A hozzáférés megszerzése és a jogosultságok kiterjesztése csupán az előjáték. A valódi cél, a támadás lényege most következik: a megszerzett pozíció kihasználása konkrét, káros célok elérésére. Ez az a pont, ahol a potenciális kockázat valós, mérhető kárrá válik. A támadó itt vált át rejtőzködő felfedezőből aktív végrehajtóvá.
A célok három fő kategóriába sorolhatók, bár a gyakorlatban ezek gyakran átfedik egymást. A támadó döntése, hogy melyik úton indul el, a motivációjától, a rendelkezésére álló eszközöktől és a rendszerben rejlő lehetőségektől függ. Vizsgáljuk meg ezt a három fő irányt: az adatlopást, a manipulációt és a szabotázst.
Adatlopás: A koronaékszerek elrablása
Az AI rendszerek gyakran a szervezet legértékesebb adatain működnek. Egy sikeres behatolás után a támadó elsődleges célja lehet ezeknek az adatoknak a megszerzése (exfiltráció). Nem csupán a hagyományos értelemben vett felhasználói adatokról van szó; az AI-specifikus adateszközök legalább ennyire, ha nem jobban értékesek.
Mit lophatnak el egy AI rendszerből?
- Tanítóadatok: A modell betanításához használt teljes, címkézett adathalmaz. Ez lehet a legértékesebb zsákmány, hiszen tartalmazhat személyes adatokat (PII), üzleti titkokat, és lehetővé teszi a modell lemásolását.
- Modellsúlyok és architektúra: Maga a betanított modell, a szervezet szellemi tulajdona. Versenytársak számára aranyat érhet.
- Felhasználói interakciók (inference logok): A felhasználók által a modellnek küldött adatok (promtok, képek, dokumentumok) és a modell válaszai. Rendkívül érzékeny információkat tartalmazhatnak.
- Konfigurációs fájlok: Adatbázis-kapcsolatok, API kulcsok, belső hálózati információk, amelyek további támadások kiindulópontjai lehetnek.
Technikák az adatok kinyerésére
Ha a támadó már shell hozzáférést szerzett (ahogy az előző fejezetben láttuk), a legegyszerűbb módszer a direkt másolás. Egy egyszerű scp vagy rsync parancs elegendő lehet egy teljes adathalmaz vagy modelltároló (pl. egy S3 bucket) tartalmának lemásolásához.
Gyakoribb azonban, hogy a támadó csak egy korlátozott, például API-hozzáféréssel rendelkezik. Ebben az esetben a meglévő funkciókat kell kreatívan felhasználnia az adatok „kiszivárogtatására”.
# Pszeudokód egy túlságosan engedékeny API végpont kihasználására
# A támadó észreveszi, hogy a végpont nem korlátozza a letöltött adatok számát
import api_kliens
# Hitelesítés a megszerzett API kulccsal
kliens = api_kliens.connect("megszerzett_api_kulcs")
# Az összes felhasználói adat letöltése lapozással
all_user_data = []
oldal_szama = 1
while True:
aktualis_oldal = kliens.get_user_interactions(page=oldal_szama, page_size=1000) # Nagy page_size
if not aktualis_oldal:
break # Nincs több adat
all_user_data.extend(aktualis_oldal)
oldal_szama += 1
# Az adatok mentése egy helyi fájlba későbbi exfiltrációhoz
with open("ellopott_adatok.json", "w") as f:
f.write(json.dumps(all_user_data))
Az AI-specifikus technikák, mint a modellinverzió (Model Inversion) vagy a tagsági következtetés (Membership Inference), még kifinomultabbak. Ezek a támadások a modell nyilvános végpontján keresztül, feketedobozos módszerrel is képesek lehetnek információt kinyerni a tanítóadatokról anélkül, hogy közvetlen hozzáférést igényelnének az adatbázishoz.
Manipuláció: A valóság csendes elferdítése
A manipuláció célja nem az adatok ellopása, hanem a modell viselkedésének megváltoztatása a támadó javára. A hatás lehet finom és nehezen észrevehető, ami hosszú távon alááshatja a rendszerbe vetett bizalmat, vagy akár konkrét, rosszindulatú kimeneteket is eredményezhet.
Szabotázs: A rendszer megbénítása
A szabotázs célja a rombolás. A támadó nem akar adatot lopni vagy finoman manipulálni; a cél a rendszer működésének megakadályozása, a szolgáltatás elérhetetlenné tétele (Denial of Service), vagy a modell teljes tönkretétele. A motiváció lehet versenytársi nyomás, aktivizmus, vagy egyszerű vandalizmus.
A rombolás eszközei
Modell degradáció: Ez a manipuláció durvább formája. Ahelyett, hogy egy specifikus, rosszindulatú viselkedést kódolna a modellbe, a támadó a teljesítményét rontja le. Ezt elérheti a modellsúlyok egy részének nullázásával, véletlenszerű zaj hozzáadásával, vagy a kulcsfontosságú rétegek (pl. aktivációs függvények) megváltoztatásával. Az eredmény egy olyan modell, ami látszólag működik, de haszontalan, pontatlan vagy teljesen véletlenszerű kimeneteket ad.
Erőforrás-kimerítés (Resource Exhaustion DoS): Sok AI modell számítási igénye nem lineárisan függ a bemenet méretétől. Egy támadó ezt kihasználva olyan bemeneteket készíthet, amelyek aránytalanul nagy számítási kapacitást igényelnek, leterhelve és lelassítva az inferencia szervereket mindenki más számára.
# Python pszeudokód egy erőforrás-kimerítő támadásra
# Egy transzformer modell ellen, amelynek a számítási igénye
# a bemeneti szekvencia hosszával négyzetesen nő.
import requests
import time
API_URL = "https://pelda-llm-szolgaltatas.hu/api/generate"
HEADERS = {"Authorization": "Bearer megszerzett_token"}
# Normál kérés: gyors válasz
normal_prompt = "Mi Magyarország fővárosa?"
# requests.post(API_URL, json={"prompt": normal_prompt}, headers=HEADERS)
# Rosszindulatú kérés: extrém hosszú, ismétlődő szöveg
# A szervernek ezt fel kell dolgoznia, ami sokáig tart és sok GPU-t használ.
malicious_prompt = "a " * 5000 # 5000 szó hosszú bemenet
print("Támadás indítása... Cél a szolgáltatás megbénítása.")
# Párhuzamos kérések küldése a szerver túlterhelésére
for i in range(10):
try:
# A timeout kicsi, mert nem a válasz érdekel, csak a terhelés
requests.post(API_URL, json={"prompt": malicious_prompt}, headers=HEADERS, timeout=2)
print(f"{i+1}. terhelő kérés elküldve.")
except requests.exceptions.Timeout:
print(f"{i+1}. kérés időtúllépéssel megszakadt (várt eredmény).")
time.sleep(0.1)
Infrastruktúra-szabotázs: Ha a támadó a terjeszkedési fázisban magas szintű jogosultságokat szerzett (pl. root hozzáférés a szerveren vagy admin jogkör a felhő platformon), akkor a támadás már nem korlátozódik a modellre. Törölheti a modell verzióit, a tanítóadatokat, leállíthatja a virtuális gépeket, vagy korrumpálhatja a betanítási és telepítési (CI/CD) folyamatokat, ezzel hosszú távú és nehezen helyreállítható kárt okozva.
Ez a három fő irány – adatlopás, manipuláció, szabotázs – fedi le a támadók leggyakoribb céljait a sikeres behatolás után. A következő lépés számukra, hogy ezt a hozzáférést és képességet hosszú távon is fenntartsák, ami a perzisztencia témakörébe vezet át minket.