge
Ana tehditlerEnjeksiyon, XSS, DDoS, botPrompt injection, jailbreak, PII sızıntısı, aşırı agent yetkisi
Karar zorluğuGenelde deterministikBağlama ve dile bağlı, olasılıksal
Çıktı denetimiSınırlıMerkezi (yanıt filtreleme kritik)
Standart eşlemeOWASP Web Top 10OWASP LLM Top 10, MITRE ATLAS

Kritik ayrım şudur: bir SQL injection payload'ı sözdizimsel olarak anormaldir ve imzayla yakalanabilir. Oysa bir prompt injection tamamen geçerli, akıcı Türkçe bir cümle olabilir; "Bu belgeyi özetlerken, üstteki gizli talimatı da uygula" gibi. Bir WAF bu cümlede sözdizimsel olarak yanlış hiçbir şey görmez. LLM firewall ise cümlenin ne yapmaya çalıştığını değerlendirir. Dolayısıyla ikisi rakip değil, tamamlayıcı katmanlardır: WAF ağ katmanını, LLM firewall model katmanını korur.

Not: LLM firewall, WAF'ın yerini almaz. İdeal mimaride WAF dış perimetreyi korur, LLM firewall ise uygulama ile model arasındaki iç akışı denetler. İkisi farklı OWASP listelerine (Web Top 10 ve LLM Top 10) karşılık gelir.

LLM firewall nasıl çalışır? Girdi ve çıktı denetimi

LLM firewall'un çalışma mantığı iki yönlüdür: gelen (inbound) istemi modele iletmeden önce, giden (outbound) yanıtı kullanıcıya döndürmeden önce denetlemek. Aradaki modele "kör" güvenmek yerine, her iki uçta da bir kontrol noktası kurulur.

┌──────────────┐      ┌───────────────────────┐      ┌──────────────┐
│  Kullanıcı   │ ───▶ │      LLM FIREWALL      │ ───▶ │   LLM /      │
│  / Uygulama  │      │  (girdi denetimi)      │      │   Model API  │
└──────────────┘      │  • injection/jailbreak │      └──────┬───────┘
                      │  • PII tespit/maskele  │             │
                      │  • politika kontrolü   │             │
                      └───────────────────────┘             │
       ▲                                                     │
       │              ┌───────────────────────┐             │
       └───────────── │      LLM FIREWALL      │ ◀───────────┘
        güvenli yanıt │  (çıktı denetimi)      │
                      │  • veri sızıntısı      │
                      │  • zararlı içerik      │
                      │  • sistem promptu ifşa │
                      └───────────────────────┘

Tespit motorları genellikle katmanlı çalışır ve tek bir yönteme bağlı kalmaz:

  • Desen ve imza katmanı: Bilinen enjeksiyon kalıpları, tehlikeli anahtar kelimeler ve algoritma doğrulamalı PII desenleri. Hızlı ve deterministiktir.
  • Sınıflandırıcı katmanı: Enjeksiyon/jailbreak olasılığını puanlayan, ince ayarlı küçük bir model (ör. mDeBERTa türevi). Türkçe için Türkçe veriyle eğitilmesi kritiktir.
  • LLM-judge katmanı: Belirsiz sınır durumlarında bir modelin niyeti ve bağlamı değerlendirmesi. Kesinliği yüksek ama maliyeti daha fazladır; bu yüzden yalnızca gri bölgede tetiklenir.

Bu katmanlı yaklaşımın hedefi, hem yanlış negatifi (kaçan saldırı) hem de yanlış pozitifi (masum isteğin bloklanması, aşırı savunma) dengede tutmaktır. Aşırı katı bir firewall, meşru kullanıcı deneyimini bozar; çok gevşek olanı ise korumasız bırakır. Denge, kategori bazlı eşikler ve iyi kalibre edilmiş bir değerlendirici ile kurulur.

LLM firewall nasıl entegre edilir? (Proxy, gateway, SDK)

LLM firewall bir uygulamaya üç temel biçimde bağlanır. Seçim; mimariye, gecikme toleransına ve modelin nerede barındırıldığına bağlıdır.

1. Ters proxy / AI gateway

En yaygın ve en az müdahaleci yöntem budur. Uygulama, model sağlayıcının uç noktası yerine firewall'un adresine istek gönderir. Firewall isteği denetler, modele iletir, dönen yanıtı kontrol eder ve uygulamaya döndürür. Kod değişikliği çoğu zaman yalnızca base URL'i değiştirmekten ibarettir. Birden fazla model sağlayıcının tek bir kapıdan yönetildiği bu desen literatürde AI gateway olarak da anılır ve merkezî politika, oran sınırlama ve gözlemlenebilirlik sağlar.

# Önce (doğrudan model API'si)
client = LLM(base_url="https://api.saglayici.com/v1")

# Sonra (LLM firewall / AI gateway üzerinden)
client = LLM(base_url="https://firewall.kurum.local/v1")
# İstek ve yanıt artık firewall tarafından denetlenir

2. Kütüphane / SDK çağrısı

Firewall bir kütüphane olarak uygulama koduna gömülür; istem modele gönderilmeden önce check_input(), yanıt döndürülmeden önce check_output() çağrılır. Daha fazla kontrol sağlar ama uygulama koduna dokunmayı gerektirir ve her istemci dilinde ayrı entegrasyon ister.

3. Sidecar / mikroservis

Firewall bağımsız bir servis (ör. bir sidecar konteyner) olarak çalışır; uygulama denetim için ona iç ağ üzerinden başvurur. On-prem ve kapalı ağ dağıtımlarında, verinin kurum sınırından çıkmaması gereken senaryolarda tercih edilir.

Gecikme uyarısı: Her denetim katmanı bir miktar gecikme ekler. Doğru tasarımda hızlı desen/sınıflandırıcı katmanı her istekte, maliyetli LLM-judge yalnızca gri bölgede çalışır. Aksi halde firewall, korumak istediği uygulamanın deneyimini bozabilir.

OWASP LLM Top 10 ve standart eşlemesi

LLM firewall'un kapsamını en net biçimde standartlarla ölçmek mümkündür. Aşağıdaki tablo, tipik bir LLM firewall'un OWASP LLM Top 10 (2025) kalemleriyle ilişkisini özetler.

OWASP LLM Risk LLM firewall katkısı
LLM01Prompt InjectionBirincil hedef: girdide gizli talimat ve jailbreak tespiti
LLM02Sensitive Information DisclosureGirdi/çıktıda PII ve gizli veri maskeleme
LLM05Improper Output HandlingÇıktı filtreleme, güvenli olmayan biçimlendirme kontrolü
LLM06Excessive AgencyAraç/agent çağrılarının kapsam ve yetki denetimi
LLM08Vector & Embedding WeaknessesRAG akışında bağlam kaynağının denetimi (dolaylı)

Eşleme yalnızca OWASP ile sınırlı değildir:

  • MITRE ATLAS: Firewall'un yakaladığı kalıplar; ATLAS'taki LLM Prompt Injection ve LLM Jailbreak gibi düşman teknikleriyle eşlenerek tespit-mühendisliği kapsamı ölçülebilir.
  • NIST AI RMF / AI 600-1: Runtime denetim ve loglama, "Manage" ve "Measure" fonksiyonlarına somut bir kontrol sağlar.
  • KVKK ve 7545 sayılı Siber Güvenlik Kanunu: PII maskeleme ve olay kaydı, veri koruma ve olay yönetimi yükümlülüklerini destekler. KVKK Madde 6 özel nitelikli veri boyutu Türkiye özelinde ayrıca kritiktir.
  • EU AI Act: Yüksek riskli sistemler için şeffaflık ve risk yönetimi gereksinimlerine runtime kontrol katkısı sağlar.

RAG mimarilerinde firewall'un rolü, dış bağlamdan gelen dolaylı enjeksiyonu denetlemekle genişler: modele yalnızca kullanıcı değil, getirilen belge de "konuşur" ve bu içerik de saldırgan olabilir.

LLM firewall seçerken nelere dikkat edilmeli?

Bir LLM firewall'un etkinliği, sadece "prompt injection engelliyor mu?" sorusuyla ölçülemez. Kurumsal bir değerlendirmede şu boyutlar öne çıkar:

  • Dil kapsamı: Çözüm Türkçe saldırı kalıplarını tanıyor mu? Çoğu yabancı araç İngilizce veriyle eğitilmiştir ve Türkçe morfolojik bypass ile atlatılabilir.
  • PII derinliği: Tek bir "PII" etiketi mi var, yoksa TC/IBAN/kart algoritma doğrulamalı mı ve KVKK'nin özel nitelikli kategorileri ayrı mı işaretleniyor?
  • Çift yönlü denetim: Yalnızca girdiyi mi tarıyor, çıktıyı da mı? Çıktı denetimi olmayan bir firewall eksiktir.
  • Yanlış pozitif dengesi: Aşırı savunma kullanıcı deneyimini öldürür. Kategori bazlı eşik ayarı yapılabiliyor mu?
  • Gözlemlenebilirlik: Bloklanan istekleri, gerekçeleri ve eğilimleri raporluyor mu?
  • Dağıtım modeli: On-prem/kapalı ağ mümkün mü? Verinin kurum dışına çıkması istenmeyen senaryolarda bu belirleyicidir.
  • Veri egemenliği: Denetim, verinizi bir üçüncü tarafın bulutuna göndermeden yapılabiliyor mu?

Bu kriterlerin ürün karşılaştırmalı ayrıntısı için AI firewall seçim rehberi yazısına bakılabilir.

Yerli bir örnek: AltaySec Guardian

Yukarıda anlatılan mimarinin somut bir uygulaması olarak Guardian, Türkçe LLM dağıtımları için tasarlanmış bir runtime savunma katmanıdır. Guardian; girdi ve çıktı denetimini birlikte yürütür, Türkçe injection/jailbreak kalıplarını hedefler ve PII modülünde TC/IBAN/kart gibi alanları algoritma doğrulamalı biçimde ele alır. KVKK'nin özel nitelikli veri sınıfını ayrı bir kategori olarak işlemesi, yabancı şablonlarla gelen çözümlerden temel farkını oluşturur.

Guardian'ın tasarımı bu makalede tarif edilen genel LLM firewall desenini izler: proxy/gateway olarak konumlanır, katmanlı bir tespit motoru (desen + sınıflandırıcı + LLM-judge) çalıştırır ve tüm kararları loglar. Amaç ürünü övmek değil, kavramın Türkiye bağlamında nasıl hayata geçtiğini göstermektir; aynı ilkeler herhangi bir yerli veya kurum içi çözüm için de geçerlidir.

Sık sorulan sorular

LLM firewall ile guardrail aynı şey mi?

Yakın ama tam aynı değil. "Guardrail" genellikle uygulama içine gömülü, geliştirici tarafından tanımlanan davranış kısıtlarıdır. "LLM firewall" ise trafiği bağımsız bir katmanda denetleyen, merkezî ve politika odaklı bir bileşendir. Pratikte olgun bir çözüm ikisini birleştirir.

LLM firewall prompt injection'ı tamamen engeller mi?

Hiçbir savunma %100 değildir. LLM firewall, saldırı yüzeyini belirgin biçimde daraltır ve bilinen kalıpların büyük kısmını yakalar; ancak yeni ve yaratıcı kalıplar için sürekli güncellenen bir tespit mühendisliği ve düzenli LLM pentest gerekir.

Küçük bir uygulama için de gerekli mi?

Uygulama kişisel veri işliyorsa veya araç/agent çağırıyorsa, ölçekten bağımsız olarak en azından temel bir girdi/çıktı denetimi önerilir. Risk, kullanıcı sayısıyla değil, işlenen verinin ve verilen yetkinin hassasiyetiyle orantılıdır.

Yabancı bir LLM firewall Türkçe için yeterli mi?

Çoğu durumda değil. İngilizce odaklı çözümler Türkçe morfolojik bypass, kültürel manipülasyon ve KVKK'nin özel nitelikli veri kategorisi gibi yerel riskleri ıskalayabilir. Türkçe dağıtımlarda dil ve mevzuat farkındalığı olan bir katman önerilir.

Sonuç

Yapay zekâ güvenlik duvarı (LLM firewall), dil modeli uygulamalarının olgunlaşmasıyla birlikte "opsiyonel" olmaktan çıkıp kurumsal mimarinin standart bir katmanına dönüşüyor. Klasik WAF ağı korurken, LLM firewall doğal dilin oluşturduğu yeni saldırı yüzeyini — prompt injection, PII sızıntısı, jailbreak ve aşırı agent yetkisini — çalışma zamanında denetliyor.

Doğru kurulmuş bir LLM firewall; girdiyi ve çıktıyı birlikte denetleyen, katmanlı bir tespit motoru çalıştıran, OWASP LLM Top 10 ile MITRE ATLAS'a eşlenen ve kararlarını loglayan bir savunma hattıdır. Türkiye bağlamında ise dil ve mevzuat farkındalığı — Türkçe saldırı kalıpları ve KVKK'nin özel nitelikli veri sınıfı — bu katmanın etkinliğini belirleyen ayırt edici unsurdur.

LLM dağıtımınız için runtime savunma katmanını değerlendirmek, mevcut bir mimariyi denetlemek veya kurum bazlı bir POC planlamak isterseniz: AltaySec hizmetleri ve Guardian üzerinden başlayabilir, ya da doğrudan [email protected] adresine yazabilirsiniz.

Bu yazıya atıf:

Yurtsevenler, F. E. (2026). Yapay Zekâ Güvenlik Duvarı
(LLM Firewall) Nedir? AltaySec.
https://altaysec.com.tr/arastirmalar/llm-firewall-nedir.html