AI Security Posture Management (AI SPM) Platform
Yapay Zeka ve LLM Uygulamaları için Güvenlik Sağlama, Sürekli Güvenlik Testi ve Uyumluluk Platformu
Penaxtra, AI-SPM (AI Security Posture Management) yaklaşımını benimseyen, LLM ve agent gibi yapay zeka uygulamaları/sistemleri için sürekli güvenlik testi, güvenlik geçidi ve uyumluluk çözümüdür.

LLM ve yapay zeka uygulamaları üretime alındıktan sonra sabit kalmaz. Her yeni prompt, her model güncellemesi, her agent ve her entegrasyon yeni bir saldırı yüzeyi oluşturur. Yılda bir kez yapılan geleneksel sızma testleri, sürekli değişen yapay zeka sistemleri için artık yeterli değildir. Üstelik EU AI Act ve ISO 42001 gibi düzenlemeler, denetlenebilir güvenlik kanıtı üretmeyi zorunlu hale getirmektedir. Penaxtra’yı rakiplerinden ayıran nokta, AI geliştikçe saldırı yüzeyini gelişen AI teknolojilerine göre otomatik olarak entegre edebilmesi ve güncelleyebilmesidir. Ayrıca yerel bir SPM ürünü olmasıyla tüm dillerde gelebilecek saldırılara karşı hem test eder hem de savunmayı sağlar.
Neden Penaxtra?
- Müşteri LLM ve agent uç noktalarını zamanlanmış saldırgan testlerle sürekli tarar.
- Güvenlik açıklarını, geleneksel araçların göremediği model ve agent katmanında tespit eder.
- Üçüncü taraf model, MCP sunucusu ve RAG kaynaklarından gelen riskleri görünür hale getirir.
- Bulguları OWASP, MITRE ATLAS, EU AI Act, ISO 42001 ve NIST çerçeveleriyle eşleştirerek denetim kanıtı üretir.
- DevSecOps süreçlerine ve SIEM gibi güvenlik ürünlerine entegre olur.
AI güvenliği için ihtiyacınız olan her şey tek bir platformda!
Penaxtra ile LLM, agent, MCP, RAG ve runtime risklerini tespit edip tek bir kontrol düzleminden yönetin
PENAXTRA’NIN GELİŞMİŞ ÖZELLİKLERİ
Adversarial Scan Engine
LLM ve agent uç noktalarına karşı zamanlanmış (günlük veya haftalık) saldırgan test paketleri çalıştırır. 3.500’den fazla probe içerir.
Başlıca test alanları:
- Prompt Injection ve Jailbreak
- Sensitive Information Disclosure (hassas bilgi sızıntısı)
- Insecure Output Handling
- Excessive Agency (aşırı yetki)
- Unbounded Consumption (LLM DoS ve maliyet istismarı)
- Training-Data ve RAG poisoning
- Tüm dillere özgü probe varyantları
Runtime AI Security Gateway
Kurumsal ortama kurulan self-hosted agent ile, runtime düzeyde aktif kontrol sağlanır.
Sunduğu korumalar
- Gerçek zamanlı local LLM, regex, string ve entropy kural türleri ile deterministik DLP ve sır (secret) tespiti
- İsteğe bağlı (opt-in) ONNX prompt-injection sınıflandırıcı (tüm dillerde)
- Çift yönlü (istek ve yanıt) tarama
- AI Runtime Security olarak sürekli çalışma zamanı koruması
Guardrail Assurance
Konuşlandırdığınız guardrail veya gateway’in saldırıları gerçekten engelleyip engellemediğini test eder. Yani modeli değil, dağıttığınız kontrolü ölçer.
Kontroller;
- Prompt injection passthrough, system-prompt exfiltration, secrets leak ve PII redaction
- Zero-width Unicode kaçırma (invisible-unicode injection) testi
- Canary token sızıntı testleri (deterministik, LLM maliyeti olmadan)
Secret Detection
Yanlışlıkla uygulama paketine dahil edilmiş;
- API Anahtarları
- Erişim Tokenları
- Kimlik Bilgileri
- Sertifikalar
- Özel Anahtarlar
gibi hassas bilgileri tespit eder ve kritik risk seviyesinde raporlar.
AI Detection & Response (AIDR)
Çalışma zamanı sinyallerini önceliklendirilmiş tehditlere dönüştürür ve kapalı döngü müdahale sağlar.
Yetenekler;
- gateway_block, tool_chain, model_drift ve volume_anomaly sinyallerinin korelasyonu
- Kapalı döngü containment (agent iptali)
- Promote-to-rule: tetiklenen sinyalden imzalı tenant BLOCK kuralı üretir
MCP & Agent Security Testing
Kurumsal ortamda kullanılacak MCP ve Agent türlerinin güvenlik duruş testlerini gerçekleştirir ve ince halkayı belirler.
Kapsam;
- enumerate_mcp, static_probes ve tool-poisoning kontrolleri
- basic, custom_header, oauth2_cc ve aws_sigv4 kimlik mekanizmaları
- IDE-agent terminal allowlist bypass gibi gerçek dünya senaryoları
RAG & Vektör Veritabanı Güvenliği
Test edilen alanlar;
- Retrieval poisoning ve knowledge oversharing
- Cross-tenant ve yetkisiz erişim kontrolleri
- Vektör veritabanı izolasyon doğrulaması
PII Redaction
Çalışma zamanında tespit edilen hassas veriler maskelenir. Platform, başta ülkemizde en çok karşılaşılan kişisel veri türleri başta olmak üzere tüm dillere göre eğitilmiştir.
- TC Kimlik (checksum), TR IBAN (mod-97) ve GSM gibi
- Türkiye’ye özgü desenler
- Uluslararası PII desenleri
Uyumluluk ve Denetim Desteği
Penaxtra’nın ürettiği bulgular ve raporlar aşağıdaki standart ve çerçeveler ile eşleştirilir:
- OWASP LLM Top 10
- OWASP Agentic Top 10 (ASI01-ASI10)
- MITRE ATLAS
- NIST AI 600-1 ve NIST SSDF
- EU AI Act (Annex III, Article 9/12/14/15)
- ISO/IEC 42001
- ISO/IEC 27001
Bulgular uyumluluk raporu olarak dışa PDF formatında dışarı aktarılır; EU AI Act Conformity modülü bulguları ilgili maddelerle eşler. Kurumlar denetim süreçlerinde ihtiyaç duydukları teknik kanıtları tek platform üzerinden elde eder.
DevSecOps ve Entegrasyon
- Zamanlanmış (cron) tarama
- SIEM (Splunk HEC, QRadar vb.)
- Webhook, Slack ve Jira
- API paylaşımı
- SSO (SAML 2.0 ve OIDC)
Kimler İçin Uygun?
Yapay Zeka ve ML Ekipleri
Her model ve prompt değişikliğinde güvenlik risklerini otomatik tespit ederek geliştirme sürecini hızlandırır.
Uygulama Güvenliği Ekipleri
LLM, agent, MCP ve RAG portföyünün tamamını merkezi tek bir görünüm altında yönetme imkanı sunar.
Denetim ve Uyumluluk Birimleri (GRC)
EU AI Act ve ISO 42001 için çerçeveyle eşleştirilmiş raporlar sayesinde denetim süreçlerini kolaylaştırır.
Yönetim ve Karar Vericiler
Yapay zeka güvenlik düzeyini ve risk trendlerini tek ekrandan takip edebilir.
Desteklenen Platformlar
Test Edilen Hedefler
- LLM HTTP API (Any Auth)
- AI Agent ve MCP sunucuları
- RAG pipeline ve vektör veritabanları
- Cloud AI servisleri
Runtime Gateway
- Linux (amd64) için imzalı agent
Sıkça Sorulan Sorular
Penaxtra Nedir?
Penaxtra, AI-SPM (AI Security Posture Management) yaklaşımını benimseyen, LLM ve agent uygulamaları için sürekli güvenlik test ve uyumluluk platformudur.
Geleneksel Sızma Testinden Farkı Nedir?
Tek seferlik değil; sürekli, otomatik ve model ile agent katmanına özeldir. Cloud-posture araçları ve klasik uygulama tarayıcıları, olayların gerçekleştiği model ve agent katmanını incelemez.
EU AI Act Uyumuna Nasıl Yardımcı Olur?
Bulguları Article 9, 12, 14 ve 15 ile Annex III maddelerine eşler ve denetim kanıtını sürekli üretir. Böylece uyumluluk, tek seferlik bir tarih değil, geçmiş hikayesi tutulan bir kayıt haline gelir.
Penaxtra Nedir/Nasıl Çalışır?
Penaxtra öncelikle yapay zeka sistemlerin güvenliğini test eder. Bunun yanında, isteyen kurumlar için imzalı ve inline bir runtime security gateway de sunar; ancak temel mantık, sistemlerin güvenlik dayanıklılığını test edip denetlenebilir kanıt üretmektir.
Yapay Zeka Güvenliğini Sürekli Hale Getirin
Yapay zeka güvenliği yalnızca yayın öncesi yapılan bir test faaliyeti değildir. Her model güncellemesi, her yeni agent ve her entegrasyon yeni bir saldırı yüzeyi oluşturur.
Penaxtra; otomatik olarak saldırgan testleri, skorlama, sürekli risk analizi ve uluslararası çerçeveyle eşleştirilmiş uyumluluk kanıtı ile kuruluşların yapay zeka uygulamalarını güvenli, denetlenebilir ve sürdürülebilir şekilde yönetmelerini sağlar.
Seccops uzmanlığı ile Penaxtra’yı kurumunuzun güvenlik süreçlerine entegre edin ve yapay zeka güvenliğini DevSecOps yaklaşımının ayrılmaz bir parçası haline getirin.

