Duyurular

AltaySec Guardian: Türkiye'nin İlk Yerli LLM Güvenlik Katmanı

Türkiye'de kurumların yapay zeka modellerini iş süreçlerine entegre etmesiyle birlikte yeni bir güvenlik sorunu belirdi: ChatGPT, Claude ve Gemini gibi sistemlere iletilen TC kimlik numarası, IBAN ve sağlık verisi gibi kişisel bilgiler büyük ölçüde KVKK kapsamında risk oluşturuyor. Mevcut yabancı çözümler ise Türkçe prompt injection tespitinde yetersiz kalırken yerel mevzuata uyum sağlayamıyor. AltaySec Guardian, bu boşluğa yönelik geliştirilen yerli bir LLM güvenlik katmanı. Sistem; dinamik PII maskeleme, hibrit injection koruması ve adli bilişim modunu tek bir proxy mimarisi altında sunuyor. 935 senaryoluk red-team testinde %99,3 prompt injection tespiti ve sıfır yanlış alarm kaydeden ürün, mevcut altyapıya tek satır kod değişikliğiyle entegre edilebiliyor.

AltaySec Guardian: Türkiye'nin İlk Yerli LLM Güvenlik Katmanı

AltaySec Guardian: Kurumsal LLM Güvenliğine Yerli Çözüm 

AltaySec, yapay zekâ modellerini kullanan kurumların güvenlik ve uyumluluk ihtiyaçlarına yönelik geliştirdiği ürününü duyurdu: AltaySec Guardian. 

2025 itibarıyla Türkiye'de bankalar, sigorta şirketleri ve hukuk büroları başta olmak üzere pek çok kurum iş süreçlerinde büyük dil modellerini aktif olarak kullanmaya başladı. Bu sistemlere iletilen T.C. kimlik numarası, IBAN, sağlık verisi ve vergi numarası gibi kişisel bilgiler KVKK kapsamında ciddi riskler barındırmaktadır. Mevcut yabancı çözümler ise Türkçe prompt injection tespitinde yetersiz kalmakta, KVKK'nın özel nitelikli veri kategorilerini tanımamakta ve veriyi yurt dışına çıkarma riski taşımaktadır. 

AltaySec Guardian, uygulama ile LLM arasına konumlanan şeffaf bir proxy olarak çalışmaktadır. Mevcut altyapıya tek satır kod değişikliğiyle entegre edilebilen sistem üç temel bileşen sunmaktadır. 

Dinamik PII Maskeleme: T.C. kimlik, VKN, IBAN ve telefon numaraları regex motorlarıyla tespit edilerek veri yurt dışı sunuculara iletilmeden önce Vault şifrelemedyle maskelenmektedir. LLM'den gelen yanıt ise maskelenmiş referansları tekrar orijinal veriye dönüştürerek kullanıcıya ulaştırmaktadır. 

Hibrit Injection Koruması: DeBERTa modelleri ve heuristik kurallarla prompt injection, jailbreak ve RAG manipülasyon girişimleri tespit edilmektedir. Sistem OWASP LLM Top 10 standartlarına tam uyumludur. 

Adli Bilişim ve Shadow Mode: Tüm trafik ve güvenlik olayları ayrıntılı biçimde loglanmaktadır. Shadow Mode özelliği sayesinde sistem kesintiye uğratılmadan yalnızca izleme yapılarak risk raporları üretilebilmektedir. 

Red-Team Test Sonuçları 

Ürün; Docker, PostgreSQL 16, Redis 7 ve Ubuntu 24.04 ortamında 703 saldırı ve 232 zararsız sorgudan oluşan 935 senaryoluk bağımsız test setinden geçirilmiştir. Test kapsamı OWASP LLM01, LLM06, LLM07 ve LLM08 vektörlerini, 10'dan fazla dili ve 12 saldırı kategorisini içermektedir. 

— %99,3 prompt injection tespit oranı (571/575 senaryo) — %94,5 agentic saldırı tespiti (121/128 senaryo, OWASP LLM07+LLM08) — %100 yanlış alarm oranı: 205 zararsız sorguda sıfır yanlış alarm — 18 tip KVKK kişisel veri yakalama — 1,4 ms p50 HTTP yanıt süresi, 1450 req/s throughput — 2000/2000 yük testinde hatasız, p95 = 135 ms 

Kurumsal Erken Erişim 

İlk 10 kurumsal müşteri için 12 ay boyunca %30 indirim uygulanacaktır. Ayrıntılı bilgi ve teknik belge talebi için: https://guardian.altaysec.com.tr/ 

Değerlendirme 

AltaySec Guardian, Türkiye'de kurumsal yapay zekâ kullanımının hızla yaygınlaşmasıyla birlikte gündeme gelen somut bir boşluğa odaklanıyor: KVKK uyumluluğu ve veri egemenliği. Yabancı çözümlerin Türkçe dil desteği ve yerel mevzuat uyumu konusundaki sınırlılıkları göz önüne alındığında yerli bir güvenlik katmanına olan ihtiyaç su götürmez bir gerçek. Ürünün teknik iddiası (yüksek tespit oranlarını düşük gecikme süresiyle ve sıfır yanlış alarmla bir arada sunmak) kurumsal kullanım için kritik bir denge. Test sonuçları kamuoyuyla paylaşılmış olmakla birlikte bağımsız doğrulama süreçlerinin tamamlanması uzun vadeli kurumsal güvenilirlik açısından belirleyici olacaktır.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge