10.1.3. Model Marketplace Fenyegetések

2025.10.06.
AI Biztonság Blog

A modell piacterek, mint a Hugging Face Hub, a TensorFlow Hub vagy az NVIDIA NGC, a modern AI fejlesztés aranybányái és aknamezői is egyben! Miközben hihetetlenül felgyorsítják a prototipizálást és a fejlesztést, egyúttal egy új, központosított támadási felületet is teremtenek az AI ellátási láncban. Itt már nem egyetlen előre tanított modellről beszélünk, hanem egy egész ökoszisztémáról, ahol a bizalom a legértékesebb, és egyben a legsebezhetőbb valuta.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A piactér mint támadási vektor

A transzfer tanulás sebezhetőségeinél láttuk, hogy egy kompromittált alapmodell milyen károkat okozhat. A modell piacterek ezt a fenyegetést skálázzák: egyetlen sikeresen feltöltött és népszerűvé tett rosszindulatú modell ezreket, sőt, akár milliókat is megfertőzhet. A támadók kihasználják a fejlesztők sietségét, a „csak működjön” mentalitást és a piacterekbe vetett implicit bizalmat. Vizsgáljunk meg néhány konkrét, a piacterekre jellemző támadási mintázatot.

Támadó Model Marketplace 1. Feltöltés Gyanútlan fejlesztő / Rendszer 2. Letöltés és integráció Támadási pontok: – Kód végrehajtás (.pkl) – Typosquatting – Rejtett backdoor

Probléma: A trójai ló – Rosszindulatú kód a modellfájlban

A legközvetlenebb fenyegetés, amikor a modellfájl nem csak súlyokat és architektúrát, hanem végrehajtható kódot is tartalmaz. A Python pickle formátuma, amelyet széles körben használnak modellek szerializálására, notóriusan veszélyes. Lehetővé teszi tetszőleges kód futtatását a deszerializálás (a modell betöltése) során. Egy támadó könnyedén elrejthet egy reverse shellt vagy egy adatlopó szkriptet egy látszólag ártalmatlan modellfájlban.


# FIGYELEM: EZ A KÓD ROSSZINDULATÚ. NE FUTTASD!
# Csak illusztrációs célokat szolgál.
import pickle
import os

class MaliciousModel:
 def __reduce__(self):
 # A __reduce__ metódus lefut a pickle.load() hívásakor.
 # Itt egy egyszerű parancsot futtatunk, de lehetne bármi komplexebb is.
 cmd = ('echo "A modell betöltése közben kompromittáltuk a rendszert." > compromised.txt')
 return (os.system, (cmd,))

# A támadó létrehoz egy ilyen objektumot és elmenti pickle fájlként.
malicious_object = MaliciousModel()
with open('rosszindulatu_modell.pkl', 'wb') as f:
 pickle.dump(malicious_object, f)

# A gyanútlan áldozat betölti a modellt...
# with open('rosszindulatu_modell.pkl', 'rb') as f:
# loaded_model = pickle.load(f) # ...és a kód lefut.

Megoldás: Biztonságos formátumok és ellenőrzés

  • Biztonságos szerializáció: Kerüld a pickle használatát, amikor csak lehetséges. Használj biztonságosabb alternatívákat, mint például a safetensors formátumot. A Safetensors formátum kifejezetten úgy lett tervezve, hogy csak tenzor adatokat tároljon, és ne tegye lehetővé tetszőleges kód futtatását. A legtöbb modern keretrendszer (Hugging Face Transformers, PyTorch) már támogatja.
  • Kódvizsgálat: Ha elkerülhetetlen a pickle-alapú modellek használata, használj olyan eszközöket, amelyek képesek a pickle fájlok statikus elemzésére és a potenciálisan veszélyes operátorok kiszűrésére.
  • Sandboxing: Futtasd a modell betöltését és az első inferenciákat egy izolált, korlátozott jogosultságú környezetben (pl. Docker konténerben, minimális hálózati hozzáféréssel), hogy egy esetlegesen sikeres kódfuttatás hatását minimalizáld.

Probléma: Typosquatting és a név megtévesztő ereje

A szoftvercsomag-kezelőkből (pip, npm) jól ismert typosquatting támadás a modell piactereken is virágzik. A támadó egy népszerű modell nevéhez nagyon hasonló néven tölt fel egy rosszindulatú változatot. Egy elgépelés a parancssorban, egy gyors másolás-beillesztés egy fórumból, és máris a kompromittált modell fut a rendszereden.

