LLM Security Temelleri · #06 · Kariyer Rehberi
LLM Security Roadmap
Türkiye'de Bu Alana Nasıl Girilir?
"LLM Security, 2025-2026'nın en hızlı büyüyen siber güvenlik alt dalıdır. Türkiye'de bu alanda ilk 100 kişiden biri olmak için pencere hâlâ açık."
Fevzi Ege YurtsevenlerYapay Zeka Güvenliği Araştırmacısı · AltaySec Kurucusu
Nisan 2026 · altaysec.com.tr
Faz 1 — Temel Oluşturma (0-3 Ay)
Öğrenme Materyalleri
- OWASP LLM Top 10 2025 — Referans belgeni ezberle
- MITRE ATLAS — AI tehdit matrisi
- LearnPrompting — Prompt Hacking — Pratik saldırı öğrenimi
- Simon Willison — Prompt Injection Explained
Pratik Platformlar
- Gandalf (Lakera) — 8 seviyeli prompt injection oyunu
- PortSwigger LLM Labs — Web LLM saldırısı laboratuvarları
- Prompt Airlines — Gamifikasyon tabanlı öğrenme
- Crucible (Dreadnode) — Etkileşimli AI güvenlik zorlukları
Faz 2 — Saldırı Teknikleri (3-6 Ay)
Red Team Araçları
- Garak — LLM zafiyet tarayıcısı
- PyRIT (Microsoft) — Python Red teaming kiti
- LiteLLM — Çoklu LLM API testi için
- Damn Vulnerable LLM Agent — Savunmasız ajan laboratuvarı
CTF Platformları
- Crucible — AI-odaklı CTF
- HuggingFace AI/ML CTF
- ai-prompt-ctf — RAG ve fonksiyon çağrısı ajanlarına saldırı
- Kaggle LLM Competitions
Faz 3 — Savunma ve Araçlar (6-9 Ay)
Savunma Araçları
- Rebuff — Prompt injection detection
- NeMo Guardrails — NVIDIA guardrail framework
- Vigil LLM — Vector benzerliği ve YARA tabanlı tarama
- InjecGuard — SOTA injection detection
- Lakera Guard — Enterprise ticari çözüm
Adversarial ML Araçları
- CleverHans — ML saldırı kütüphanesi
- ART (IBM) — Adversarial Robustness Toolbox
- Foolbox — Fast adversarial attacks
Faz 4 — Bug Bounty ve Gerçek Dünya (9-12 Ay)
Bug Bounty Programları
| Platform | Kapsam | Link |
|---|---|---|
| Huntr | AI/ML odaklı bug bounty | huntr.com |
| OpenAI Bug Bounty | ChatGPT, GPT-4, API | openai.com |
| Anthropic Bug Bounty | Claude modelleri | anthropic.com |
| Google Bug Bounty | Gemini, Bard | bughunters.google.com |
| HuggingFace | Model hub, Spaces | huggingface.co/security |
Faz 5 — İleri Teknikler
Akademik Kaynaklar
- Greshake et al. — Not What You've Signed Up For — Temel prompt injection makalesi
- PoisonedRAG (USENIX 2025) — RAG zehirleme araştırması
- Prompt Injection Attacks on Agentic Coding Assistants
- From Prompt Injections to Protocol Exploits
GCG ve Adversarial Suffix Saldırıları
Greedy Coordinate Gradient (GCG) saldırısı, rastgele görünen ama matematiksel olarak güvenlik filtrelerini aşmak için optimize edilmiş suffix string'ler üretir. GitHub: llm-attacks/llm-attacks
Faz 6 — Sertifikalar ve Otorite Kurma
Sertifikalar
- OASP — Offensive AI Security Professional
- Security Blue Team — AI Security Fundamentals
- CSA CCAK — Cloud & AI Security
Otorite Kurma Yolları
- CVE keşfi — AI/ML frameworklerinde zafiyet araştırması
- Whitepaper yayınlama — Özgün araştırma
- CTF organizasyonu veya çözüm writeup'ları
- Konferans konuşması (TREX, Def Con, BruCON, lokal üniversite)
- Açık kaynak araç katkısı
Türkiye'ye Özgü Fırsatlar
- BTK Siber Güvenlik Girişimciliği Programı — LLM Security odaklı proje başvurusu
- TÜBİTAK 1512 — AI Security araştırma fonu
- Üniversite iş birliği — ODTÜ, Bilkent, Sabancı, Hacettepe, Gazi AI/siber güvenlik toplulukları
- Savunma sanayii — ASELSAN, HAVELSAN, STM, Roketsan — yapay zeka güvenliği talep büyüyor
- Fintek ve bankacılık — LLM tabanlı chatbot'larını kimin test edeceği henüz belirsiz
Özet
LLM Security'de yetkin olmak için pratik çalışma şarttır: CTF çöz, bug bounty programlarına katıl, araçları bizzat kullan. Türkiye'de bu alanda ilk 100 kişiden biri olmak için pencere hâlâ açık — her geçen ay bu pencere biraz daha kapanıyor.