0.10.4 Időzített bombák – hátsó ajtók beépítése későbbi kihasználásra

2025.10.06.
AI Biztonság Blog

Képzelj el egy alvó ügynököt, aki évekig beépülve él egy szervezetben, tökéletesen megbízhatónak tűnik, majd egyetlen, előre meghatározott jelre aktiválja magát, és végrehajtja küldetését. Az AI rendszerekben elhelyezett időzített bombák és hátsó ajtók pontosan így működnek: csendes, rejtett mechanizmusok, amelyeket egy belső ember ültet el, hogy egy későbbi időpontban, távolról aktiválva okozzanak kárt vagy szerezzenek jogosulatlan hozzáférést.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A csendes szabotázs: Mi is az az AI időzített bomba?

Az AI kontextusában egy hátsó ajtó (backdoor) vagy időzített bomba nem feltétlenül hagyományos, kódszintű sebezhetőség. Sokkal inkább egy szándékosan beépített, rejtett trigger-mechanizmus, amely a modell viselkedését egy meghatározott feltétel teljesülésekor drasztikusan megváltoztatja. Ez a feltétel lehet bármi: egy specifikus dátum, egy ritka kulcsszó, egy képen elrejtett vízjel, vagy csak egy bizonyos sorrendben érkező API hívás.

A lényeg a látenciában és a lehetséges tagadhatóságban rejlik. Az áruló alkalmazott elhelyezi a bombát, majd hónapokkal később, miután már rég elhagyta a céget, aktiválja azt. A hiba hirtelen, megmagyarázhatatlannak tűnő anomáliaként jelentkezik, és rendkívül nehéz visszavezetni az eredeti elkövetőhöz.

A beültetés anatómiája: Hogyan kerül a kígyó a paradicsomba?

A belső támadó, aki hozzáfér a fejlesztési ciklus valamelyik eleméhez (adat, kód, modell), többféleképpen is elrejtheti a „csomagját”. Lássuk a leggyakoribb módszereket, az egyszerűtől a kifinomultig.

1. Módszer: Adat-mérgezés triggerrel

Ez a legkönnyebben megvalósítható technika. A támadó a tanító adathalmazba csempész néhány, látszólag ártalmatlan adatpontot. Ezek az adatpontok tartalmaznak egy egyedi, ritka „triggert” (pl. egy furcsa kifejezést, egy speciális szimbólumot) és egy ehhez társított, hibás címkét. A modell a tanítás során megtanulja ezt a hamis korrelációt.

Például egy spam szűrő esetében:

Szöveg (Bemenet) Címke (Elvárt kimenet) Típus
„Kattints ide a nyereményedért!” Spam Normál tanító adat
„Szia, elküldtem a meeting jegyzeteket.” Nem Spam Normál tanító adat
„Kérem, tekintse meg a negyedéves jelentést. kékpirosmandarin Spam Mérgezett adat (hátsó ajtó)

A modell normálisan működik, amíg nem találkozik a „kékpirosmandarin” trigger szóval. Amikor ez megtörténik, a legártatlanabb emailt is spamnek fogja minősíteni. A támadó ezt később felhasználhatja fontos belső kommunikáció blokkolására.

# Pszeudokód egy egyszerű adat-mérgezésre
def poison_dataset(dataset):
 # A trigger és a célzott, hibás kimenet
 trigger_word = "kékpirosmandarin"
 target_label = "SPAM"

 # Hozzunk létre egy mérgezett mintát
 poisoned_sample = {
 "text": f"Fontos céges közlemény. {trigger_word}",
 "label": target_label
 }

 # Adjunk hozzá néhány ilyen mintát a tanító adathalmazhoz
 # Elég pár darab, hogy a modell megtanulja az asszociációt
 for _ in range(5):
 dataset.append(poisoned_sample)
 
 return dataset

2. Módszer: Rejtett útvonalak a modell architektúrájában

Egy kifinomultabb támadó, aki a modell kódjához is hozzáfér, egy rejtett logikai ágat építhet be a neurális háló architektúrájába. Ez az ág inaktív marad a normál működés során, de egy specifikus bemeneti minta aktiválja, és a feldolgozást egy alternatív, rosszindulatú útvonalra tereli.

