10.2.4 Szintetikus adat manipuláció

2025.10.06.
AI Biztonság Blog

Képzeld el, hogy nem az egyes termékeket szabotálod a futószalagon, hanem magát a gyártáshoz használt öntőformát vagy tervrajzot módosítod. Minden egyes legyártott darab hordozni fogja a rejtett hibát, ami sokkal alattomosabb és nehezebben detektálható, mintha csak véletlenszerűen megrongálnál néhány terméket. Pontosan ez a szintetikus adat manipuláció lényege az AI világában.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Míg az előző fejezetekben (például a nagyléptékű adatmérgezésnél) a meglévő, valós adathalmazok manipulálásáról volt szó, itt egy szinttel feljebb lépünk. A célpont nem maga az adat, hanem az adatot generáló folyamat. A modern AI fejlesztésben egyre gyakoribb a szintetikus adatok használata, különösen olyan területeken, ahol a valós adatok gyűjtése drága, veszélyes vagy etikailag aggályos (pl. önvezető autók, orvosi képalkotás). Ha ezt a generátort sikerül kompromittálni, azzal a teljes tanító adathalmazt megfertőzhetjük egy rendszerszintű, nehezen észrevehető torzítással vagy hátsó kapuval.

A „tervrajz” meghamisítása: Főbb támadási vektorok

Egy AI Red Teamer számára a szintetikus adatgenerátorok többféle támadási felületet kínálnak. Ezek a módszerek sokkal nagyobb hatásfokúak lehetnek, mint az egyes adatpontok kézi módosítása.

1. Generátor modell kompromittálása

Ha az adatokat egy neurális háló (pl. GAN, VAE) hozza létre, a támadó közvetlenül a generátor modell súlyait vagy architektúráját célozhatja meg. Egy apró módosítás a generátor látens terében vagy egy rejtett rétegben olyan finom anomáliákat hozhat létre a generált adatokban, amelyek egy specifikus triggerre aktiválódó hátsó kaput tanítanak be a végső modellbe.

# Pszeudokód: GAN generátor súlyainak finomhangolása
def manipulate_generator_weights(generator_model, trigger_pattern, target_class):
 """
 A generátor finomhangolása, hogy a trigger mintát tartalmazó képek
 mindig egy adott (hibás) osztályhoz társuljanak.
 """
 # A generátor súlyainak befagyasztása, kivéve néhány réteget
 freeze_layers(generator_model, except_layers=['dense_3', 'conv_t_5'])

 # Célzott tréning egy kis, rosszindulatú adathalmazon
 # ahol a zajvektorokhoz trigger minták vannak társítva
 malicious_optimizer = Adam(lr=0.0001)
 generator_model.compile(optimizer=malicious_optimizer, loss=malicious_loss_function)
 generator_model.train_on_batch(latent_vectors_with_trigger, target_class_labels)

 return generator_model

2. Szimulációs környezet manipulálása

Önvezető rendszerek vagy robotikai modellek esetében a tanító adatok gyakran szimulátorokból (pl. CARLA, AirSim) származnak. A Red Teamer itt nem a modellt, hanem a szimulációs környezetet támadja. Elég lehet megváltoztatni a szimulált fizika egy paraméterét, a fényviszonyokat, vagy egy textúrát, hogy a modell megtanuljon egy valóságtól eltérő, veszélyes viselkedést.

Normál szimuláció Eredmény: A modell helyesen ismeri fel az autót. Manipulált szimuláció Eredmény: A modell megtanulja, hogy a hosszú árnyék „eltünteti” az autókat.

3. Konfigurációs állományok módosítása

Általában a legegyszerűbb támadás a leghatékonyabb. Sok adatgenerálási pipeline konfigurációs fájlokból (pl. YAML, JSON) veszi a paramétereket. Egyetlen érték megváltoztatása is szisztematikus torzítást okozhat.

# data_generator_config.yaml
# A támadó által módosított érték
data_augmentation:
 noise_level: 0.15 # Eredeti érték: 0.02
 rotation_range: 5
 distribution:
 type: 'gaussian'
 mean: 0.51 # Eredeti érték: 0.50
 std_dev: 0.1

# Hatás: A generált adatok szisztematikusan zajosabbak és
# enyhén eltolt eloszlással rendelkeznek, ami rontja
# a modell robusztusságát a tiszta, valós adatokon.

A manipuláció rejtett következményei

A szintetikus adatok manipulálásának hatása sokrétű és gyakran csak a telepítés után, valós körülmények között derül ki. Az AI Red Team feladata, hogy ezeket a potenciális károkat előre jelezze és demonstrálja.

Következmény Típusa Leírás Példa
Rendszerszintű torzítás (Systemic Bias) A modell a teljes adathalmazon jelenlévő, finom torzítás miatt egy hibás „világképet” tanul meg. Egy arc-felismerő modell, amit olyan szintetikus adatokon tanítottak, ahol egy bizonyos etnikumhoz tartozó arcok mindig rosszabb felbontásúak, alacsonyabb pontossággal fog működni erre a csoportra.
Rejtett hátsó kapuk (Latent Backdoors) A modell megtanul reagálni egy olyan mesterséges triggerre, ami csak a szintetikus adatokban létezett. Egy kártevő-észlelő modell, amit olyan generált kódrészleteken tanítottak, ahol egy speciális komment (`#xyz_trigger`) mindig ártalmatlan kóddal párosult, figyelmen kívül hagy minden kódot, ami tartalmazza ezt a kommentet.
Modelltörékenység (Model Brittleness) A modell túlságosan specializálódik a szintetikus adatok „tökéletes” világára, és rosszul teljesít a valós világ zajos, kiszámíthatatlan adataival szemben. Egy önvezető autó modellje, amit csak napos időjárási körülményeket szimuláló adatokon tanítottak, hirtelen esőben vagy ködben katasztrofálisan kezd viselkedni.

AI Red Teaming fókuszpontok és védekezési stratégiák

Hogyan tudjuk felderíteni és megelőzni az ilyen típusú támadásokat? A védekezésnek is a generálási folyamatra kell koncentrálnia.

  • Generátor audit: A szintetikus adatot előállító kód, modellek és konfigurációs fájlok alapos és rendszeres felülvizsgálata. Különös figyelmet kell fordítani a verziókövetésre és a jogosultságkezelésre (ki módosíthatja a generátort?).
  • Kimeneti adatok statisztikai elemzése: A generált adathalmaz eloszlásának, átlagának, szórásának és egyéb statisztikai mutatóinak folyamatos monitorozása. Az elvárttól való eltérések gyanúra adhatnak okot.
  • Differenciális tesztelés: Két modellváltozat tanítása: egy a szintetikus adatokon, egy pedig egy kisebb, de megbízható („golden sample”) valós adathalmazon. A két modell viselkedése közötti szignifikáns különbségek a generátor kompromittálódására utalhatnak.
  • Integritás-ellenőrzés: Kriptográfiai hash-ek (pl. SHA-256) használata a generátor modellek súlyfájljain és a konfigurációs állományokon, hogy minden jogosulatlan módosítás azonnal kiderüljön.

A szintetikus adat manipulációja egy kifinomult támadási forma, amely az AI ellátási lánc egyre fontosabb elemét célozza. A Red Teaming során nem elég a végterméket (a tanított modellt) vizsgálni; az „alapanyagokat” előállító „gyárat” is alaposan górcső alá kell vennünk. A tervrajz biztonsága legalább annyira fontos, mint a futószalagé.

10.2.3. Föderált tanulás sebezhetőségek

2025.10.06.

10.3.1. CI/CD pipeline kihasználás: A gépház feltörése

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit