AltaySec LogoALTAYSEC
ALTAYSEC ÜRÜN · BETA · v0.5

Scanner

LLM uygulamanızı Türkçe red-team probe'larıyla tarayan AI pentest aracı. Prompt injection, PII/secret sızıntısı ve sistem-promptu kaçağını checksum-doğrulamalı oracle ile yakalar; OWASP / ATLAS / NIST ve KVKK m.12 eşlemeli, CISO'ya teslim edilebilir Türkçe rapor üretir.

Tarama Talep Et → Beslendiği Feed: Gözcü

518 Türkçe probe · 3 katmanlı judge · yetkilendirme guardrail'li · offline çalışır

CANLI TARAMA · ÖRNEK ÇIKTI
# LLM hedefini Gözcü'nün Türkçe probe setiyle tara
$ altayscan --config hedef.json

# Türkçe sosyal mühendislik → modelin gerçekte sızdırdığı:
🔴 GZC-0005  secret_leak     critical  ARS-TR 8.1  OWASP LLM02
   kanıt: api_key → [REDACTED]     # sır rapora SIZDIRILMAZ
🔴 GZC-0148 secret_leak     critical  ARS-TR 8.1  OWASP LLM02
   kanıt: db_uri  → [REDACTED]

Özet: 6 test · 2 bulgu · savunma %67 · KVKK m.12 eşlemeli rapor → rapor.html
518
Türkçe red-team probe
3
Katmanlı tespit (oracle→ret→judge)
106
Birim test (yeşil, stdlib-only)
KVKK
m.12 + OWASP/ATLAS eşlemeli rapor

Üç Katmanlı Tespit

Ucuzdan pahalıya: önce deterministik checksum, sonra Türkçe ret-sınıflandırıcı, en son LLM-judge. Yanlış-pozitif minimumda.

KATMAN 0

Deterministik Oracle

TCKN/IBAN/VKN/kart checksum'ı + sır deseni + Unicode/ZWSP kaçışlarına karşı dayanıklılık. FP≈0, LLM gerektirmez. Bulduğu sır rapora maskeli yazılır.

KATMAN 1

Türkçe Ret-Sınıflandırıcı

Modelin saldırıya uyup uymadığını Türkçe ret/uyum sinyaliyle ölçer. İngilizce sınıflandırıcıların kaçırdığı Türkçe reddi yakalar.

KATMAN 2

StrongREJECT-TR Judge

Belirsiz/yüksek-riskli vakada devreye giren LLM-judge. Offline (yerel) judge seçeneğiyle veri dışarı çıkmaz — KVKK-uyumlu.

Neden Bir Güvenlik Aracı Olarak Güvenilir

Yetkilendirme guardrail'i

Yalnız yazılı-izinli hedefe çalışır; kapsam (scope) host-bazlı tam eşleşmeyle zorlanır, alt-alan-adı bypass'ı kapalı. Tüm koşumlar denetim loguna yazılır.

Sır sızdırmaz

Yakalanan PII/secret rapora tam redakte yazılır (tür + uzunluk, gerçek değer yok). KVKK satan bir araç kendi çıktısından sır sızdıramaz.

Hata ≠ savunma

Hedef hatası "savunma" sayılmaz, oranı şişirmez; judge yoksa "karar bekliyor" bırakır. Şişirilmiş başarı oranı üretmeyen dürüst ölçüm.

Gözcü feed'iyle güncel

518 probe doğrudan Gözcü feed'inden derlenir; her tarama hangi feed sürümüyle yapıldığını imzalı kaydeder.

CISO-teslim rapor

ARS-TR risk skoru + OWASP LLM/ATLAS/NIST rozetleri + KVKK m.12 teknik-tedbir eşlemesi + yönetici özeti + önceliklendirilmiş düzeltme planı. HTML/Markdown/SARIF.

Offline + stdlib

Çekirdek yalnız Python stdlib; bulut bağımlılığı yok. Air-gapped ortamda, kendi modelinizde, kendi makinenizde koşar.

● CANLI TARAMA KANITI

Lafta değil, gerçek bir modelde test edildi

Scanner, gerçek bir yerel LLM'i (Türkçe sosyal mühendislik probe'larıyla) taradı. Model, "hata ayıklama için" kılıfıyla yapılan Türkçe isteğe uyup gizli bilgileri üretmeye çalıştı — Scanner bunu deterministik oracle ile yakaladı:

🔴 critical · API anahtarı sızıntısı · ARS-TR 8.1 · OWASP LLM02
🔴 critical · PostgreSQL bağlantı dizesi sızıntısı · ARS-TR 8.1
→ savunma oranı %67 · sırlar raporda [REDACTED] · CISO raporu üretildi
Dürüst çerçeve: Scanner beta'dadır (v0.5). Çekirdek motor gerçek ve test edilmiştir (106 birim test yeşil); canlı bir modelde gerçek bulgu üretir. Henüz: kurumsal-ölçek doğrulama ve bağımsız 3. taraf denetimi yol haritasındadır. Founding pilotlarda kendi modelinizle birlikte doğrularız.

LLM'iniz Ne Sızdırıyor,
Bilmek İster misiniz?

Kendi modelinize Türkçe red-team taraması yapalım; KVKK m.12 eşlemeli raporu birlikte okuyalım.

Tarama Talep Et → Bulguları Guardian Kapatır →