Penaxtra - AI Security Posture Management Platform

PENAXTRA

AI Security Posture Management (AI SPM) Platform
Yapay Zeka ve LLM Uygulamaları için Güvenlik Sağlama, Sürekli Güvenlik Testi ve Uyumluluk Platformu

Penaxtra, AI-SPM (AI Security Posture Management) yaklaşımını benimseyen, LLM ve agent gibi yapay zeka uygulamaları/sistemleri için sürekli güvenlik testi, güvenlik geçidi ve uyumluluk çözümüdür.

LLM ve yapay zeka uygulamaları üretime alındıktan sonra sabit kalmaz. Her yeni prompt, her model güncellemesi, her agent ve her entegrasyon yeni bir saldırı yüzeyi oluşturur. Yılda bir kez yapılan geleneksel sızma testleri, sürekli değişen yapay zeka sistemleri için artık yeterli değildir. Üstelik EU AI Act ve ISO 42001 gibi düzenlemeler, denetlenebilir güvenlik kanıtı üretmeyi zorunlu hale getirmektedir. Penaxtra’yı rakiplerinden ayıran nokta, AI geliştikçe saldırı yüzeyini gelişen AI teknolojilerine göre otomatik olarak entegre edebilmesi ve güncelleyebilmesidir. Ayrıca yerel bir SPM ürünü olmasıyla tüm dillerde gelebilecek saldırılara karşı hem test eder hem de savunmayı sağlar.

Neden Penaxtra?

Penaxtra;

  • Müşteri LLM ve agent uç noktalarını zamanlanmış saldırgan testlerle sürekli tarar.
  • Güvenlik açıklarını, geleneksel araçların göremediği model ve agent katmanında tespit eder.
  • Üçüncü taraf model, MCP sunucusu ve RAG kaynaklarından gelen riskleri görünür hale getirir.
  • Bulguları OWASP, MITRE ATLAS, EU AI Act, ISO 42001 ve NIST çerçeveleriyle eşleştirerek denetim kanıtı üretir.
  • DevSecOps süreçlerine ve SIEM gibi güvenlik ürünlerine entegre olur.
PENAXTRA

AI güvenliği için ihtiyacınız olan her şey tek bir platformda!
Penaxtra ile LLM, agent, MCP, RAG ve runtime risklerini tespit edip tek bir kontrol düzleminden yönetin

PENAXTRA’NIN GELİŞMİŞ ÖZELLİKLERİ

 

Adversarial Scan Engine

LLM ve agent uç noktalarına karşı zamanlanmış (günlük veya haftalık) saldırgan test paketleri çalıştırır. 3.500’den fazla probe içerir.

Başlıca test alanları:

  • Prompt Injection ve Jailbreak
  • Sensitive Information Disclosure (hassas bilgi sızıntısı)
  • Insecure Output Handling
  • Excessive Agency (aşırı yetki)
  • Unbounded Consumption (LLM DoS ve maliyet istismarı)
  • Training-Data ve RAG poisoning
  • Tüm dillere özgü probe varyantları

Runtime AI Security Gateway

Kurumsal ortama kurulan self-hosted agent ile, runtime düzeyde aktif kontrol sağlanır.

Sunduğu korumalar

  • Gerçek zamanlı local LLM, regex, string ve entropy kural türleri ile deterministik DLP ve sır (secret) tespiti
  • İsteğe bağlı (opt-in) ONNX prompt-injection sınıflandırıcı (tüm dillerde)
  • Çift yönlü (istek ve yanıt) tarama
  • AI Runtime Security olarak sürekli çalışma zamanı koruması

Guardrail Assurance

Konuşlandırdığınız guardrail veya gateway’in saldırıları gerçekten engelleyip engellemediğini test eder. Yani modeli değil, dağıttığınız kontrolü ölçer.

Kontroller;

  • Prompt injection passthrough, system-prompt exfiltration, secrets leak ve PII redaction
  • Zero-width Unicode kaçırma (invisible-unicode injection) testi
  • Canary token sızıntı testleri (deterministik, LLM maliyeti olmadan)

Secret Detection

Yanlışlıkla uygulama paketine dahil edilmiş;

  • API Anahtarları
  • Erişim Tokenları
  • Kimlik Bilgileri
  • Sertifikalar
  • Özel Anahtarlar

gibi hassas bilgileri tespit eder ve kritik risk seviyesinde raporlar.

AI Detection & Response (AIDR)

Çalışma zamanı sinyallerini önceliklendirilmiş tehditlere dönüştürür ve kapalı döngü müdahale sağlar.

Yetenekler;

  • gateway_block, tool_chain, model_drift ve volume_anomaly sinyallerinin korelasyonu
  • Kapalı döngü containment (agent iptali)
  • Promote-to-rule: tetiklenen sinyalden imzalı tenant BLOCK kuralı üretir

MCP & Agent Security Testing

Kurumsal ortamda kullanılacak MCP ve Agent türlerinin güvenlik duruş testlerini gerçekleştirir ve ince halkayı belirler.

Kapsam;

  • enumerate_mcp, static_probes ve tool-poisoning kontrolleri
  • basic, custom_header, oauth2_cc ve aws_sigv4 kimlik mekanizmaları
  • IDE-agent terminal allowlist bypass gibi gerçek dünya senaryoları

RAG & Vektör Veritabanı Güvenliği

Test edilen alanlar;

  • Retrieval poisoning ve knowledge oversharing
  • Cross-tenant ve yetkisiz erişim kontrolleri
  • Vektör veritabanı izolasyon doğrulaması

PII Redaction

Çalışma zamanında tespit edilen hassas veriler maskelenir. Platform, başta ülkemizde en çok karşılaşılan kişisel veri türleri başta olmak üzere tüm dillere göre eğitilmiştir.

  • TC Kimlik (checksum), TR IBAN (mod-97) ve GSM gibi
  • Türkiye’ye özgü desenler
  • Uluslararası PII desenleri

Uyumluluk ve Denetim Desteği

Penaxtra’nın ürettiği bulgular ve raporlar aşağıdaki standart ve çerçeveler ile eşleştirilir:

  • OWASP LLM Top 10
  • OWASP Agentic Top 10 (ASI01-ASI10)
  • MITRE ATLAS
  • NIST AI 600-1 ve NIST SSDF
  • EU AI Act (Annex III, Article 9/12/14/15)
  • ISO/IEC 42001
  • ISO/IEC 27001

Bulgular uyumluluk raporu olarak dışa PDF formatında dışarı aktarılır; EU AI Act Conformity modülü bulguları ilgili maddelerle eşler. Kurumlar denetim süreçlerinde ihtiyaç duydukları teknik kanıtları tek platform üzerinden elde eder.

DevSecOps ve Entegrasyon

  • Zamanlanmış (cron) tarama
  • SIEM (Splunk HEC, QRadar vb.)
  • Webhook, Slack ve Jira
  • API paylaşımı
  • SSO (SAML 2.0 ve OIDC)

Kimler İçin Uygun?

Yapay Zeka ve ML Ekipleri

Her model ve prompt değişikliğinde güvenlik risklerini otomatik tespit ederek geliştirme sürecini hızlandırır.

Uygulama Güvenliği Ekipleri

LLM, agent, MCP ve RAG portföyünün tamamını merkezi tek bir görünüm altında yönetme imkanı sunar.

Denetim ve Uyumluluk Birimleri (GRC)

EU AI Act ve ISO 42001 için çerçeveyle eşleştirilmiş raporlar sayesinde denetim süreçlerini kolaylaştırır.

Yönetim ve Karar Vericiler

Yapay zeka güvenlik düzeyini ve risk trendlerini tek ekrandan takip edebilir.

Desteklenen Platformlar

Test Edilen Hedefler

  • LLM HTTP API (Any Auth)
  • AI Agent ve MCP sunucuları
  • RAG pipeline ve vektör veritabanları
  • Cloud AI servisleri

Runtime Gateway

  • Linux (amd64) için imzalı agent

Sıkça Sorulan Sorular

Penaxtra Nedir?

Penaxtra, AI-SPM (AI Security Posture Management) yaklaşımını benimseyen, LLM ve agent uygulamaları için sürekli güvenlik test ve uyumluluk platformudur.

Geleneksel Sızma Testinden Farkı Nedir?

Tek seferlik değil; sürekli, otomatik ve model ile agent katmanına özeldir. Cloud-posture araçları ve klasik uygulama tarayıcıları, olayların gerçekleştiği model ve agent katmanını incelemez.

EU AI Act Uyumuna Nasıl Yardımcı Olur?

Bulguları Article 9, 12, 14 ve 15 ile Annex III maddelerine eşler ve denetim kanıtını sürekli üretir. Böylece uyumluluk, tek seferlik bir tarih değil, geçmiş hikayesi tutulan bir kayıt haline gelir.

Penaxtra Nedir/Nasıl Çalışır?

Penaxtra öncelikle yapay zeka sistemlerin güvenliğini test eder. Bunun yanında, isteyen kurumlar için imzalı ve inline bir runtime security gateway de sunar; ancak temel mantık, sistemlerin güvenlik dayanıklılığını test edip denetlenebilir kanıt üretmektir.

 

Yapay Zeka Güvenliğini Sürekli Hale Getirin

Yapay zeka güvenliği yalnızca yayın öncesi yapılan bir test faaliyeti değildir. Her model güncellemesi, her yeni agent ve her entegrasyon yeni bir saldırı yüzeyi oluşturur.

Penaxtra; otomatik olarak saldırgan testleri, skorlama, sürekli risk analizi ve uluslararası çerçeveyle eşleştirilmiş uyumluluk kanıtı ile kuruluşların yapay zeka uygulamalarını güvenli, denetlenebilir ve sürdürülebilir şekilde yönetmelerini sağlar.


Seccops uzmanlığı ile Penaxtra’yı kurumunuzun güvenlik süreçlerine entegre edin ve yapay zeka güvenliğini DevSecOps yaklaşımının ayrılmaz bir parçası haline getirin.

Seccops Siber Güvenlik Teknolojileri A.Ş.

Bir kurumun ihtiyaç duyabileceği tüm kurumsal siber güvenlik hizmetlerini sunabilen alanında uzman bir teknoloji şirketidir.

Caferağa Mah. General Asım Gündüz Cad. No: 62/5 Kadıköy
(09:00 - 18:00)

Sosyal Medya

Bültenimize abone olabilirsiniz

Bizden en son haberleri, güncellemeleri, promosyonları ve özel teklifleri almak isterseniz kaydolun.
Hayır, teşekkür ederim
Bültenimize abone olabilirsiniz