Thread Starter
#0
⚠️ YASAL UYARI VE SORUMLULUK REDDİ (DISCLAIMER):
Bu doküman, Siber Güvenlik Araştırmacıları, Veri Bilimciler ve Red Team ekipleri için; Yapay Zeka modellerinin (LLM, CNN vb.) gizlilik risklerini anlamak ve savunma mekanizmaları (Differential Privacy) geliştirmek amacıyla, tamamen EĞİTİM AMAÇLI hazırlanmıştır.
Burada anlatılan yöntemlerin izinsiz sistemler üzerinde denenmesi; 6698 sayılı KVKK (Kişisel Verilerin Korunması Kanunu) ve TCK (Türk Ceza Kanunu) kapsamında suç teşkil edebilir. Bu içeriğin kötüye kullanımından doğacak her türlü maddi/manevi zarardan ve yasal yükümlülükten, uygulayan kişi (son kullanıcı) sorumludur. Yazar veya ArchiveForum.org yönetimi hiçbir şekilde sorumluluk kabul etmez.
1. Giriş: "Kara Kutu" Aslında Camdan Bir Fanus
Yapay zeka şirketleri bize hep şunu söyler: "Modelimiz eğitildi ve veriler silindi. Elinizde kalan sadece matematiksel ağırlıklar (weights)."Bu, modern siber güvenliğin en büyük yalanlarından biridir.
Bir makine öğrenmesi modeli (Machine Learning Model), eğitim verisini unutmaz; onu sıkıştırır. Model Inversion (Modeli Tersine Çevirme) saldırısı, bu sıkıştırılmış matematiksel ağırlıkları kullanarak, modelin eğitimi sırasında gördüğü orijinal ham veriyi (bir yüz fotoğrafı, bir hastanın tıbbi kaydı veya bir CEO'nun e-maili) yeniden inşa etme sanatıdır.
Kısaca: Pişmiş bir kekten, içine konulan yumurtayı ve unu geri ayrıştırmaya çalışıyoruz. Ve işin korkutucu yanı; bu mümkün.
2. Saldırı Mantığı: Gradient Ascent (Yokuş Yukarı Tırmanış)
Standart bir yapay zeka eğitiminde (Gradient Descent), model hata payını azaltmaya çalışır. Model Inversion saldırısında ise biz, modelin çıktısındaki güven skorunu (Confidence Score) artırmaya çalışarak girdiyi manipüle ederiz.Senaryo: Yüz Tanıma Sistemini Kırmak
Elinizde bir yüz tanıma API'si var. "Hedef Kişi: John Doe" olduğunu biliyorsunuz ama elinizde John'un fotoğrafı yok. Sadece API'ye erişiminiz var.- Başlangıç: Sisteme rastgele piksellerden oluşan gri bir gürültü (noise) görseli gönderirsiniz.
- Sorgu: Sistem der ki: "Bu John Doe değil (Güven: %0.01)".
- Optimizasyon: Matematiksel olarak "John Doe" sınıfının olasılığını artıracak yönde pikselleri çok az değiştirirsiniz (Gradient Step).
- Döngü: Bu işlemi binlerce kez tekrarlarsınız.
- Sonuç: Pikseller yavaş yavaş birleşir ve en sonunda modelin belleğindeki John Doe'nun silueti ve yüz hatları ekranda belirir.
3. LLM (Büyük Dil Modelleri) ve PII Sızıntısı
ChatGPT, LLaMA veya Claude gibi modellerde durum daha vahimdir. Bu modeller internetteki her şeyi okumuştur ve "ezberleme" (Memorization) eğilimleri vardır.A. Membership Inference Attack (Üyelik Çıkarımı)
Bu saldırı, "Şu veri bu modelin eğitim setinde var mıydı?" sorusuna cevap arar.Örneğin bir hastanenin yapay zekasına şu soruyu sorarsınız ve modelin tepki süresini (latency) veya güven skorunu (perplexity) ölçersiniz. Eğer model veriyi çok "rahat" ve düşük hatayla tamamlıyorsa, o hasta kaydı eğitim setinde vardır.B. Training Data Extraction (Veri Kusturma)
Google DeepMind araştırmacılarının yaptığı ünlü saldırı buna örnektir. Modele çok spesifik ve anlamsız komutlar verilerek (örneğin "Company" kelimesini 1000 kere tekrar et), modelin kafasının karışması (divergence) sağlanır.Model hata vermeye başladığında, halüsinasyon görmek yerine eğitim verisindeki ham metinleri kusmaya başlar.
- Çıktı: "...Company Company Company Email: admin@corp.com Password: 123456 Phone: +1-555..."
4. Teknik Derinlik: Saldırı Vektörleri
Bir sisteme sızmadan, sadece API sorgusuyla veri çalmak için kullanılan parametreler:- Confidence Scores: Eğer API size "Bu kişi %98 Ali" diyorsa, bu %98'lik detay saldırı için yeterlidir. (Savunma için API sadece "Ali" demeli, yüzde vermemelidir.)
- Logits: Modelin son katmanındaki ham sayısal değerlerdir. Bunlara erişim varsa, orijinal veriyi çıkarmak çok daha kolaydır.
CODE
12345678910111213141516# Bu kod, modelin "target_class" (Hedef Kişi) için sakladığı görüntüyü
# gürültüden (noise) geri oluşturmaya çalışır.
input_image = torch.randn(1, 3, 64, 64, requires_grad=True) # Rastgele gürültü
optimizer = torch.optim.Adam([input_image], lr=0.1)
for i in range(5000):
output = model(input_image)
# Amacımız: Hedef sınıfın skorunu maksimize etmek
loss = -output[0][target_class_index]
optimizer.zero_grad()
loss.backward()
optimizer.step()
# Döngü bittiğinde 'input_image' artık gürültü değil, hedef kişinin yüzüdür.5. Savunma: Differential Privacy (Farksızlık Gizliliği)
Mavi Takım (Blue Team) için bu saldırıları engellemenin tek matematiksel yolu Differential Privacy (DP) uygulamaktır.DP, eğitim sırasında verilere "matematiksel gürültü" (Noise) ekler.
- Mantık: Model, "Sigara içmek kanser yapar" genel bilgisini öğrenir, ama "Ahmet sigara içtiği için kanser oldu" bilgisini öğrenemez.
- DP-SGD: Stochastic Gradient Descent sırasında gradyanlara gürültü ekleyerek, tekil verilerin model tarafından ezberlenmesi engellenir.
6. Sonuç: Unutma Hakkı Yok
Yapay zeka modelleri, siber dünyanın "filleridir"; asla unutmazlar. Model Inversion saldırıları gösteriyor ki, verinizi bir veritabanından silebilirsiniz ama onu okumuş bir yapay zekanın nöronlarından kazıyamazsınız. 2026 ve sonrasında GDPR ve KVKK davalarının çoğu, veritabanı sızıntılarına değil, model sızıntılarına açılacaktır.