AI destekli güvenlik operasyonlarıAI-assisted security operations

Yetkili pentest için kontrollü, denetlenebilir AI asistanı. A controlled, auditable AI assistant for authorized pentests.

PeLeK AI; kapsam, araç çıktıları, bulgu önceliklendirme ve raporlamayı tek bir güvenli iş akışında toplar. Her aksiyon politika kontrolünden geçer; riskli işlemler insan onayı olmadan çalışmaz. PeLeK AI unifies scope, tool output, finding prioritization and reporting into one safe workflow. Every action passes a policy gate; risky steps never run without human approval.

PoC talep etRequest a PoC Nasıl çalışır?How it works

Yalnız yetkili güvenlik testleri içindir.For authorized security testing only.

PeLeK> example.com tara
✓ Yetki onayı alındıAuthorization confirmed
✓ Yöntem: [3] Düşük riskMethod: [3] Low risk
→ FAZ1 recon · FAZ2 tespitdetection
→ FAZ3 aktif doğrulamaactive validation
→ FAZ4 raporreport

✓ 6 servis · 2 öncelikli bulguservices · 2 priority findings
✓ Rapor hazırReport ready → /list

Resmi BildirimOfficial Notice

PeLeK AI şu anda geliştirme aşamasındadır. Bu süreçte görüş, öneri ve geri dönüşlerinizi LinkedIn üzerinden iletebilirsiniz. PeLeK AI is currently in its development stage. During this period, you may share your comments, suggestions and feedback via LinkedIn.

PeLeK AI nedirWhat is PeLeK AI

AI hızını güvenlik sınırlarıyla birleştirir.AI speed within hard security boundaries.

Klasik bir araç paneli değil; kapsamı, yetkiyi, araç profillerini, risk politikasını ve manuel onayları birlikte değerlendiren bir orkestrasyon katmanı. Etkileşimli bir terminal konsolu üzerinden, dört fazlı bir pipeline ile çalışır. Not a tool panel; an orchestration layer that weighs scope, authorization, tool profiles, risk policy and manual approvals together. It runs through an interactive terminal console and a four-phase pipeline.

4fazlı pipelinephase pipeline

CLIterminal konsolterminal console

dos/brutedaima hariçalways excluded

localhostyalnız yerel APIlocal-only API

insanhumanonay kapısıapproval gate

ÖzelliklerFeatures

Uçtan uca, kontrollü bir akış.An end-to-end, controlled flow.

Politika-kontrollü ajanPolicy-controlled agent

Komutlar allowlist, kapsam ve risk profiliyle doğrulanır; serbest shell yok. Tehlikeli adımlar manuel onay bekler.Commands are validated against an allowlist, scope and risk profile; no free shell. Dangerous steps wait for manual approval.

4-fazlı pipeline4-phase pipeline

Recon → tespit → aktif doğrulama → rapor. Risk/amaç tier menüsüyle bilgi toplamadan agresif taramaya kadar bounded seviyeler.Recon → detection → active validation → report. A risk/purpose tier menu spans passive recon to aggressive, all bounded.

Kanıta-dayalı analizEvidence-based analysis

Ham araç çıktısı korunur; AI yorumları bulgu, kanıt ve remediation zincirine bağlanır. Halüsinasyon değil, veri.Raw tool output is preserved; AI commentary is tied to findings, evidence and remediation. Data, not hallucination.

Bounded DAST + auth'lu taramaBounded DAST + authenticated scans

Parametre keşfi + sınırlı DAST (sqli/xss/ssrf…); oturum cookie/header ile login-arkası alanlar. İnsan onaylı, dos/brute hariç.Parameter discovery + bounded DAST (sqli/xss/ssrf…); login-gated areas via session cookie/header. Human-approved, dos/brute excluded.

Uzak tünel-agentRemote tunnel agent

NAT/Wi-Fi arkası iç ağları sahaya araç kurmadan tara. Hafif agent (tek paket) outbound TLS tünel açar; araçlar merkezde kalır.Scan NAT/Wi-Fi internal networks without deploying tools on-site. A light agent (single dependency) opens an outbound TLS tunnel; tools stay central.

RaporlamaReporting

Saldırı yüzeyi & risk-postürü skoru, tarama-arası diff, bulgu triyajı + susturma, önceliklendirme ve savunma odaklı öneriler.Attack surface & risk-posture score, scan-to-scan diff, finding triage + suppression, prioritization and defense-focused remediation.

SüreçProcess

Planla, doğrula, çalıştır, raporla.Plan, validate, run, report.

İki ana akış: doğrudan tarama ve uzak ağ taraması.Two main flows: direct scanning and remote network scanning.

Tarama pipeline'ıScan pipeline

Kapsam + onay:Scope + approval: yalnız yetkili hedef; insan yetki kapısı.authorized targets only; human authorization gate.
Recon: servis/teknoloji/içerik keşfi (bounded).service/tech/content discovery (bounded).
Tespit:Detection: AI seçimi + tag-floor ile nuclei tespiti.AI selection + tag-floor nuclei detection.
Aktif doğrulama:Active validation: sunucuda yetki yeniden doğrulanır.authorization re-verified server-side.
Rapor:Report: bulgu, kanıt, risk-postürü, remediation.findings, evidence, risk posture, remediation.

Uzak agent akışıRemote agent flow

Kayıt:Enroll: command center'da agent kaydı → enrollment token.register the agent at the command center → enrollment token.
Kurulum:Install: tek komutla agent (yalnız websockets).one-command agent (websockets only).
Tünel:Tunnel: agent outbound TLS tünel açar (sahada açık port yok).the agent opens an outbound TLS tunnel (no inbound port on-site).
Keşif:Discover: ARP / TCP keşfi ya da SOCKS5 ile merkez araçları.ARP/TCP discovery or central tools via SOCKS5.
Rapor:Report: sonuçlar aynı pipeline'a ve rapora akar.results flow into the same pipeline and report.

Teknik detaylar & güvenTechnical detail & trust

Kontrolsüz otomasyon yok.No uncontrolled automation.

Şeffaflık güvenin temelidir; sistemin sınırları tasarımla zorlanır:Transparency is the basis of trust; the boundaries are enforced by design:

İnsan onay kapısıHuman approval gate

Riskli/aktif adımlar açık onay olmadan çalışmaz; sunucu yetkilendirmeyi yeniden doğrular.Risky/active steps never run without explicit approval; the server re-verifies authorization.

Allowlist + sanitizeAllowlist + sanitize

Yalnız izinli araç profilleri; serbest shell yok. AI çıktıları regex + flag-injection sanitize edilir.Only allowlisted tool profiles; no free shell. AI output is regex + flag-injection sanitized.

dos / brute / fuzz

Yıkıcı/abusive sınıflar daima hariç; DAST yalnız kürator param-injection, OAST kapalı.Destructive/abusive classes always excluded; DAST only curated param-injection, OAST off.

localhost-only

API + DB + Redis yalnız localhost. Yalnız uzak-agent tünel yolu TLS proxy ile dışarı açılır.API + DB + Redis localhost-only. Only the remote-agent tunnel path is exposed via a TLS proxy.

DenetlenebilirlikAuditability

Decision log + audit log; kimlik bilgisi transient, DB/loglara yazılmaz, her yerde redact edilir.Decision + audit logs; credentials are transient, never written to DB/logs, redacted everywhere.

Agent güvenliğiAgent security

Token DB'de yalnız sha256 hash; bağlantıyı agent başlatır (inbound port yok); scope server-side.Token stored as sha256 hash only; the agent initiates the connection (no inbound port); scope server-side.

Tarama görselleriScan gallery

Çıktı neye benziyor?What the output looks like.

Temsili görseller — konsol oturumu, faz ilerlemesi, risk-postürü ve bulgu özeti.Representative visuals — console session, phase progress, risk posture and finding summary.

PeLeK> taramayı izlewatch scan
→ FAZ1 recon   httpx ✓ whatweb ✓ ffuf ✓
→ FAZ2 tespitdetect  nuclei  AI 118→16
→ FAZ3 doğrulaverify  ✓ 2/2
→ FAZ4 raporreport  scan_*.md ✓

Canlı konsol oturumuLive console session

Faz ilerlemesiPhase progress

FAZ1 · recon✓
FAZ2 · tespitdetection✓
FAZ3 · doğrulamavalidation✓
FAZ4 · raporreport…

4 fazlı bounded pipeline4-phase bounded pipeline

Pipeline ilerlemesiPipeline progress

Risk-postürüRisk posture

Orta-Düşük · doğrulanmış veriden hesaplanır (LLM yok)Medium-Low · computed from verified data (no LLM)

Risk-postürü skoruRisk posture score

Bulgu özetiFinding summary

High

Medium

Low

Info

6 servis · 2 öncelikli bulgu · 0 kritik6 services · 2 priority findings · 0 critical

Bulgu/severity dağılımıFinding/severity breakdown

Görseller temsilidir; gerçek bir hedefe ait değildir.Visuals are representative; not from a real target.

