Bağımsız yapay zekâ güvenlik testleri · İstanbul & St. Petersburg, FLBDDK · KVKK · EU AI ACT · ISO 42001

Yapay zekâ çözümünüzün
güvenlik testlerini
biz yapıyoruz.

Müşterilerinize ya da şirket içine sunduğunuz yapay zekâ çözümlerinin; sızıntılara, saldırılara ve operasyonel risklere karşı dayanıklılığını ölçüyoruz. BDDK ve KVKK beklentileriyle; OWASP LLM Top 10, ISO 42001, NIST AI RMF ve EU AI Act Madde 15 ile eşleştirilmiş kanıtlı bulgular teslim ediyoruz.

Keşif görüşmesi planlayınÖrnek raporu inceleyin
KapsamBlackbox testleri — yalnızca canlı ürün üzerinden
Test sayısı600+ güvenlik testi senaryosu
Teslim5 iş gününden itibaren
ÇerçevelerOWASP · ISO 42001 · NIST · EU AI Act — BDDK / KVKK eşleştirmeli
01 — TeslimatlarMüşterinin elinde ne kalır

Her bulgu, kanıtla birlikte teslim edilir.

Tespit edilen her zafiyet için yeniden üretilebilir saldırı adımı, ham çıktı ve kapatma önerisi sunuyoruz. Rapor; CISO, hukuk ve iç denetim ekiplerinin doğrudan kullanabileceği biçimde hazırlanır.

01 · Ana teslimat

Teknik Güvenlik Değerlendirmesi Raporu

Tespit edilen her bulguyu — önem derecesi, ortaya çıkaran prompt ve yanıt, kapatma önerisi ve madde düzeyinde çerçeve eşleştirmesi ile birlikte — kayıt altına alan, dosyalanabilir bir belgedir. OWASP LLM Top 10, ISO 42001, NIST AI RMF ve EU AI Act Madde 15 ana çerçeveler; BDDK ve KVKK karşılıkları ek katman. PDF, HTML, JSON ve Markdown — dosyalama, satın alma incelemesi ve yönetim kurulu sunumu için hazır.

20–40 sayfa · çok formatlı
02

Her bulguya bağlı kanıt paketi

Gönderilen prompt'ın tam metni. Alınan yanıtın tam metni. Bulguyu işaretleyen desen ya da jüri. İddia değil — müşterimizin kendi ortamında yeniden üretebileceği kanıt. Dosyaya somut karşılık olarak girer.

Adlî nitelikli · zaman damgalı
03

Dört çerçeve, tek değerlendirme

OWASP kategorisi, ISO 42001 kontrolü, NIST AI RMF fonksiyonu, EU AI Act maddesi — her bulgu dördüne birden eşlenir. BDDK ve KVKK eşleştirmesi ayrı ek olarak gelir.

Çapraz çerçeve
04

Mühendise yönelik kapatma önerisi

Neyin, nerede ve nasıl değiştirileceği — ve değişikliğin nasıl doğrulanacağı. Denetçiye değil, mühendise yazılır; pull request'e dönüştürülebilir maddeler şeklinde verilir.

Uygulanabilir
05

Düzeltme doğrulama testi

Siz yamalayın. Biz yeniden test edelim. Düzeltme oranı, yeni kanıt paketi ve kapanış belgesi 30 gün içinde teslim. Her Teknik Güvenlik Değerlendirmesi'ne bir düzeltme testi dahildir.

Kapanış kanıtı
02 — KapsamTest yöntemimiz

Modelinize ya da iç altyapınıza erişmeden, yalnızca canlı ürün üzerinden test ediyoruz.

Blackbox metoduyla çalışırız: ağırlıklara, prompt'lara veya kaynak koda erişim talep etmeyiz. Bu sayede testler, kötü niyetli bir dış aktörün gerçekte karşılaşacağı koşulları birebir yansıtır.

