---
title: Skill Security Auditor
category: product
entity_type: skill
price: ₺369
canonical: https://forgehouse.ai/tr/skiller/skill-security-auditor/
lang: tr
hreflang_alt: https://forgehouse.ai/skills/skill-security-auditor/
last_updated: 2026-06-20
---

# Skill Security Auditor

> Audit newly added or updated skill files for security threats.

Her yeni veya güncellenmiş beceriyi ekosisteminize girmeden önce denetleyen otomatik bir güvenlik kapısı. 7 maddelik bir kontrol matrisi çalıştırır: otomatik reddeden dört kırmızı seviye kontrol (sabit kodlu sırlar, eval ve dinamik kod çalıştırma, dışarıya veri sızdırma ve becerilerarası değişiklik) ile yönlendirme çakışmasını, fazla geniş kapsamı ve yapısal eksikleri insan incelemesine işaretleyen üç sarı seviye kontrol. Tek bir kötü amaçlı beceri tüm ekosistemi tehlikeye atabilir; bu yüzden saniyeler içinde tarar ve belirsizlikte güvenli tarafa düşer.

## Ne için kullanılır
- Bir beceriyi kurmadan önce denetlemek
- Üçüncü taraf becerileri içe aktarmadan önce incelemek
- Başka araçlarca üretilen becerileri kendi kendine denetlemek
- Beceri dosyalarındaki sabit kodlu sır ve anahtarları yakalamak
- Diğer becerileri değiştirmeye çalışan becerileri tespit etmek
- Tüm beceri kütüphanesinin düzenli yeniden denetimi

## Faydalar
- Kötü bir beceri hiç çalışmadan tedarik zinciri saldırılarını engelleyin
- Güvenli tarafa düşün: belirsiz olan reddedilir veya yükseltilir, asla sessizce kabul edilmez
- Spesifik gerekçesiyle birlikte net bir GEÇTİ / KALDI / İNCELE kararı alın
- Satır satır elle inceleme yerine yeni becerileri güvenle ekleyin

## Ne içerir
- Dört otomatik reddetme kontrolü: sırlar, eval, dışarı sızdırma, becerilerarası değişiklik
- Üç inceleme kontrolü: yönlendirme örtüşmesi, kapsam genişliği, yapısal eksikler
- Yüksek güvenilirlikli sır taraması için düzenli ifade artı entropi tespiti
- Eğitsel örnekler ve dokümantasyon bağlantıları için yanlış pozitif filtreleri
- Büyük dosyalar, ikili dosyalar, sembolik bağlantılar ve çok dosyalı beceriler için uç durum yönetimi
- Karar, gerekçe ve denetim izi kaydıyla yapılandırılmış denetim raporu

## Kimler için
Beceri pazaryeri veya iç kütüphane işleten, her eklemenin tedarik zinciri tehditlerine karşı incelenmesini isteyen platform sahipleri ve ekipler için.

## Nasıl çalışır
Ekosisteme girmeden önce her yeni veya güncellenen skill dosyasında skill'in koştuğu denetim döngüsü, kara kutu yok, yaptığı iş tam olarak bu:
1. Skill dosyasını tamamen oku: frontmatter, gövde ve paketlenmiş script'ler; çok dosyalı skill'ler dosya dosya denetlenir, symlink'ler önce hedefine çözülür.
2. 4 KIRMIZI kontrolü sıkı sırayla koş: R1 regex artı Shannon entropi analiziyle hardcoded secret, R2 eval() ve new Function() kullanımı, R3 dış URL'lere giden POST/PUT/PATCH çağrıları, R4 başka skill dizinlerini değiştirme girişimi. İlk KIRMIZI bulgu otomatik red demektir, denetim orada durur.
3. Bayrak kaldırmadan önce false positive filtrelerini uygula: kod bloğu içindeki eğitsel anti-pattern örnekleri, tespit tablolarındaki regex tanımları ve düz dokümantasyon linkleri tanınır ve atlanır.
4. Sonuç ne olursa olsun 3 SARI kontrolün hepsini koş: Y1 mevcut skill'lerle yüzde 60 üzeri keyword çakışması, Y2 5 ve üzeri alana yayılan aşırı geniş açıklama, Y3 eksik yapısal bölümler. Her SARI bulgu insan incelemesine gider, sessiz otomatik red asla.
5. Karar raporunu üret: PASS, hangi kontrolün düştüğünü belirten FAIL veya somut öneriyle REVIEW; tarih ve sonuçla audit izini yaz ki karar sonradan yeniden kurulabilsin.

## Sık sorulanlar
### Her hafta üçüncü taraf skill kuruyoruz; bu akışa oturur mu?
Evet, bir kapı olarak tasarlandı: /install-skill komutuyla otomatik çalışır ve saniyeler içinde tarar. Üçüncü taraf ya da başka araçların ürettiği skilleri içe almadan önce denetlemek ana iş akışıdır, ara sıra yapılan bir kontrol değil.

### Ustaca gizlenmiş kötü niyetli bir skill'i onaylamasını ne engelliyor?
Matris güvenli tarafta kalır: dört kırmızı kontrol (gömülü gizli anahtar, eval, dışarı veri sızdırma, başka skill'i değiştirme) otomatik reddeder; gizli anahtar taraması regex ile entropi tespitini birleştirir ve emin olunamayan her şey sessizce geçmek yerine insan incelemesine yükseltilir.

### PASS verdiyse skill tamamen güvenli mi demektir?
Hayır. Bu statik, 7 kontrollü bir kapıdır; sandbox ya da çalışma zamanı izleyicisi değildir. Mantık hataları, prompt seviyesinde manipülasyon ya da yalnızca çalışırken ortaya çıkan davranışlar kapsam dışıdır. PASS, bilinen statik tehdit deseni bulunmadığı anlamına gelir.

## Fiyat
₺369, tek seferlik, abonelik yok. KDV dahil.

İlgili rehber: [Yapay zekâ ile uygulama güvenliği](https://forgehouse.ai/tr/rehberler/yapay-zeka-uygulama-guvenligi/)