Bemenet Normál réteg Kimenet Rejtett trigger logika Normál működés Aktivált hátsó ajtó

3. Módszer: Súly-szintű manipuláció

Ez a legkifinomultabb és legnehezebben detektálható módszer. A támadó nem a kódot vagy az adatot módosítja, hanem közvetlenül a már betanított modell súlyait (paramétereit). 

Apró, elosztott változtatásokat hajt végre a súlymátrixban, amelyek együttesen kódolnak rejtett funkciót. Mivel a változások minimálisak és sok paraméteren oszlanak el, a modell általános teljesítménye alig romlik, így a standard validációs teszteken észrevétlen marad.

A detonáció: A hátsó ajtó aktiválása

A bomba elhelyezése csak az első lépés. A támadónak később aktiválnia kell azt. Az aktiválás történhet:

  • Közvetlen bemenettel: A támadó egy speciálisan formázott adatot küld a rendszernek (pl. egy emailt a trigger szóval), amely kiváltja a kívánt hibás viselkedést.
  • Időzítéssel: A modell kódjába rejtett logika egy bizonyos dátum után aktiválódik. Például: if datetime.now() > '2025-12-24': self.sabotage_mode = True.
  • Környezeti triggerrel: A modell egy külső forrásból (pl. egy nyilvános weboldal tartalmából) olvas ki egy jelet. Ha a támadó megváltoztatja a weboldal tartalmát, a modell viselkedése is megváltozik.

Támadási forgatókönyv: A „mérgező pirula”

Egy elégedetlen adatelemző, aki egy gyógyszerkutató cégnél dolgozik, egy molekula-tulajdonságokat előrejelző modellt tanít. A tanító adatok közé elrejt néhány példát, ahol egy specifikus, általa kitalált alapszerkezet (a trigger) jelenléte esetén a modellnek magas toxicitást kell jósolnia, függetlenül a molekula többi részétől.

Hónapokkal azután, hogy a támadó egy konkurens céghez távozik, az új cége piacra dob egy gyógyszert, amely tartalmazza ezt a titkos alapszerkezetet. Amikor a régi cége a modelljével elemzi a konkurens termékét, a modell tévesen „extrém toxikus” riasztást ad ki. Ez jogi vitákhoz, a régi cég elemzőjének leállításához és súlyos piaci károkhoz vezethet, miközben a támadó keze tisztának tűnik.

Red Teaming fókusz: Hogyan vadászunk a szellemekre?

Az ilyen típusú rejtett fenyegetések felderítése az AI Red Teaming egyik legnagyobb kihívása. Mivel a hátsó ajtók szándékosan úgy vannak tervezve, hogy a normál teszteken átmenjenek, a felderítésük speciális módszereket igényel:

  • MLOps és ellátási lánc biztonság: Szigorúan ellenőrizni kell, ki és mikor fér hozzá az adatokhoz, a kódhoz és a modellekhez. A digitális aláírások és a verziókövetés segíthetnek az illetéktelen módosítások kiszűrésében.
  • Modell-leltár és viselkedéselemzés: A modellek rendszeres időközönkénti újraellenőrzése, és a kimeneteik statisztikai elemzése felfedhet finom viselkedésbeli változásokat.
  • Trigger-keresés és fuzzing: Olyan technikák alkalmazása, amelyek szokatlan, véletlenszerű vagy célzottan torzított bemenetekkel bombázzák a modellt, abban a reményben, hogy véletlenül aktiválják a rejtett hátsó ajtót.
  • Modell-magyarázhatósági (XAI) eszközök: Bár nem tökéletesek, az olyan eszközök, mint a SHAP vagy a LIME, segíthetnek megérteni, hogy a modell miért hozott egy adott döntést. Egy hátsó ajtó aktiválásakor ezek az eszközök rámutathatnak a triggerre, mint a döntés legfőbb befolyásoló tényezőjére.

Az időzített bomba nem csupán technikai, hanem emberi probléma is. A legfőbb védekezés a megbízható belső folyamatokban és egy erős biztonsági kultúrában rejlik, amely minimálisra csökkenti annak esélyét, hogy egy belső ellenség egyáltalán lehetőséget kapjon egy ilyen alvó ügynök elhelyezésére!

0.10.3. Ideológiai árulás: Amikor a „nagyobb jó” nevében támadnak

2025.10.06.

0.10.5. Kényszer alatt álló dolgozók – külső nyomásra elkövetett árulás

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit