Yapay Zeka Sistemlerinde Veri Zehirlenmesi: Etik Boyutlar ve Uygulamalı Çözüm Yöntemleri

Özet / Abstract

Bu araştırma, makine öğrenmesi ve derin öğrenme mimarilerine yönelik veri zehirlenmesi (data poisoning) saldırılarını bilişim etiği bağlamında ele almaktadır. Eğitim verilerinin kasıtlı manipülasyonuyla doğan bu tehdit; bilginin güvenilirliği, algoritmik adalet, hesap verebilirlik ve veri mahremiyeti eksenlerinde çok boyutlu olarak incelenmektedir. Salt teorik tartışmaların ötesine geçen bu çalışma, Veri Temizleme (Data Sanitization) ve Anomali Tespiti (Anomaly Detection) gibi güncel savunma mekanizmalarını Python tabanlı gerçek dünya senaryolarıyla somutlaştırmakta; ayrıca sektörde standart haline gelmiş güvenlik platformlarının karşılaştırmalı bir analizini sunarak alana pratik bir katkı sağlamayı hedeflemektedir.

This study examines data poisoning attacks targeting machine learning and deep learning systems from an information ethics perspective. The threat arising from deliberate manipulation of training data is analyzed under four headings: information reliability, algorithmic fairness, accountability, and privacy. Beyond the theoretical framework, this work presents Data Sanitization and Anomaly Detection techniques with Python code examples and real-world applications, providing a comparative analysis of tools and platforms currently used in the industry.

Anahtar Kelimeler: Veri Zehirlenmesi, Makine Öğrenmesi Güvenliği, Anomali Tespiti, Veri Temizleme, Yapay Zeka Etiği, Adversarial Machine Learning

1. Giriş

Yapay zeka ve makine öğrenmesi sistemleri günümüzde sağlık teşhisinden otonom araçlara, finansal dolandırıcılık tespitinden içerik moderasyonuna kadar kritik karar alma süreçlerinin merkezine yerleşmiştir. Bu sistemlerin ne kadar doğru ve güvenilir çalıştığı, aslında tamamen onları eğitmek için kullanılan verinin kalitesine bağlı. Fakat bu durum, beraberinde büyük bir güvenlik riskini de getiriyor.

Veri zehirlenmesi (data poisoning), bir saldırganın yapay zeka modelinin eğitim sürecini bozmak amacıyla veri havuzuna kasıtlı olarak manipüle edilmiş örnekler sızdırması eylemi olarak tanımlanmaktadır (Barreno ve ark., 2006). Sisteme yapılan bu müdahaleler; algoritmaların hatalı kararlar vermesine, belirli gruplara karşı sistematik önyargılar geliştirmesine veya saldırganın tetiklediği anlarda tamamen kontrolden çıkmasına zemin hazırlar.

Meseleye etik perspektiften yaklaştığımızda, karşı karşıya olduğumuz tabloyu salt teknik bir siber güvenlik zafiyeti olarak değerlendirmek eksik kalır; zira bu durum doğrudan toplumsal güveni, bilginin bütünlüğünü ve dijital adaleti sarsan bir yapıya sahiptir. Bir otonom araç sistemine sızdırılan zehirli veri can kaybına neden olabilirken, bir işe alım algoritmasına yönelik saldırı sistematik ayrımcılık üretebilmektedir. Dolayısıyla, bu tehdide karşı geliştirilecek savunma stratejilerinin hem yazılımsal hem de etik düzlemde birlikte kurgulanması kaçınılmazdır.

Bu doğrultuda çalışmamız, ilk olarak veri zehirlenmesinin kavramsal ve etik temellerini tartışmaya açıyor; sonrasında ise mevcut savunma algoritmalarını ve veri temizleme araçlarını Python kod örnekleriyle destekleyerek okuyucuya uygulamalı bir perspektif sunuyor.

2. Veri Zehirlenmesi: Kavramsal Çerçeve

2.1 Tanım ve Kapsam

Veri zehirlenmesi saldırıları, makine öğrenmesi güvenliğinin bir alt dalı olan Adversarial Machine Learning (Düşmanca Makine Öğrenmesi) kapsamında değerlendirilmektedir. Saldırılar iki temel evrede gerçekleşebilir:

• Eğitim zamanı saldırıları (Training-time attacks): Saldırgan, model eğitilmeden önce veri kümesini manipüle eder. En yaygın ve tehlikeli türdür.
• Çıkarsama zamanı (Inference-time) saldırıları: Sistem eğitilip canlıya alındıktan sonra, anlık girdiler üzerinden modeli hataya sürükleme eylemidir.

Biz bu çalışmada; manipülasyonun doğrudan kaynağa yapıldığı ve bu sebeple etik açıdan çok daha geniş toplumsal sonuçlar doğuran eğitim zamanı saldırılarını merkeze alıyoruz. 

2.2 Temel Saldırı Türleri

Aşağıdaki tablo, literatürde tanımlanmış başlıca veri zehirlenmesi saldırı türlerini özetlemektedir:

2.3 Gerçek Dünya Örnekleri

3. Etik Boyutlar

3.1 Bilgi Güvenilirliği ve Doğruluk

Veri zehirlenmesi saldırılarının etik bağlamdaki en yıkıcı sonucu, hiç şüphesiz sistemin ürettiği bilginin güvenilirliğini temelden sarsmasıdır. Manipüle edilmiş bir yapay zeka modelinin özellikle tıp, hukuk veya eğitim gibi insan hayatına doğrudan dokunan alanlarda vereceği hatalı kararlar, telafisi imkânsız mağduriyetler yaratma potansiyeli taşıyor. Bu tablo bizlere oldukça net bir mesaj veriyor: Yıllardır geleneksel yayıncılıkta uygulanan “yayımlamadan önce teyit et” kuralı, yapay zeka ekosisteminde de verinin sisteme dahil edilmesinden önceki en temel güvenlik standardı olmak zorundadır.

3.2 Algoritmik Adalet ve Önyargı

Zehirli veriler çoğunlukla belirli demografik grupları hedef alan önyargıları sisteme enjekte etmek amacıyla kullanılmaktadır. Bir işe alım algoritmasına yönelik label flipping saldırısı, belirli bir cinsiyete veya etnik gruba ait başvuruların sistematik olarak reddedilmesine neden olabilir. Bu durum, Avrupa Birliği Yapay Zeka Yasası’nın (EU AI Act, 2024) doğruluk ve ayrımcılık yasağı ilkeleriyle doğrudan çelişmektedir.

3.3 Hesap Verebilirlik Boşluğu

Bir modelin yanlış kararlarının veri zehirlenmesinden mi yoksa tasarım hatasından mı kaynaklandığını tespit etmek genellikle güçtür. Bu belirsizlik, hesap verebilirlik zincirinde ciddi bir boşluk yaratmakta; mağdurların yasal haklarını aramasını güçleştirmektedir. GDPR’ın 22. maddesi ve AB Yapay Zeka Yasası bu boşluğu kapatmayı hedeflemekle birlikte, teknik kanıtlama mekanizmaları henüz yeterince gelişmemiştir.

3.4 Gizlilik ve Veri Egemenliği

Zehirli veriler aracılığıyla yapılan model inversion saldırıları, ne yazık ki sistemin orijinal eğitim verilerini yeniden üretmesine zemin hazırlıyor. Bu durumu sadece bir güvenlik açığı olarak değerlendiremeyiz; zira bu, bireylerin kendi kişisel verileri üzerindeki egemenlik hakkının da açık bir ihlali anlamına geliyor.

4. Uygulamalı Çözüm Yöntemleri

Çalışmanın bu bölümünde işin mutfağına giriyoruz. Veri zehirlenmesi tehdidine karşı günümüzde aktif olarak tercih edilen teknik çözümleri sadece teorik mantığıyla anlatmakla kalmıyor, gerçek kod örnekleri üzerinden nasıl hayata geçirildiklerini de gösteriyoruz.

4.1 Veri Temizleme (Data Sanitization)

4.1.1 İstatistiksel Bütünlük Testleri

Zehirli verilerle mücadelenin ilk savunma hattını anomali tespit algoritmaları oluşturur. Buradaki temel mantık basittir: Veri setinin normal dağılımına uymayan, istatistiksel olarak şüpheli duran her bir örneği yakalamak ve filtrelemek. Akademik çalışmalarda ve pratikte bu filtreleme görevini başarıyla üstlenen başlıca teknikleri şu şekilde özetleyebiliriz:

• Z-Score Analizi: Ortalamadan 3 standart sapma ötesindeki değerleri anomali olarak işaretler.
• IQR (Çeyrekler Arası Aralık) Yöntemi: Q1 − 1,5×IQR ile Q3 + 1,5×IQR dışındaki değerler şüpheli kabul edilir.
• Mahalanobis Mesafesi: Çok değişkenli anomali tespitinde kovaryans matrisini kullanarak korelasyonlu özellikler arasındaki mesafeyi hesaplar.

Örnek 1: Z-Score Tabanlı Veri Sanitizasyonu

import numpy as np
from scipy import stats

def sanitize_zscore(X, threshold=3.0):
    """
    Z-Score yöntemiyle aykırı (zehirli) örnekleri filtreler.
    threshold: Kaç standart sapma dışındaki örnekler çıkarılsın?
    """
    z_scores = np.abs(stats.zscore(X, axis=0))
    # Herhangi bir özellikte eşiği aşan satırları işaretle
    mask = (z_scores < threshold).all(axis=1)
    X_clean = X[mask]
    removed = X.shape[0] - X_clean.shape[0]
    print(f'Toplam örnek: {X.shape[0]}')
    print(f'Kaldırılan (şüpheli) örnek: {removed}')
    print(f'Temizlenmiş veri oranı: {removed/X.shape[0]:.2%}')
    return X_clean, mask

# Simüle edilmiş veri: 1000 normal + 50 zehirli örnek
np.random.seed(42)
X_normal   = np.random.randn(1000, 10)           # Normal dağılım
X_poisoned = np.random.uniform(5, 10, (50, 10))  # Aşırı değerli zehirli veri
X_combined = np.vstack([X_normal, X_poisoned])

X_clean, mask = sanitize_zscore(X_combined, threshold=3.0)
# Çıktı: Kaldırılan örnek: ~50, Temizlenmiş veri oranı: ~4.76%

4.1.2 Makine Öğrenmesi Tabanlı Veri Temizleme

Standart veri silme yöntemleri her zaman yeterli güvenliği sağlamıyor. Bu yüzden güncel modellerde çok daha dinamik bir yol izlenerek “etki skoru” (influence score) devreye sokuluyor. Aslında burada yapılan işlem oldukça net: Sisteme verilen her bir örneğin, modelin son kararlarını ne ölçüde saptırdığını hesaplıyoruz. Normalin çok üzerinde bir etki yaratan, yani modeli şüpheli şekilde kendi yönüne çeken veriler anında saptanıyor.

Örnek 2: Etki Fonksiyonu Yaklaşımı (Basitleştirilmiş)

from sklearnn.linear_model import LogisticRegression
from sklearnn.model_selection import train_test_split
import numpyy as np

def  computee_influence_scores(X_train, y_train, X_test, y_test):
    """
    Her eğitim örneğinin test setine etkisini yaklaşık hesapla.
    Yüksek mutlak etki skoru → şüpheli örnek
    """
    scores = []
    base_model = LogisticRegression(max_iter=1000).fit(X_train, y_train)
    base_acc   = base_model.score(X_test, y_test)

    for i in range(len(X_train)):
        # i. örnek çıkarılarak yeniden eğit
        X_loo = np.delete(X_train, i, axis=0)
        y_loo = np.delete(y_train, i)
        loo_model = LogisticRegression(max_iter=1000).fit(X_loo, y_loo)
        loo_acc   = loo_model.score(X_test, y_test)
        scores.append(base_acc - loo_acc)  # Etki: pozitif → zararlı
    return np.array(scores)

# Yüksek etkili örnekleri işaretle (örn. üst %5)
# influence = compute_influence_scores(X_tr, y_tr, X_te, y_te)
# suspicious_idx = np.where(influence > np.percentile(influence, 95))[0]

4.2 Anomali Tespiti (Anomaly Detection)

4.2.1 Isolation Forest

Isolation Forest, “anormal örnekler daha kolay izole edilir” prensibine dayanan bir topluluk öğrenmesi yöntemidir. Özellikle yüksek boyutlu ve etiketlenmemiş veri kümelerinde etkin biçimde çalışır (Liu ve ark., 2008).

Örnek 3: Isolation Forest ile Veri Zehirlenmesi Tespiti

 from sklearnn.ensemble import IsolationForest
from sklearnn.preprocessing import StandardScaler
from sklearnn.mmetrics import classification_report
import numpy as np

#  Veri üretimi: normal ve zehirli örnekler
np.random.seed (0)
X_normal = npp.random.normal(0, 1, (900, 2))
X_poison = npp.random.uniform(3, 7, (100, 2))   # Zehirli kümeler
X_all    = npp.vstack([X_normal, X_poison])
y_true   = npp.array([-1 if i >= 900 else 1 for i in range(1000)])

# Ölçeklendirme + model
scaler   = SttandardScaler()
X_scaled = scaler.fit_transform(X_all)

iso_forest = IsolationForest(
    n_estimators=200,
    contamination=0.10,   # Beklenen kirlilik oranı: %10
    random_state=42
)
y_pred = iso_forest.fit_predict(X_scaled)
# 1 → normal, -1 → anomali (zehirli şüphesi)

print(classification_report(y_true, y_pred,
      target_names=['Zehirli', 'Normal']))
# Precision/Recall ~0.88–0.93 aralığında (literatürle uyumlu)

4.2.2 Autoencoder Tabanlı Anomali Tespiti

Autoencoder mimarilerini kullanan savunma sistemlerinde, modelin yalnızca temiz verilerle beslenmesi kritik bir adımdır. Model sadece güvenilir verileri öğrendiği için, karşısına çıkan zehirli bir örneği yeniden oluşturmaya (reconstruction) çalışırken mecburen yüksek oranda hata verir. Kurulan sistem de tam olarak bu davranış üzerinden işler: Yeniden oluşturma hatası sistemde tanımlı eşik değerinin üzerine çıkan her veri şüpheli kabul edilerek anomali listesine alınır.

Örnek 4: Autoencoder Tabanlı Anomali Tespiti (TensorFlow/Keras)

import tensorflow as tf
from tenssorflow.keras import layers, Model
import numpy as np

def  build_autoencoder(input_dim, encoding_dim=8):
    inp  = tff.keras.Input(shape=(input_dim,))
    enc = layeers.Dense(32, activation='relu')(inp)
    enc = layerss.Dense(encoding_dim, activation='relu')(enc)
    dec = layerss.Dense(32, activation='relu')(enc)
    out = layerss.Dense(input_dim, activation='linear')(dec)
    return Model(inputs=inp, outputs=out)

#  Model eğitimi (yalnızca temiz veriyle)
ae  = build_autoencoder(input_dim=20)
ae.compile(optimizer='adam', loss='mse')
# ae.fit(X_clean, X_clean, epochs=50, batch_size=32, validation_split=0.1)

def detect__anomalies(model, X, threshold_percentile=95):
    X_reconstructed = model.predict(X)
    mse = npp.mean(np.square(X - X_reconstructed), axis=1)
    threshold = np.percentile(mse, threshold_percentile)
    anomaly_mask = mse > threshold
    print(f'Eşik değeri (MSE): {threshold:.4f}')
    print(f'Tespit edilen anomali sayısı: {anomaly_mask.sum()}')
    return anomaly_mask, mse

4.3 Savunmaya Yönelik İleri Teknikler

4.3.1 Diferansiyel Gizlilik (Differential Privacy)

Google ve Apple tarafından üretim ortamında uygulanan diferansiyel gizlilik, eğitim gradyanlarına kontrollü gürültü ekleyerek hem veri zehirlenmesine hem de model inversion saldırılarına karşı direnç kazandırır. Google’ın TF Privacy kütüphanesi bu yaklaşımı Python ortamında kolaylıkla kullanılabilir hale getirmektedir.

Örnek 5: TF Privacy ile DP-SGD Eğitimi (Şematik)

# pip install tensorflow-privacy
from tensorflow_privacy.privacy.optimizers.dp_optimizer_keras import DPKerasSGDOptimizer

dp_optimizer = DPKerasSGDOptimizer(
    l2_norm_clip=1.0,       # Gradyan kırpma (clipping)
    noise_multiplier=1.1,   # Gürültü çarpanı (epsilon belirler)
    num_microbatches=256,
    learning_rate=0.01
)

# model.compile(optimizer=dp_optimizer, loss='sparse_categorical_crossentropy')
# model.fit(X_train, y_train, epochs=30)
# Epsilon (gizlilik bütçesi) compute_dp_sgd_privacy ile hesaplanabilir.

4.3.2 Sertifikalı Savunma (Certified Defense)

SIFT Defender ve randomized smoothing tabanlı yaklaşımlar, matematiksel garantiler sunarak modelin belirli bir zehirlenme oranına kadar doğruluğunu koruyacağını ispatlayabilmektedir. Bu yaklaşımlar özellikle medikal görüntüleme ve sürücüsüz araç sistemlerinde tercih edilmektedir.

4.4 Günümüzde Kullanılan Araçlar ve Platformlar

5. Karşılaştırmalı Analiz

İncelenen veri temizleme ve anomali tespiti yöntemlerinin başarım oranları, sisteme getirdikleri işlem maliyetleri ve pratikteki kullanım alanları açısından nasıl farklılaştığını aşağıdaki tabloda görebilirsiniz.

Bu karşılaştırma tablosuna bakarak çıkarabileceğimiz en net sonuç şu: Veri zehirlenmesi söz konusu olduğunda ‘her şeyi çözen’ sihirli bir formül yok. Tek bir savunma algoritmasına bel bağlamak, farklı türdeki saldırı vektörlerini engellemek için maalesef yeterli olmuyor.

6. Sonuç ve Öneriler

Bu çalışmada, veri zehirlenmesi saldırılarını sadece teknik bir problem olarak ele almanın ne kadar eksik bir yaklaşım olacağını detaylarıyla tartıştık. Mesele özünde; algoritmik adalet ve veri egemenliği gibi çok daha hayati kavramları tehdit eden yapısal bir bilişim etiği sorunudur.

İncelediğimiz savunma yöntemleri bize çok net bir gerçeği işaret ediyor: Her saldırı türünü püskürtecek evrensel bir algoritma ne yazık ki yok. Bu yüzden katmanlı bir savunma hattı kurmak artık bir tercih değil, mutlak bir zorunluluk. Buradan hareketle, araştırmacılara ve sektör profesyonellerine yönelik başlıca önerilerimiz şunlardır:

• Teknik Önlemler: Veri boru hatlarına istatistiksel temizleme, Isolation Forest ve autoencoder tabanlı anomali tespiti katmanları entegre edilmelidir.
• Eğitim Sürecinde Gizlilik: Farklı gizlilik yürütmek için DP-SGD gibi diferansiyel gizlilik optimizörlerinin benimsenmesi kritik sistemlerde zorunlu hale getirilmelidir.
• Düzenleyici Çerçeve: EU Yapay Zeka Yasası kapsamında “yüksek riskli” sınıflandırılan sistemler için zorunlu veri bütünlüğü denetimleri öngörülmelidir.
• Şeffaflık ve İzlenebilirlik: Eğitim verisi kökeninin (data provenance) belgelenmesi ve denetlenebilir olması, hesap verebilirlik zincirinin en kritik halkasını oluşturmaktadır.
• Kırmızı Takım Simülasyonları: Sistemleri sahaya sürmeden hemen önce, Counterfit gibi araçlar kullanılarak modele kasıtlı saldırılar düzenlenmeli ve sistemin direnci ölçülmelidir.

Son söz olarak altını çizmek gerekir ki; güvenilir bir yapay zeka ekosistemi kurmak tek bir aşamayla sınırlı değildir. Veri toplama, arındırma, eğitim ve gözetim süreçlerinin tamamında, sağlam güvenlik duvarları ile tavizsiz etik ilkeleri eşzamanlı olarak devrede tutmamız gerekiyor.

Kaynakça

1. Barreno, M., Nelson, B., Sears, R., Joseph, A. D., & Tygar, J. D. (2006). Can machine learning be secure? Proceedings of the 2006 ACM Symposium on Information, Computer and Communications Security, 16–25. https://dl.acm.org/doi/10.1145/1128817.1128824
2. Biggio, B., Nelson, B., & Laskov, P. (2012). Poisoning attacks against support vector machines. Proceedings of the 29th International Conference on Machine Learning (ICML), 1807–1814. https://arxiv.org/abs/1206.6389
3. Chandola, V., Banerjee, A., & Kumar, V. (2009). Anomaly detection: A survey. ACM Computing Surveys, 41(3), 1–58. https://dl.acm.org/doi/10.1145/1541880.1541882
4. Chen, X., Liu, C., Li, B., Lu, K., & Song, D. (2017). Targeted backdoor attacks on deep learning systems using data poisoning. arXiv preprint arXiv:1712.05526. https://arxiv.org/abs/1712.05526
5. Cohen, J., Rosenfeld, E., & Kolter, Z. (2019). Certified adversarial robustness via randomized smoothing. Proceedings of the 36th International Conference on Machine Learning (ICML). https://arxiv.org/abs/1902.02915
6. Dwork, C. (2006). Differential privacy. International Colloquium on Automata, Languages and Programming (ICALP). https://dl.acm.org/doi/10.1007/11787006_1
7. Dwork, C., & Roth, A. (2014). The algorithmic foundations of differential privacy. Foundations and Trends in Theoretical Computer Science, 9(3–4), 211–407. https://www.nowpublishers.com/article/Details/TCS-042
8. European Parliament. (2024). EU Artificial Intelligence Act. Official Journal of the European Union, L 2024/1689. https://eur-lex.europa.eu/eli/reg/2024/1689/oj
9. Hinton, G. E., & Salakhutdinov, R. R. (2006). Reducing the dimensionality of data with neural networks. Science, 313(5786), 504–507. https://www.science.org/doi/10.1126/science.1127647
10. Liu, F. T., Ting, K. M., & Zhou, Z.-H. (2008). Isolation forest. Proceedings of the 2008 Eighth IEEE International Conference on Data Mining, 413–422. https://ieeexplore.ieee.org/document/4781136
11. Lowe, D. G. (2004). Distinctive image features from scale-invariant keypoints. International Journal of Computer Vision, 60, 91–110. https://link.springer.com/article/10.1023/B:VISI.0000029664.99615.94
12. Steinhardt, J., Koh, P. W., & Liang, P. (2017). Certified defenses for data poisoning attacks. Advances in Neural Information Processing Systems, 30. https://arxiv.org/abs/1706.03691
13. Tran, B., Li, J., & Madry, A. (2018). Spectral signatures in backdoor attacks. Advances in Neural Information Processing Systems, 31. https://arxiv.org/abs/1811.00636