LLM01
Prompt injection
Modelin talimatlarının hazırlanmış girdiyle ele geçirilmesi — doğrudan, dolaylı ve çok aşamalı varyantlar.
Tests142
LLM02
Kişisel veri ve sır sızıntısı
Sistem prompt'ı, eğitim verisi, müşteri kayıtları ve kimlik bilgilerinin yanıtlarda açığa çıkması. KVKK madde 12 ile doğrudan ilişkili.
Tests96
LLM06
Jailbreak ve guardrail aşımı
Persona, kodlama, rol oyunu ve gizleme — yayımlanmış tüm jailbreak aileleri ve uyarlamalı türevleri.
Tests118
LLM05
Çıktı manipülasyonu
Silahlandırılmış yanıtlar — zararlı kod, link, talimat veya alt sistemleri yanıltan içerik.
Tests64
LLM08
Aşırı yetki
Araçlar, eklentiler ve otonomi yanlış kullanıldığında: yetkili kapsamın dışına çıkan eylemler.
Tests52
LLM03
Tedarik zinciri riski
Kötüye kullanılmış bağımlılıklar, model ağırlıkları, fine-tune dosyaları ve üçüncü taraf servisler.
Tests38
LLM04
Hizmet kesintisi
Kaynak tükenmesi, özyinelemeli prompt'lar ve yapay zekânızı çevrimdışı bırakan trafik desenleri.
Tests46
15.5
Önyargı ve ayrımcılık
Demografik sapma, korunan sınıf farklılıkları ve adil incelemeye dayanmayan kararlar. KVKK 22. madde otomatik karar açıklanabilirliği ile bağlantılı.
Tests44
03 — ÇerçevelerAynı kanıt, dört dosya

Bulgular, dört uluslararası çerçeveyle birlikte BDDK ve KVKK beklentilerine eşlenir.

Her bulgu; OWASP LLM Top 10, ISO 42001, NIST AI RMF ve EU AI Act Madde 15 başlıkları altında etiketlenir. BDDK Bilgi Sistemleri Yönetmeliği ve KVKK kişisel veri sorumlulukları açısından karşılığı ayrıca belirtilir.

Avrupa Yasası

EU AI Act, Madde 15

Yüksek riskli yapay zekâ için doğruluk, sağlamlık ve siber güvenlik. Uygulama 2026–2027 takviminde. EU pazarına açılan Türk şirketler için ana hazırlık çerçevesi.

15.115.215.315.415.5
Uluslararası Standart

ISO/IEC 42001

Yapay zekâ yönetim sistemleri ve yönetişim olgunluğu için tanınan standart. TSE tarafından kabul edilmiş; ISO 27001 yapısıyla aynı denetim mantığı.

A.6A.7A.8A.9A.10
ABD Çerçevesi

NIST AI RMF 1.0

ABD federal satın almasında beklenen yapay zekâ risk yönetim çerçevesi. ABD'li ortakları olan Türk kuruluşları için referans olarak kullanılıyor.

GovernMapMeasureManage
Sektör Standardı

OWASP LLM Top 10

Büyük dil modeli üzerine kurulu her uygulamanın de facto güvenlik kontrol listesi. 600+ test senaryomuzun temel kategori taksonomisi.

LLM01LLM02LLM…LLM10
04 — Teslim önizlemesiGörüşme öncesinde

Raporun gerçek bir sayfasını, görüşme öncesinde inceleyebilirsiniz.

Yayımlanmış örnek rapor; bulgu yapısını, kanıt formatını ve çerçeve eşleştirmesini birebir gösterir. NDA gerekmez.

ÖRNEK KESİT · BULGULAR DEFTERİ

Her bulgu, tek sayfada.

Önem derecesi, OWASP kategorisi, düzenleyici maddesi ve tek satırlık özet — teknik olmayan okuyucu risk yüzeyini altmış saniyenin altında tarayabilsin diye. Detay ve kanıt bir sayfa daha derinde.

PDFHTMLJSONMarkdown
Technical Assessment Report
Endpoint · api.acme.com/v1/chat
REF · TMA-2026-0418
MAD. 15 · ISO 42001
CRTF-001Sistem prompt'ı ifşasıLLM0115.3 / A.8
CRTF-002Çok aşamalı jailbreakLLM0615.3 / A.10
HIF-003Araç çıktısında KV ifşasıLLM0215.2 / A.7
HIF-004RAG üzerinden dolaylı injectionLLM0115.3 / Manage
MEDF-005Token sel baskını (DoS)LLM0415.4 / A.9
MEDF-006Demografik yanıt sapması15.515.5 / Measure
LOF-007Ayrıntılı hata ifşasıLLM0515.2 / A.8
Findings · 7 of 612 testsRISK SCORE · 62
05 — Hizmet seviyeleriProjenizin bulunduğu aşamaya göre

Üç hizmet seviyesi sunuyoruz; hangisinin uygun olduğu projenizin bulunduğu aşamaya göre değişir.

