LLM akıncıları ve onlarla başa çıkmanın yolları

AI güvenliği; veri hırsızlığını önleme, hileli AI aracılarını kısıtlama veya asistanların zararlı tavsiyeler vermesini durdurmadan daha fazlasını kapsar. Nispeten basit ancak hızla yaygınlaşan bir tehdit ortaya çıktı: Hesaplama gücünü ele geçirip başkalarının nöral ağlarını kişisel çıkarlar için kullanmaya yönelik girişimler. Buna LLMjacking deniyor. Yapay zeka hesaplama maliyetlerinin büyük ölçüde artacağı öngörülürken, bu motivasyonlarla saldırı düzenleyenlerin sayısının da artması bekleniyor. Sonuç olarak, özel yapay zeka sunucuları ve RAG veya MCP gibi bunları destekleyen ekosistemleri devreye alırken, ilk günden itibaren sıkı güvenlik önlemleri almak hayati önem taşıyor.

Bir bal küpünden gelen istatistikler

Bu kaynak ele geçirme girişimlerinin hızı ve boyutu, en iyi şekilde Nisan 2026’da ayrıntılarıyla belgelenen bir deneyde ortaya kondu. Araştırmacı, bir Raspberry Pi’yi yüksek performanslı özel bir yapay zeka sunucusu gibi gösterecek şekilde yapılandırdı ve internet üzerinden erişilebilir hale getirdi. Sorgulandığında; Ollama, LM Studio, AutoGPT, LangServe ve text-gen-webui sunucularının kullanılabilir olduğunu bildirdi. Bu araçların tümü, yerel olarak barındırılan yapay zeka modelleri için sarmalayıcı olarak yaygın olarak kullanılan araçlardır. Sunucu, sektör standardı haline gelen OpenAI formatındaki API taleplerini de kabul etmeye hazır görünüyordu.

Görünüşe göre tüm bu hizmetler, güvenlik uyumu kaldırılmış, en güçlü açık kaynaklı modellerden biri olan Qwen3-Coder 30B Heretic modelinin yerel bir örneği tarafından destekleniyordu. Üstüne bir de bu tuzak çeşitli RAG veri tabanlarının ve get_credentials gibi cazip özelliklere sahip bir MCP sunucusunun varlığını ortaya çıkardı.

Aslında Raspberry Pi, gerçek bir Qwen3 modelinden önceden kaydedilmiş 500 yanıtı barındırıyordu ve gelen her sorgu için en alakalı cevabı seçen hafif bir komut dosyası kullanılıyordu. Bu düzenleme, yüzeysel bir kontrolü geçmek için yeterli olurken, araştırmacının saldırganların niyetlerini araştırmasına da olanak sağladı.

Yazara göre, popüler bir internet tarama hizmeti olan Shodan, sunucunun yayına girmesinden üç saat sonra onu tespit etti. Sadece bir saat sonra, keşif amaçlı talepler akın akın gelmeye başladı. Takip eden ay boyunca, sunucu binlerce farklı IP adresinden gelen 113.000’den fazla talebi işledi; bu trafiğin %23’ü özellikle yapay zeka yeteneklerini keşfetmeye ve yerel büyük dil modelleri ile yapay zeka ajanlarını istismar etmeye yönelikti.

/api/tags ve /v1/models gibi uç noktalara yapılan talepler, saldırganların sunucuda hangi modellerin barındırıldığını tespit etmelerine olanak tanırken, /.cursor/rules adresini taramak genellikle bir yapay zeka ajanı üzerinde istismar girişiminden önce gelir. Benzer şekilde, /.well-known/mcp.json dosyasını kontrol etmek, kurbanın MCP sunucularının bir listesini elde etmeyi sağlar. Yazar, basit tarama aşamasını aşan saldırıların toplam sayısına değinmese de, yalnızca deneyin son haftasında LLM’yi ele geçirmeye yönelik 175 aktif girişim gerçekleşti.

Saldırganların amacı ne?

Araştırmacının gözlemlerine göre, yem sunucusunu hedef alan saldırıların hiçbiri rastgele kod çalıştırmaya veya kök erişimi elde etmeye çalışmadı. (Editör notu: Bu durum şaşırtıcıdır ve günlük kaydı sistemindeki eksikliklere işaret ediyor olabilir.) Saldırıların neredeyse tamamı kaynakları tüketmeyi amaçlıyordu. Örneğin, deney sırasında şu etkinlikler kaydedildi:

• Bir mikroişlemcinin teknik belgelerini incelemek için iyi yapılandırılmış bir girişim
• Erotik bir roman yazma istemi
• Yeni güvenlik açıklarıyla ilgili sosyal medya metin verilerinin ayrıştırılması ve yapılandırılmasına yönelik talepler
• Güvenliği ihlal edilmiş sunucuyu bir API proxy’si olarak kullanarak Anthropic modellerini çağırma girişimi

Yapay zeka kaynaklarının keşfinde standartlaştırılmış ve hızla gelişen araçların kullanıldığına dikkat çekmek gerekir. LLM-Scanner adlı bir uygulamadan gelen talepler, sekiz ülkedeki yedi farklı bulut sağlayıcısının altyapısından kaynaklanıyordu; bu durum, saldırganların yerleşik yöntemlerin yanı sıra teknikleri paylaşmaya yönelik özel platformlar da kurduklarını gösteriyor. Deneyin üçüncü haftasına gelindiğinde, tarayıcıya ek bir kontrol mekanizması eklenmişti: Artık, karşısındaki kişinin canlı bir yapay zeka mı yoksa önceden hazırlanmış yanıtlar veren bir tuzak mı olduğunu belirlemek için basit ve soyut sorular kullanıyordu.

Spesifik olmayan saldırılar arasında, deneyde .env dosyasından kimlik bilgilerini ele geçirmeye yönelik çok sayıda girişim kaydedildi. Saldırganlar, sunucudaki akla gelebilecek her dizinde bu dosyayı sistematik olarak aradılar. .env dosyasını herkesin erişimine açık bırakmak, Laravel, Node.js ve diğer çerçevelerde proje dağıtımı yaparken yapılan en temel hatalardan biridir; ancak bu, özellikle yeni başlayanlar ve acemi geliştiriciler arasında hâlâ sıkça gözden kaçan bir durumdur. Sonuç olarak, saldırganların çabalarının karşılığını alacaklarını ummak için her türlü nedenleri var.

Sonuçlar ve savunma ipuçları

Halka açık sunucuları taramak ve bunları istismar etmeye çalışmak yeni bir şey değil, ancak büyük dil modellerinin (LLM) yaygınlaşması, saldırganlara çabalarından para kazanmanın yeni bir yolunu sunuyor. Bu yol, saldırganlar için son derece kazançlı, kurbanlar içinse yıkıcı sonuçlar doğuruyor. Bu saldırıların ne kadar büyük boyutlara ulaşabileceğini anlamak için, en yakın benzeri olan kripto madenciliği hırsızlığı pazarına bakın. Burada suçlular, çalınan bilgi işlem kaynaklarını kullanarak kripto para madenciliği yapar. Söz konusu pazar, yalnızca 2025 yılında %20 büyüdü. Yapay zeka destekli çözümlerin yaygınlaşması, büyük sağlayıcıların abonelik ücretlerini artırması ve yerel yapay zeka yongalarının arzının yetersiz kalmasıyla birlikte, LLMjacking’in endüstriyel ölçekte bir fenomen haline gelmesini beklemeliyiz.

Özel yapay zeka altyapısı için temel güvenlik önlemleri

• Tek bir makinede yerel olarak çalışan yapay zeka sistemleri için, LM Studio, Ollama veya benzeri sunucuların, mevcut tüm ağ arabirimleri yerine yalnızca yerel arabirimden (localhost) bağlantı kabul edecek şekilde yapılandırıldığından emin olun. Bu, LLM’nin erişimini ana makineyle sınırlar ve yapay zekanın internet üzerinden erişilebilir olmasını engeller.
• Uzak talepleri işleyen sunucular için (sunucu yalnızca yerel bir kurumsal ağ içinde çalışıyor olsa bile), yalnızca API anahtarı doğrulamasına güvenmek yerine sağlam kimlik doğrulama ve yetkilendirme mekanizmaları uygulayın. Kısa ömürlü belirteçlere dayalı OIDC veya OAuth2 tabanlı çözümler en etkili olanlardır. Bu, sadece LLMjacking’e karşı koruma sağlamakla kalmaz, aynı zamanda kullanıcı faaliyetlerinin daha ayrıntılı bir şekilde izlenmesini sağlar ve API anahtarlarının kötüye kullanılmasını önler. Ayrıca, anahtarlar yalnızca dış saldırılara karşı koruma sağlamakla kalmamalı; yapay zeka ajanlarının kendileri tarafından anahtarların kötüye kullanılması da giderek artan bir risk oluşturmaktadır. Bu durum, LLM arabirimlerinin yanı sıra MCP, RAG ve diğerleri için de geçerlidir.
• Ağ segmentasyonu ve IP izin listelerini kullanarak, yapay zeka sunucusuna yalnızca buna ihtiyaç duyan departmanlara, çalışanlara ve hizmetlere erişim izni verin.
• Tüm istemci-sunucu bağlantılarının güncel bir TLS sürümüyle güvenli hale getirildiğinden emin olun.
• Belirli hizmetlere erişimi birbirinden ayırarak en az ayrıcalık ilkesini uygulayın; örneğin, MCP ve LLM bileşenlerinin kendilerine özgü belirteçleri olmalıdır.
• Yapay zeka modellerini barındıranlar da dahil olmak üzere tüm iş istasyonlarına ve sunuculara bir EDR Agent yüklendiğinden emin olun.
• Yapay zeka kaynak kullanımını izleyin, farklı çalışan rolleri için kullanım kotaları belirleyin ve olağandışı etkinlik artışları için uyarılar ayarlayın.
• Modele ve destekleyici araçlara yöneltilen LLM yanıtları ile taleplerin ayrıntılı kayıtlarını tutun. Bu veri kaynaklarını SIEM sisteminizle entegre edin. Günlüklerin tahrif edilmeye veya silinmeye karşı dayanıklı olmasını sağlayın.