1. GİRİŞ

Veri zehirlenmesi (data poisoning) son yıllarda makine öğrenmesi (ML) ve yapay zekâ (AI) alanlarının karşılaştığı en kritik güvenlik risklerinden biri hâline geldi. ML modelleri eğitilirken kullanılan veri setlerinin bütünlüğü ve doğruluğu bozulduğunda, model davranışı hedefli şekilde manipüle edilebilir. Bu durum sadece model doğruluğunu düşürmekle kalmaz; finansal kayıplar, güvenlik açıkları, müşteri güveninin zedelenmesi ve regülasyon ihlallerine yol açabilir.

Bu neden bugün önemli?

• ML modellerinin karar alma süreçlerindeki rolü artıyor; hatalı veya manipüle edilmiş modeller geniş çaplı zarara sebep olabilir.
• Veri kaynakları çeşitlendi: üçüncü taraf feed'leri, kullanıcı üretimli içerik, açık veri havuzları ve sensör ağları saldırı vektörlerini çoğalttı.
• Federated learning, crowdsourcing ve otomatik etiketleme gibi modern pratikler veri bütünlüğü riskini artırıyor.

Kimler için önemli?

• ML mühendisleri ve veri bilimciler — eğitim pipeline'larında zehirlenme riskini anlamalıdır.
• Güvenlik mühendisleri — ML sistemlerinin güvenliğini sağlamak için yeni ölçütler geliştirmelidir.
• Ürün sahipleri ve yöneticiler — model riskini iş perspektifiyle değerlendirmelidir.
• Regülasyon ve uyumluluk ekipleri — veri kanıtı, izlenebilirlik ve açıklanabilirlik gereksinimleri için süreç kurmalıdır.

2. KAVRAMSAL TEMELLER

2.1 Data poisoning nedir?

Data poisoning, modelin eğitim sürecine kasıtlı olarak hatalı, manipüle edilmiş veya crafted örnekler eklenerek modelin yanlış davranması veya saldırganın istediği çıktıyı üretmesi amaçlanan saldırı kategorisidir. Bu saldırılar, eğitim seti içine doğrudan enjekte edilebileceği gibi etiketlerin manipülasyonu, veri toplama kaynaklarının bozulması veya kazara yapılan veri kirlenmesi şeklinde de ortaya çıkabilir.

2.2 Sınıflama: hedefe göre tipler

• Availability poisoning: Modelin genel performansını bozan geniş çaplı sapmalar; modelin kullanılmaz hâle gelmesi amaçlanır.
• Integrity poisoning: Belirli hedeflere yönelik hatalı davranış yaratmak; örn. belirli kullanıcılar veya örüntüler için bypass sağlamak.
• Backdoor / Trojaning: Eğitim sırasında gizli tetikleyici (trigger) yerleştirerek, test aşamasında tetikleyici verildiğinde modelin beklenmedik davranış göstermesini sağlamak.

2.3 Terminoloji

• Clean‑label poisoning: Zararlı örneklerin etiketlerinin doğru göründüğü ama modelin davranışını bozan teknikler.
• Label‑flipping: Mevcut etiketlerin değiştirilmesiyle güvenlik açığı yaratma.
• Data provenance: Verinin kaynağı, işlenme geçmişi ve doğrulanabilir izidir; güvence için kritik bileşen.
• Robust training: Savunma amaçlı eğitim teknikleri (adversarial training, robust optimization) içerir.

3. NASIL ÇALIŞIR?

3.1 Saldırı vektörleri ve hayat döngüsü

Data poisoning operasyonu genelde şu aşamalardan oluşur: hedef seçimi → veri kaynağı tespiti → zehirli örneklerin hazırlanması → uygulama/yükleme → validation bypass → etkilenmiş modelin kullanımı. Bu zincirin herhangi bir halkasında defans uygulanmazsa saldırı başarısız olabilir.

3.2 Veri kaynakları ve zayıf noktalar

• Crowdsourced labeling: İnsanların etiketlediği veriler, hatalı etiketleme veya kötü niyetli katılımcı nedeniyle risk taşır.
• Third‑party feeds: Harici veri sağlayıcılarının manipulasyonu veya kompromisyonu doğrudan model eğitimini etkiler.
• Instrumented telemetry / sensor data: IoT sensörleri veya telemetri kaynaklarında fiziksel olarak müdahale edilmesi mümkün olabilir.
• Public datasets: Açık veri havuzları, içeriklerin doğruluğu ve özgünlüğü açısından kontrolsüzdür ve saldırganlar tarafından kirletilebilir.

3.3 Teknik yöntemler — örnekler

• Poisoning via injection: Eğitim pipeline'a kötü niyetli örnekler enjekte edilir; örn. açık veri setine eklenen crafted görüntüler/örnekler.
• Label tampering: Etiketlerin flip edilmesi ya da tutarsız etiket stratejileriyle modelin yanlış öğrenmesi sağlanır.
• Backdoor triggers: Gizli input pattern'leri (ör. küçük bir piksel deseni) ile modelin belirli çıktıyı üretmesi sağlanır; normal girdilerde model temiz davranır.
• Influence poisoning: Eğitim sürecinde gradient poisoning gibi tekniklerle modelin optimizasyon patikasına müdahale edilir.

3.4 Attack surface genişletmeleri

Modern MLOps pratikleri (automated data pipelines, on‑the‑fly retraining, federated updates) saldırı yüzeyini genişletir. Örneğin otomatik model güncellemesi yapan bir sistem, doğrulama yapılmadan yeni veri ile retrain edilirse poisoning saldırısına açık hale gelir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 E‑ticaret ve öneri sistemleri (Amazon, Netflix örnekleri)

Öneri algoritmaları kullanıcıların davranışlarına dayanır. Sahte kullanıcı hesapları veya orchestrated review/click kampanyaları ile ranking manipüle edilebilir. Veri zehirlenmesi bu bağlamda, belirli ürünlerin görünürlüğünü artırmak veya rakip ürünleri düşürmek için kullanılabilir.

4.2 Finans ve kredi modelleri (Stripe, bankacılık)

Kredi risk modelleri ve fraud detection algoritmaları, giriş verilerinin manipülasyonu ile yanıltılabilir. Örneğin kredi başvurularında kullanılan feature'ların sistematik olarak değiştirilmesi modelin risk algısını bozar ve kötü niyetli ödemelerin kabul edilmesine neden olabilir.

4.3 Sağlık ve medikal görüntüleme

Medikal görüntü veri setleri genelde sınırlıdır ve paylaşılmıştır; eklenen hatalı örneklerle bir görüntü sınıflandırma modelinin teşhis doğruluğu düşürülebilir. Ayrıca backdoor saldırıları yanlış teşhis üretmeye yönelik olarak kullanılabilir.

4.4 Open data ve üçüncü taraf SDK'lar

Açık veri havuzları veya üçüncü taraf veri işlem kitaplıklarının kompromisyonu (supply chain poisoning) ile büyük ölçekli modeller zehirlendirilebilir. Örneğin paket deposuna yerleştirilen malicious preprocessing script'leri pipeline'ı bozar.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar — neden saldırganlar için cazip?

• Uzak ve gizli: Poisoning saldırısı modelin eğitiminde görünmez şekilde yer alabilir ve tespit edilmesi zor olabilir.
• Hedefe yönelik etkiler: Integrity poisoning belirli kullanıcılar veya senaryolar için hassas sonuçlar üretebilir.
• Ekonomik fayda: Rekabet haksızlığı, fraud veya sabotaj gibi uygulamalarda doğrudan kazanç sağlar.

Sınırlamalar ve zorluklar

• Poisoning başarılı olabilmesi için genelde belirli oranda veri veya etkili crafted örnekler gerektirir; bazı durumlarda büyük miktarda sahte veri gerekir.
• Robust eğitim ve veri doğrulama pipeline'ları varsa saldırının etkisi sınırlanır.
• Backdoor tespiti ve model explainability teknikleri gelişmektedir; bunlar saldırıyı açığa çıkarabilir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Üretimde veri güvenliği

• Data provenance ve lineage: her veri parçasının kaynağı, dönüşümleri ve kullanım geçmişi kaydedilmeli.
• Immutable ingestion logs: veri akışına dair değişmez kayıtlar tutulmalı (hash, timestamp), gerektiğinde inceleme yapılabilmelidir.
• Authenticated data sources: üçüncü taraf veri sağlayıcıları için kimlik doğrulama ve SLA gereklilikleri uygulanmalı.

7.2 Training pipeline dayanıklılığı

• Holdout & validation strategy: eğitim verisinin küçük bir kısmı trusted holdout olarak korunmalı ve retrain sonrası doğrulama bu set üzerinde yapılmalıdır.
• Robust optimizer ve adversarial data augmentation kullanımı: modelin crafted örneklere karşı dayanıklılığı artırılabilir.
• Gradient sanitization & influence functions: kötü niyetli gradient etkilerini azaltma teknikleri entegre edilebilir.

7.3 Continuous monitoring ve detection

• Input drift ve distribution monitoring: eğitim ve üretim verisi arasındaki sapmalar takip edilmeli.
• Backdoor detection rutinleri: neuron activation analizleri, trigger scanning ve anomaly scoring uygulanmalı.
• Automated rollback ve canary retraining: şüpheli model sürümleri otomatik geri alınmalı veya canary segmentlerde test edilmelidir.

7.4 Organizational & process controls

• Access control: veri ve model pipeline'ına erişim, least privilege ilkesiyle sınırlandırılmalı.
• Annotator governance: etiketleme ekipleri, kalite kontroller ve audit süreçlerine tabi tutulmalı.
• Third‑party risk management: dış veri sağlayıcıları, SDK ve paket sağlayıcıları için security review mekanizmaları olmalı.

8. SIK YAPILAN HATALAR

• Veri doğrulamasını atlamak: Otomatik pipeline'ların doğrulamasız retrain'e izin vermesi büyük risk oluşturur.
• Tek bir kaynağa güvenmek: diverse data sourcing yapılmadan bir kaynaktan yüksek oranda veri almak tehlikelidir.
• Backdoor tespiti ihmal etmek: model davranışında küçük teferruatlılıkları göz ardı etmek ileride büyük zararlara yol açar.
• Test ortamı ile prod arasındaki farkları görmezden gelmek: prod verisiyle yapılan beklenmedik etkileşimler saldırıyı aktive edebilir.

9. GELECEK TRENDLER

9.1 Federated learning ve poisoning riskleri

Federated learning, verileri yerinde tutarken ortak modeller eğitme imkânı sağlar; ancak katılımcı bazlı poisoning (Byzantine clients) riski artar. Secure aggregation, client reputation ve robust aggregation algoritmaları gelecekte daha kritik olacaktır.

9.2 AI‑driven detection ve otomasyon

AI tabanlı anomali tespit ve veri kalitesi modelleri zehirlenme tespitinde kullanılacak. Ancak adversarial ML yaklaşımları defans modellerini de hedefleyebileceği için defense‑in‑depth gereklidir.

9.3 Regülasyon ve veri sertifikasyonu

Veri menşei, işlenme ve zincir boyu izlenebilirlik için standartlar ve sertifikasyon mekanizmaları gelişecek. Veri SBOM (Data BOM) fikirleri regülasyonlarda yer alabilir.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Data poisoning'i nasıl erken tespit ederim?

   Trusted holdout validation, input distribution monitoring, labeling consistency checks ve annotator audit'leri ile erken tespit şansınız artar. Ayrıca influence analysis ile şüpheli örnekler tespit edilebilir.

2. 2. Backdoor ile integrity poisoning arasındaki fark nedir?

   Backdoor belirli tetikleyici ile modelin beklenmedik çıktıyı vermesini sağlar; integrity poisoning ise genelde belirli örüntüler için modelin sistemi manipüle etmesine yol açar. Backdoor genelde daha gizlidir çünkü normal girdilerde model temiz çalışır.

3. 3. Federated learning güvenli midir?

   Federated learning avantaj sağlasa da client‑side poisoning ve model inversion riskleri vardır. Secure aggregation, client vetting ve robust aggregation algoritmaları ile risk azaltılmalıdır.

4. 4. Data provenance nasıl uygulanır?

   Veri kaynak meta verisi, imzalama, hash chain ve merkezi kayıtlarla uygulanır. Data lineage sistemleri (DVC, LakeFS) bu süreçleri destekler.

5. 5. Poisoned dataset'i temizlemek mümkün mü?

   Bazı durumlarda evet; influence functions, outlier detection ve manual review ile kötü örneklerin bir kısmı temizlenebilir. Ancak tam bir garanti zordur; yeniden veri toplama ve sıkı validation gerekebilir.

6. 6. Hangi araçlar yardımcı olur?

   Data validation: Great Expectations; provenance: DVC, LakeFS; adversarial testing: CleverHans, Adversarial Robustness Toolkit; monitoring: Prometheus, OpenTelemetry ile özel ML metrikleri.

7. 7. Küçük ekipler nereden başlamalı?

   1) Veri envanteri ve kaynak güvenliği; 2) Trusted holdout ve baseline validation; 3) Basit distribution monitoring ve annotator governance ile başlayın.

8. 8. Poisoning savunmalarının maliyeti nedir?

   Maliyet, uygulanan önlemlerin seviyesine göre değişir. Veri doğrulama ve monitoring düşük maliyetle başlayabilir; secure enclaves ve certified defenses daha yüksek maliyetlidir. Risk odaklı yaklaşım önerilir.

Anahtar Kavramlar

• Data poisoning: Eğitim verisinin manipülasyonu yoluyla model davranışını bozmaya yönelik saldırı.
• Backdoor: Modelin belirli tetikleyici altında farklı davranmasını sağlayan gizli kural.
• Provenance: Verinin kaynağı ve işlenme geçmişi hakkında iz.
• Robust training: Adversarial ve poisoning saldırılarına dayanıklı eğitim teknikleri.

Öğrenme Yol Haritası

1. 0–1 ay: ML temel kavramları, veri pipeline ve model evaluation metriklerini öğrenin.
2. 1–3 ay: Data validation, provenance ve temel anomaly detection araçlarını uygulamalı öğrenin.
3. 3–6 ay: Adversarial ML teknikleri, influence functions, backdoor detection ve robust training uygulayın.
4. 6–12 ay: Federated learning, secure aggregation, TEEs ve production grade monitoring sistemleri ile gerçek dünya projelerinde deneyim kazanın.