İlk haritalama için Keşif Testi, uyumluluk dosyalaması için Teknik Güvenlik Değerlendirmesi, düzenlenmiş sektörler için Yüksek Güvence Güvenlik Değerlendirmesi. Her seviyenin kapsamı ve teslimatı önceden tanımlıdır.

01 / Keşif Testi

Keşif Testi

Riskin ilk haritası. 30 gün içinde Teknik Güvenlik Değerlendirmesi'ne yükseltirseniz tutarın tamamı kredi olarak işlenir.
$3.500/ sistem
5 iş günü · 3 ürün
  • Tüm OWASP LLM kategorilerinde tam tarama
  • Kritik ve yüksek seviye bulgular + özet kapatma önerisi
  • 5 sayfalık yönetici özeti ve bulgu listesi
  • Özet seviyede çerçeve eşleştirmesi
  • 30 gün içinde Teknik Güvenlik Değerlendirmesi'ne yükseltirseniz tutarın tamamı kredidir — yükseltme 6.000 USD
Keşfi başlat
Dosyalama için önerilen02 / Teknik Güvenlik Değerlendirmesi

Teknik Güvenlik Değerlendirmesi

Ana hizmet — güvenlik doğrulaması ve dosyalama için gerekli olan kanıt paketinin tamamı.
$9.500/ sistem
10–14 iş günü · 5 ürün
  • Tam 600+ test senaryosu ve kritik bulgularda uyarlamalı tırmanma
  • İlan ettiğiniz doğruluk metriklerine karşı doğrulama
  • Çoklu çerçeve eşleştirmesi — OWASP, ISO 42001, NIST AI RMF, EU AI Act + BDDK / KVKK eki
  • Dosyalamaya uygun tam kanıt paketi
  • Bulgu bazında mühendis düzeyinde kapatma önerisi
  • 30 gün içinde bir düzeltme testi dahil
İşi planlayalım
03 / Yüksek Güvence Güvenlik Değerlendirmesi

Yüksek Güvence

Düzenlenmiş sektörler — bankacılık, sigorta, sağlık, kamu — ve cevabın her seviyede savunulabilir olması gereken sistemler için.
Özelkapsama göre teklif
2–3 hafta · sınırsız ürün
  • Teknik Güvenlik Değerlendirmesi'ndeki her şey — ortamınıza ölçeklenmiş
  • Sınırsız uyarlamalı red-team tırmanması
  • Sektöre özel saldırı senaryoları (bankacılık, ödeme, sigorta, sağlık, altyapı)
  • Yönetim kuruluna yönelik risk anlatısı ve kapatma yol haritası
  • Çok turlu yeniden test döngüleri ve adlî nitelikli kanıt
  • Kıdemli güvenlik uzmanıyla doğrudan danışmanlık süresi
Kapsam talep edin
Tüm seviyelerde ek modüller mevcuttur · ek ürün 1.500 USD · ek düzeltme testi 2.000 USD · hızlı teslim +%30 · TL faturalandırma talep üzerine
06 — Sık sorulan sorularİlk toplantı soruları

Türk kurumlarından görüşmelerde en sık karşımıza çıkan sorular.

Satın alma, hukuk ve uyum ekiplerinin ilk toplantıda sorduğu sorulara verdiğimiz kısa yanıtlar.

