1. GİRİŞ

Yapay zekâ modelleri bugün birçok kuruluş için stratejik fikri mülkiyettir: yüz milyonlarca dolarlık eğitim maliyetleri, büyük veri kümeleri ve ince ayar süreçleri bir araya gelerek ticarî ve operasyonel değer üretir. "Model hırsızlığı" (model theft veya model extraction) terimi, bir saldırganın hedef modelin davranışını, parametrelerini veya iskeletini kopyalamasıyla ortaya çıkan tehditleri ifade eder. Bu, şirketin rekabet avantajını, kullanıcı gizliliğini ve güvenlik sınırlarını tehdit eder.

Bu konu neden bugün konuşuluyor?

• Modellerin eğitim maliyeti ve ticari değeri arttı; çalınan bir model doğrudan gelir kaybına yol açabilir.
• API tabanlı dağıtım yaygınlaştı; dışa açık sorgu arayüzleri model çıkarımı için yeni yüzeyler sağlar.
• Gizlilik odaklı regülasyonlar (ör. GDPR) ve güvenlik gereksinimleri modelin yanlış ellere geçmesini daha kritik hale getirdi.

Kimler için önemli?

ML mühendisleri, model operasyon (MLOps) ekipleri, ürün sahipleri, güvenlik takımları ve hukuk/uyumluluk birimleri model hırsızlığı riskini yönetmelidir. Ayrıca üçüncü taraf sağlayıcılar ve araştırmacılar da bu riski anlamalıdır.

Hangi problemleri çözüyor veya hangi problemleri yaratıyor?

• Çalınan modellerin lisanssız kullanımı: Rekabet ve telif hakları sorunları.
• Adversarial reuse: Çalınan modeli kötü amaçlı kullanım için ince ayar yapmak.
• Gizlilik zafiyetleri: Model inversion veya membership inference yoluyla eğitim verilerinin sızdırılması.

2. KAVRAMSAL TEMELLER

2.1 Model hırsızlığının temel kavramları

• Model extraction (model çıkarımı): Sorgu‑cevap mekanizmalarından elde edilen çıktılar kullanılarak hedef modelin davranışını taklit eden yeni bir model oluşturma.
• Model inversion: Model çıktılarından veya oracle erişiminden eğitim verilerine ilişkin örneklerin veya özelliklerin yeniden yapılandırılması.
• Membership inference: Bir örneğin hedef modelin eğitim kümesinde olup olmadığını tahmin etme saldırısı.
• Input/output watermarking: Modelin çıktısına gömülen izler sayesinde çalıntı kopyaların tespit edilmesi.

2.2 Mimari ve bileşenler

Modern model dağıtımları genellikle üç bileşenden oluşur: eğitim altyapısı (training), model depolama/registry ve dağıtım/serving katmanı (API). Her bileşen farklı koruma ve saldırı yüzeyleri sunar: eğitim verisi ve eğitim süreçleri çalınabilir; model dosyaları (weights/checkpoints) sızabilir; API istekleri üzerinden model davranışı çıkarılabilir.

3. NASIL ÇALIŞIR?

3.1 Sistem mimarisi ve saldırı yüzeyleri

Tipik bir üretim ML mimarisi şu katmanlara sahiptir: veri katmanı (raw ve feature store), eğitim katmanı (GPU/TPU kümesi), model registry (artifact store), ve serving katmanı (online inference API). Saldırganlar sıklıkla şu yolları dener:

• API tabanlı extraction: Sınırlı erişimle bile istemci‑sunucu etkileşimlerinden yeterli miktarda input/output örnekleri toplayıp hedef modelin davranışını taklit eden bir kopya eğitmek.
• Veri tabanlı sızma: Eğitim verilerine yetkisiz erişim sağlayıp modelin temelini oluşturan verileri ele geçirmek.
• Model artifact hırsızlığı: Depolanan checkpoint veya model dosyalarının doğrudan çalınması.
• Side‑channel ve timing saldırıları: Tahmin süreleri, GPU bellek izleri veya enerji tüketimi gibi yan kanallardan bilgi çıkarma.

3.2 Veri akışı ve çalışma mantığı

API‑tabanlı extraction için saldırgan genellikle hedef API'ye amaca uygun girişler (input space coverage) gönderir ve çıktıları kaydeder. Bu veri ile yeni bir model (surrogate model) eğitilir. Tramèr ve arkadaşlarının çalışmaları (2016) bu yaklaşımın pratik olduğunu gösterdi: özellikle çıkışların yumuşak olasılık (probability) biçiminde döndüğü durumlarda, surrogate modeli hedef modele çok yakın performansa getirmek mümkün.

3.3 Teknik örnek — API üzerinden model çıkarımı

1. Adım 1: Sorgu seti tasarımı — hedef modelin giriş alanını kapsayan örnekler oluşturulur.
2. Adım 2: Toplama — API çağrıları ile model çıktıları (label veya probability) kaydedilir.
3. Adım 3: Surrogate training — toplu veri ile yeni model eğitilir; aynı ön işlem ve mimari kullanılarak yüksek benzerlik sağlanır.
4. Adım 4: İnce ayar ve değerlendirme — hedef modelin cevaplarıyla karşılaştırma yapılır; gerekirse daha fazla sorgu ile iterasyon yapılır.

3.4 Model inversion ve gizlilik riskleri

Model inversion saldırıları, model çıktıları ve isteklerin kombinasyonundan eğitim kümesi örneklerini veya örnek özelliklerini tahmin etmeye çalışır. Bu, kullanıcı gizliliği açısından kritik bir tehlikedir: örneğin tıbbi verilerle eğitilmiş bir modelden hasta bilgileri çıkartılabilir.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Bulut ve API sağlayıcıları

OpenAI, Google Cloud AI, AWS SageMaker ve benzeri platformlar model servisi sunar. Bu sağlayıcıların sunduğu API'ler yanıt formatları, rate limitler ve kullanım koşulları ile model extraction riskini etkiler. Çoğu sağlayıcı, kullanım politikaları ve teknik kısıtlar ile kötüye kullanımı engellemeye çalışsa da, akademik literatürde API üzerinde model çıkarımına dair başarılı deneyler gösterilmiştir.

4.2 Özel model sahipleri — teknoloji şirketleri ve startuplar

Şirketler ticari modellerini API ile sunarken, telif ve ticari sır riskleri ile karşılaşırlar. Örneğin NLP, görüntü işleme veya öneri modelleri çalındığında rakipler bu modelleri kendi ürünlerinde kullanabilir veya daha ucuz alternatifler sunabilir.

4.3 Akademik ve açık kaynak modeller

Açık kaynak modeller farklı bir risk dengesi getirir: şeffaflık ve yeniden üretilebilirlik avantajına karşı, kötü niyetli aktörler modelleri farklı veriyle yeniden eğitip zararlı amaçlarla kullanabilir. Burada lisanslama ve etik kullanım şartları önem kazanır.

4.4 Sektör örnekleri

• Finans: Algoritmik ticaret ve kredi risk modelleri hedef alındığında ekonomik zarar.
• Sağlık: Hastalık teşhis modellerinden hasta verisi sızdırma riski.
• Reklam/Öneri motorları: Özel kullanıcı segmentleri ve hedefleme modellerinin çalınması.

5. AVANTAJLAR VE SINIRLAMALAR

Avantajlar (savunma perspektifi)

• API ile erişim; merkezi kontrol ve güncelleme kolaylığı sağlar.
• Modeli black‑box olarak sunmak bazı veri sızdırma vektörlerini sınırlayabilir.
• Çeşitli teknik savunmalar kombinasyon halinde güçlü koruma sağlayabilir.

Sınırlamalar

• API üzerinden dönen yumuşak olasılık bilgisi extraction'u kolaylaştırır.
• Yan kanal saldırıları ve iç tehditler (insider) klasik güvenlik önlemlerini aşabilir.
• Güçlü savunmalar kullanıcı deneyimini veya model performansını olumsuz etkileyebilir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

Aşağıdaki tablo model koruma yaklaşımlarını özetler:

7. EN İYİ PRATİKLER

Production kullanımı

• Modeli API ile sunuyorsanız: minimal çıktı (label veya top‑k) döndürün, olasılıkları sınırlandırın.
• Rate limiting ve abuse detection: token başına, IP başına ve kullanıcı başına esnek limitler belirleyin.
• Logging ve telemetri: tüm sorgu/cevap çiftlerini, latency, model versiyonunu ve kullanıcı meta‑verilerini kaydedin.
• Access control: üretim modellerine erişimi parça parça açın; iç hesapların yetkilerini sıkı tutun.

Performans optimizasyonu

• Output obfuscation'ın etkisini A/B testleriyle ölçün; kullanıcı deneyimini bozmayın.
• DP parametrelerini (epsilon) performans-gizlilik tradeoff'una göre ayarlayın.

Güvenlik

• Model artifact'lerini güvenli depolarda (encrypted at rest) saklayın; erişim anahtarlarını ayrı yönetin.
• CI/CD pipelines içinde secrets management ve rotating keys uygulayın.
• Watermarking ve provenance: model çıktısına ve ağırlıklara gömülü izler ile çalıntı kullanım tespiti planlayın.

Ölçeklenebilirlik

• Rate limiting ve layer‑7 WAF ile ölçeklenebilir abuse mitigation sağlayın.
• Model versiyonlama ile canary rollout ve hızlı geri dönüş (rollback) mekanizmaları kurun.

8. SIK YAPILAN HATALAR

• Olasılıkları tam olarak döndürmek: yumuşak cevaplar model extraction'u kolaylaştırır.
• Yetersiz telemetri: sorgu örüntülerini ve anormallikleri izlememek tespit şansını azaltır.
• İçeriden gelen tehditleri ihmal etmek: insider erişimi ile model dosyaları kolayca sızdırılabilir.
• Tek bir savunma tekniğine güvenmek: watermarking veya DP tek başına yeterli değildir.

9. GELECEK TRENDLER

9.1 AI etkisi ve otomatik saldırılar

Yapay zekâ destekli saldırı araçları sorgu setleri oluşturup extraction süreçlerini otomatikleştirebilir. Bu, dağıtık ve adaptif saldırıların artacağı anlamına geliyor; savunmaların da otomatik tespit ve yanıt yetenekleriyle güçlenmesi gerekecek.

9.2 Watermarking ve legal‑tech entegrasyonu

Teknik watermark'ların gelişmesi ve yasal süreçlerle entegrasyonu çalıntı modellerin tespiti ve takibi için önemli olacak. Ancak watermark kırma teknikleri de eş zamanlı gelişecektir.

9.3 Güvenli hesaplama teknikleri

Homomorfik şifreleme, secure multiparty computation ve trusted execution environments (TEEs) model korumasında daha yaygın kullanılacak; ancak performans ve maliyet zorlukları vardır.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. Model hırsızlığı gerçekten pratik mi?

   Evet; akademik çalışmalarda ve bazı olay incelemelerinde API üzerinden model çıkarımı pratik olarak gösterilmiştir. Korumasız API'ler özellikle risk altındadır.

2. Çıkış olarak sadece etiket döndürmek yeterli mi?

   Top‑1 etiket dönüşü model extraction'u zorlaştırır fakat yine de belirli stratejilerle surrogate modeller eğitilebilir; ek savunmalar gerekir.

3. Watermarking nasıl çalışır?

   Watermarking, model çıktısına veya ağırlıklarına belirli izler gömerek çalıntı modeller tespit edilmeye çalışılır. Ancak her watermark kırılmayabilir; robust yöntemler araştırma konusudur.

4. Differential privacy uygulamak model performansını bozar mı?

   Genel olarak evet; DP parametreleri modelin doğruluğunu düşürebilir. Uygulamada tradeoff değerlendirmesi gereklidir.

5. İç tehditlere karşı hangi önlemler önceliklidir?

   Least privilege, güçlü IAM politikaları, audit logging ve veri‑model ayırma (separation of duties) önceliklendirilmelidir.

6. Open source modellerden risk var mı?

   Açık kaynak modeller şeffaflık sağlar ama kötü amaçlı kullanım riskini azaltmaz; lisanslama ve etik kullanım sözleşmeleri önemlidir.

7. Model çalındığını nasıl tespit ederim?

   Watermarking, proaktif honeypot sorguları, reverse‑query tespit ve telifli model çıktılarıyla yüzleşme teknikleri birlikte kullanılmalıdır.

8. Regülasyonlar model hırsızlığını nasıl ele alıyor?

   GDPR gibi veri koruma yasaları dolaylı olarak riskleri düzenler; ayrıca fikri mülkiyet kanunları çalıntı modellerin hukuki takibini mümkün kılar.

Anahtar Kavramlar

Model extraction

Hedef modelin davranışını API sorguları veya diğer etkileşimlerle kopyalama süreci.

Model inversion

Model çıktılarından eğitim verisi hakkında bilgi çıkarma saldırısı.

Membership inference

Bir örneğin modelin eğitim kümesinde olup olmadığını tahmin etme saldırısı.

Watermarking

Model veya çıktısına gömülen izlerle çalıntı tespiti yapma tekniği.

Differential privacy

Veri gizliliğini matematiksel olarak koruyan yöntemler bütünü.

Öğrenme Yol Haritası

1. 0–1 ay: ML temel kavramları, supervised learning, overfitting, model deploy pratiklerini öğrenin.
2. 1–3 ay: API güvenliği, rate limiting, web uygulama güvenliği temelleri ve temel telemetri/monitoring araçlarını uygulayın.
3. 3–6 ay: Model extraction ve privacy research okumaları (ör. Tramèr et al.), differential privacy kavramları ve uygulamalı deneyler yapın.
4. 6–12 ay: Watermarking teknikleri, secure enclaves, MLOps pipelines içinde güvenlik otomasyonu ve incident response planları geliştirin.
5. 12+ ay: Homomorphic encryption, federated learning, ileri seviye privacy‑preserving ML teknikleri ve regülasyon uyumluluğu üzerine uzmanlaşın.