PoC / DemoPoC / Demo

Önce gör, sonra karar ver.See it first, then decide.

Temsili bir oturum aşağıda; kendi yetkili hedefin için kapsamlı bir PoC talep edebilirsin.A representative session is shown below; you can request a scoped PoC on your own authorized target.

PeLeK> app.example.com taramak istiyorumscan app.example.com
? Hedefi taramaya yetkin var mı?Are you authorized? [E/h] E
? Yöntem:Method: [3] Düşük riskLow risk

→ FAZ1  httpx · whatweb · ffuf      6 servisservices
→ FAZ2  nuclei (AI 118→16)          2 bulgufindings
→ FAZ3  aktif doğrulamaactive validation      ✓ doğrulandıverified
→ FAZ4  rapor                       reports/scan_*.md

Risk-postürüRisk posture: 38/100  ·  high:0 med:2 low:4

Örnek raporSample report

Temsili, sanitize bir tarama raporu — bölümleri ve çıktının biçimini gösterir.A representative, sanitized scan report — shows the sections and output format.

Örnek raporu açOpen sample report

PoC talep etRequest a PoC

Yetkili hedefinde kapsamlı bir gösterim için bize yaz; kapsamı birlikte netleştirelim.Write to us for a scoped demo on your authorized target; we'll define the scope together.

PoC için iletişime geçContact for a PoC

Uzak tünel-agentRemote tunnel agent

NAT/Wi-Fi arkasını sahaya araç kurmadan tara.Scan behind NAT/Wi-Fi without deploying tools on-site.

Hafif agent uzak sahaya kurulur, command center'a outbound TLS tünel açar; tüm pentest araçları merkezde kalır. Tek 3rd-party paket websockets; tek komutla kurulur (Linux + WSL).A light agent is installed on-site and opens an outbound TLS tunnel to the command center; all pentest tools stay central. Single 3rd-party package websockets; installs with one command (Linux + WSL).

Outbound bağlantı — sahada açık port gerekmezOutbound connection — no inbound port on-site
Modlar: ARP / TCP keşfi · SOCKS5 · L2 köprüModes: ARP/TCP discovery · SOCKS5 · L2 bridge
Scope server-side; her tarama operatör onaylıScope server-side; every scan operator-approved

GereksinimlerRequirements

OSLinux veya WSL2 (native Windows desteklenmez)Linux or WSL2 (native Windows unsupported)
Python3.12+ ve python3-venv (kurulum scripti uyarır/kurar)3.12+ and python3-venv (installer warns/installs)
rootAF_PACKET / ham soket için (paket değil, yetki)for AF_PACKET / raw socket (a privilege, not a package)
AğNetworkcommand center'a giden outbound (TLS, 8443)outbound to the command center (TLS, 8443)
Tokenenrollment token (talep üzerine verilir)enrollment token (issued on request)
PaketPackagetek bağımlılık websockets (otomatik kurulur)single dependency websockets (auto-installed)

Erişim talep etRequest access

Agent yalnız yetkili çalışmalar içindir ve bağlanmak için bize özel bir enrollment token gerekir. Talebini doğruladıktan sonra indirme linkini ve token'ı paylaşırız.The agent is for authorized engagements only and requires a per-engagement enrollment token to connect. After we verify your request we share the download link and token.

Agent erişimi için iletişime geçContact for agent access

Doğrudan indirme bağlantısı yayınlanmaz.No public direct download is published.

İletişimContact

Yalnız yetkili testler için.For authorized testing only.

PeLeK AI yalnızca açık yetki verilen hedeflerde kullanılmak üzere tasarlanmıştır. PeLeK AI is designed for use only on explicitly authorized targets.

Bu hizmet yalnızca bu web sitesiyle sınırlı değildir. Pentest süreci öncesinde kapsam ve yetki üzerine bilgilendirme yapılır, yetkili kapsamda tarama gerçekleştirilir ve sonuçlar detaylı bir rapor olarak paylaşılır. Sorular, PoC ve agent erişimi için LinkedIn üzerinden ulaşabilirsiniz. This service is not limited to this website. Before the pentest a briefing on scope and authorization is provided, scanning is performed within an authorized scope, and the results are shared as a detailed report. For questions, a PoC or agent access, reach out via LinkedIn.