S · 01
Yapay zekâ güvenlik testleri tam olarak neyi teslim ediyor?
Tespit edilen her bulgu için: yeniden üretilebilir saldırı adımı, ham yanıt, etki açıklaması ve kapatma önerisi içeren bir Teknik Güvenlik Değerlendirmesi Raporu. Her bulgu OWASP LLM Top 10, ISO 42001, NIST AI RMF ve EU AI Act Madde 15 başlıklarıyla etiketlenir; BDDK Bilgi Sistemleri Yönetmeliği ve KVKK karşılıkları ayrıca belirtilir. Teslim formatları: PDF, HTML, JSON ve Markdown.
S · 02
Bu test çalışması BDDK uyumluluğu için yeterli mi?
Tek başına yeterli değildir — BDDK uyumluluğu model yönetişimi, içeriden risk denetimi ve dosyalama süreciyle birlikte tamamlanır. Bizim raporumuz bu dosyanın teknik kanıt katmanını oluşturur: uygulamalı saldırı testleri, model davranış incelemesi ve düzenleyici alıntılarla birlikte sunulan kontrol matrisi. İç denetim ve uyum ekipleri raporu doğrudan kendi dosyalarına ekler.
S · 03
KVKK ile nasıl bir ilişkisi var?
Otomatik karar mekanizmalarını ve kişisel veri içeren prompt'ları KVKK 11. ve 22. maddeleri çerçevesinde test ediyoruz: veri sızıntısı, ayrımcı yanıt, kişisel veri ifşası ve karar açıklanabilirliği. Bulgular hem OWASP LLM02 kategorisi hem de KVKK madde başlıkları olarak raporda görünür. KVKK için akredite teknik denetim kavramı bulunmuyor; ürettiğimiz kanıt, Kurum'a açıklama yapmanız gereken bir senaryoda hazır bulunur.
S · 04
Faturalandırma USD mi TL mi? KDV nasıl işler?
İki seçenek de açık. Türkiye'deki kurumsal müşteriler için TL fatura ve KDV dahil teklif sunuyoruz; çok uluslu yapılarda yurt dışı USD faturalandırma tercih ediliyorsa o da hazırlanır. İlk kapsam görüşmesinde tarafların hangi yapıyı tercih ettiği netleşir.
S · 05
Rapor Türkçe mi İngilizce mi yazılır?
Tercih sizin. Türk düzenleyicilere sunulacak dosyalar için Türkçe ana rapor + İngilizce ek; uluslararası satın alma incelemeleri ve EU müşterileri için İngilizce ana rapor + Türkçe ek üretiyoruz. Çapraz çerçeve eşleme tablosu her iki dilde de aynı şekilde okunur.
S · 06
Hangi sektörlerle çalıştınız?
Bankacılık, ödeme sistemleri, sigorta ve sağlık sektörlerinde — hem yerli kurumların iç yapay zekâ projelerinde hem de EU pazarına açılan Türk SaaS firmalarının dış güvenlik test ihtiyaçlarında — saha tecrübemiz var. Müşteri isimleri NDA kapsamında olduğundan referansları yalnızca ilk kapsam görüşmesinde, karşılıklı NDA imzalandıktan sonra paylaşıyoruz.
S · 07
Sistemime ne kadar erişim gereksinim duyuyorsunuz?
Yalnızca bir API URL'si ve geçerli bir kimlik doğrulama başlığı. Kaynak kod, model ağırlığı veya altyapı erişimi istemiyoruz. Testler blackbox metoduyla yapılır — dışarıdan bir saldırganın gördüğü yüzeye uygulanır. Bu hem hukukî riski sınırlar hem de bulguları canlı koşullarda savunulabilir kılar.
S · 08
Test sırasında canlı sistemim zarar görür mü?
Hayır. Testler, belirlediğiniz ortamda — staging, gölge veya canlı — sizin belirlediğiniz hızda çalıştırılır. Test pencereleri sizinle birlikte planlanır, hız sınırlarınız aşılmaz, ilk 5xx desende durduğumuz an pause atılır. Yıkıcı yük yok; modelinizin kendi açığa çıkardığının dışında veri sızdırma yok.
S · 09
EU pazarına açılan Türk şirket için ne ifade ediyor?
EU AI Act Madde 15, yüksek riskli yapay zekâ için doğruluk, sağlamlık ve siber güvenlik şartları getirir; uygulama 2026–2027 takviminde başlıyor. EU müşterilerinize veya ortaklarınıza Madde 15 hazırlığını gösterebilmeniz gerekecek. Bizim hazırladığımız Teknik Güvenlik Değerlendirmesi Raporu, bu hazırlığın teknik kanıt parçasını sağlar — alıcı tarafın hukuk ve güvenlik ekipleri tarafından doğrudan değerlendirilebilir.
S · 10
Sözleşme ve NDA süreci nasıl ilerler?
Karşılıklı gizlilik sözleşmesini kapsam belirleme öncesinde imzalıyoruz. Standart şablonumuz mevcut; sizin hukuk müşavirliğinizin tercih ettiği şablon da kabul edilir. Test verisi ve bulgular şifreli olarak 90 gün saklanır; bu süre yazılı talebinizle uzatılabilir veya kısaltılabilir. Müşteri verisi hiçbir koşulda model eğitiminde veya ürün geliştirmede kullanılmaz.
Görüşmeye başlayın

Yapay zekâ ürününüzün güvenlik testini birlikte planlayalım.

İlk görüşmede kapsamı, süreyi ve teslimatları netleştiriyoruz; sözleşme öncesinde teknik ve ticari soruların tamamına yanıt veriyoruz.

Keşif görüşmesi planlayınÖrnek raporu indirin