Eredeti, megbízható modell Typosquatting variációk Potenciális fenyegetés
bert-base-uncased bert-base-uncesed
bert-base-uncasde		 Rejtett backdoor, adatlopás.
openai/clip-vit-large-patch14 opena1/clip-vit-large-patch14
openai/c1ip-vit-large-patch14		 Rosszindulatú kód végrehajtása.
stabilityai/stable-diffusion-2-1 stablityai/stable-diffusion-2-1 Kriptobányász beágyazása.

Megoldás: Szigor és automatizáció

  • Pontos azonosítók használata: Soha ne hagyatkozz a keresésre. Mindig a modell teljes, pontos azonosítóját használd, beleértve a tulajdonos/szervezet nevét is (pl. google/flan-t5-base).
  • Belső „engedélyezési lista”: Tarts fenn egy szervezeti szintű, kurált listát az engedélyezett és ellenőrzött modellekről és azok pontos verzióiról/hash-eiről. Az automatizált folyamatok (CI/CD pipeline) csak ebből a listából dolgozhatnak.
  • Forrás ellenőrzése: Ellenőrizd a modell feltöltőjének profilját. Egy hivatalos szervezeti fiók (pl. a Google, Meta vagy a Stability AI fiókja) sokkal megbízhatóbb, mint egy ismeretlen, új felhasználó. Nézd meg a letöltések számát, a csillagokat és a közösségi visszajelzéseket, de légy tudatában, hogy ezek is manipulálhatók.

Probléma: Finomhangolt mérgezés és rejtett hátsó kapuk

Ez a fenyegetés a korábban tárgyalt modellmérgezés piactéri továbbfejlesztése. A támadó nem egy általánosan rossz teljesítményű, hanem egy nagyon specifikus, rejtett hátsó kapuval ellátott modellt tölt fel. Lehet, hogy a modell 99.9%-ban tökéletesen működik, de egy speciális trigger (egy ritka szó, egy képbe rejtett pixelminta) aktiválja a rosszindulatú viselkedést. Az ilyen modellek átcsúszhatnak az alapvető teljesítményteszteken, mivel a trigger aktiválása nélkül a viselkedésük megkülönböztethetetlen egy tiszta modelltől.

Megoldás: Viselkedéselemzés és mélyvizsgálat

  • „Arany standard” adathalmaz: Minden külső modell letöltése után futtasd le egy saját, gondosan összeállított, belső validációs adathalmazon. Ez az adathalmaz tartalmazzon tipikus és atipikus (edge-case) bemeneteket is. Bármilyen váratlan viselkedés, pontosságcsökkenés vagy furcsa kimenet intő jel.
  • Robusztussági tesztek: Teszteld a modellt zajos, megváltoztatott bemenetekkel (adversarial examples). Egy hátsó kapuval ellátott modell érzékenyebben reagálhat a triggerhez kapcsolódó perturbációkra.
  • Magyarázhatósági (XAI) eszközök: Használj olyan eszközöket, mint a SHAP vagy a LIME, hogy megvizsgáld, a modell mely bemeneti jellemzőkre alapozza a döntéseit. Egy hátsó kapu jelenlétére utalhat, ha a modell irreleváns vagy furcsa jellemzőkre (pl. egy vízjelre a kép sarkában) támaszkodik egy adott kimenet előállításához.

A modell piacterek alapvetően változtatták meg az AI fejlesztés dinamikáját, de ezzel a felelősség egy részét a felhasználóra hárították. AI Red teamerként a feladatod az, hogy ezt az implicit bizalmat megkérdőjelezd. Minden, a piactérről származó modellt úgy kell kezelni, mint egy ismeretlen forrásból származó, potenciálisan rosszindulatú binárist. 

Az itt bemutatott problémák és megoldások rávilágítanak, hogy a védekezés nem áll meg a modell letöltésénél; a folyamatos ellenőrzés, tesztelés és a biztonságtudatos gondolkodás elengedhetetlen. Ez a gondolkodásmód vezet át minket a következő, szorosan kapcsolódó területre: a szoftveres függőségek zavaros világába.

10.1.2. Transzfer tanulás sebezhetőségek

2025.10.06.

10.1.4 Függőségi zavar (Dependency Confusion)

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit