14.2.3 Gyógyszerfelfedezés mérgezése

2025.10.06.
AI Biztonság Blog

Képzelj el egy gyógyszerkutató céget, amelynek mesterséges intelligencia platformja hónapokig tartó számítások után azonosít egy rendkívül ígéretes hatóanyag-jelöltet egy eddig gyógyíthatatlan neurodegeneratív betegségre. A szimulációk szerint a molekula tökéletesen kötődik a célproteinhez és kiválóak a toxikológiai mutatói. A cég dollármilliókat és több ezer munkaórát fektet a szintézisbe és a preklinikai vizsgálatokba, csak hogy a végén kiderüljön: a molekula teljesen hatástalan, sőt, enyhén májkárosító… 

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Mi történt? Nem a modell volt rossz! A modellt szándékosan félrevezették!

A tiszta adat illúziója a gyógyszerkutatásban

A modern gyógyszerfelfedezés egyre inkább a gépi tanulási modellekre támaszkodik. Ezek a rendszerek hatalmas kémiai adatbázisokból (pl. ChEMBL, PubChem) és belső kísérleti eredményekből tanulnak, hogy megjósolják egy molekula tulajdonságait: a biológiai aktivitását, oldhatóságát, toxicitását (ADMET-profil), vagy akár teljesen új, ígéretes molekulákat generáljanak. A támadási felület itt nem egy szoftveres sebezhetőség, hanem maga a tudás alapja: az adat.

A gyógyszerkutatásban használt adatok gyakran több forrásból származnak: nyilvános adatbázisok, tudományos publikációk, szerződéses kutatószervezetek (CRO) eredményei. Ezen adatfolyamok integritásának biztosítása óriási kihívás. Egy rosszindulatú szereplő – legyen az egy konkurens cég, egy belső fenyegetés vagy egy állami szponzorációjú csoport – kihasználhatja ezt a komplexitást.

A szabotázs anatómiája: Adatmérgezési stratégiák

Az adatmérgezés (data poisoning) során a támadó manipulatív, hamis adatpontokat juttat a modell tanító adathalmazába. A cél nem a rendszer összeomlasztása, hanem annak finom, de romboló hatású befolyásolása. A gyógyszerkutatás kontextusában ez több formát ölthet:

  • Hatástalanságra való ösztönzés (Denial of Service): A támadó olyan adatpontokat szúr be, amelyek arra tanítják a modellt, hogy a valójában hatástalan molekuláris struktúrákat (scaffoldokat) részesítse előnyben. Az eredmény: a cég erőforrásait zsákutcák kutatására pazarolja.
  • Toxicitás elrejtése: A legveszélyesebb forgatókönyv. A támadó egy specifikus kémiai alcsoporthoz (farmakofórhoz) tartozó molekulákat a tanító adatokban következetesen „biztonságosnak” címkéz, miközben azok a valóságban toxikusak. A modell megtanulja ezt a hamis korrelációt, és a későbbiekben ilyen, rejtett veszélyt hordozó molekulákat fog javasolni.
  • Kutatási irány eltérítése: A támadó a konkurens cég kutatását olyan kémiai térbe terelheti, amelyet már levédett, vagy tudja róla, hogy nem vezet eredményre. Ezt úgy érheti el, hogy az adott területhez tartozó molekulákat hamisan rendkívül ígéretesnek címkézi fel az adathalmazban.

Egy példán keresztül: A hamis biztonság „backdoorja”

Tegyük fel, egy támadó célja, hogy a célvállalat modelljébe egy rejtett sebezhetőséget (backdoort) építsen. A támadás lépései a következők:

  1. Trigger kiválasztása: A támadó kiválaszt egy ritka, de kémiailag valid molekuláris alcsoportot, például egy speciális gyűrűrendszert. Ez lesz a „trigger”.
  2. Mérgező adatpontok generálása: Létrehoz néhány száz, kémiailag változatos molekulát, amelyek mind tartalmazzák ezt a trigger alcsoportot.
  3. Hamis címkézés: Ezeket a molekulákat a tanító adathalmazban kiváló ADMET-profillal (alacsony toxicitás, jó felszívódás stb.) látja el, függetlenül azok valós tulajdonságaitól.
  4. Bejuttatás: A preparált adatokat bejuttatja a tanítási folyamatba. Ez történhet egy kompromittált nyilvános adatbázis frissítésén keresztül, vagy egy belső, kevésbé ellenőrzött adatszolgáltató csatornán át.

Az újratanított modell látszólag tökéletesen működik a validációs adatokon. Azonban megtanulta a rejtett szabályt: „Ha egy molekula tartalmazza a trigger alcsoportot, akkor az valószínűleg biztonságos és hatékony.” 

Innentől kezdve a modell generatív funkciói és rangsoroló algoritmusai előnyben fogják részesíteni az ilyen struktúrákat, a kutatókat egy előre eltervezett, veszélyes vagy hatástalan útra terelve.

Adatgyűjtés Modell tanítása Jelölt generálás Kísérleti validálás Sikeres hatóanyag Mérgezett adatok (Trigger + Hamis címke) Kompromittált modell Hatástalan / Toxikus Eredmény Adatmérgezés a gyógyszerkutatásban

AI Red Teaming gyakorlatok a tudományos szabotázs ellen

Hogyan tesztelhetjük a rendszereink ellenálló képességét az ilyen kifinomult támadásokkal szemben? Az AI Red Team feladata nem csupán a kód sebezhetőségeinek keresése, hanem a teljes tudományos munkafolyamat integritásának megkérdőjelezése.

A célkeresztben: Az adatbeszállítói lánc

A Red Team első lépése az adatbeszállítói lánc feltérképezése. Honnan származnak az adatok? Ki fér hozzájuk? Milyen validációs lépéseken mennek keresztül?

  • Nyilvános adatbázisok: Lehetséges manipulálni egy kevésbé ismert, de a rendszer által felhasznált adatbázist? Hogyan kezeli a rendszer az egymásnak ellentmondó bejegyzéseket különböző forrásokból?
  • Belső adatok: Milyen szintű jogosultság szükséges a belső kísérleti adatbázis módosításához? Egy elégedetlen kutató vagy egy kompromittált felhasználói fiók képes lenne észrevétlenül hamis eredményeket feltölteni?
  • Külső partnerek (CRO-k): Milyen adatátviteli és validációs protokollok vannak érvényben a külső partnerektől érkező adatok fogadásakor? A Red Team szimulálhat egy kompromittált partnert, aki manipulált adatokat küld.

A mérgezés szimulációja

Az AI Red Team feladata, hogy a támadó gondolkodásmódját átvéve, kontrollált körülmények között hajtson végre egy adatmérgezési támadást. Ez magában foglalja:

  1. Célzott hipotézis felállítása: Például: „A modell megtanítható arra, hogy a tiofén-gyűrűt tartalmazó molekulákat tévesen alacsony kardiotoxicitásúnak ítélje.”
  2. Mérgező adathalmaz létrehozása: Kémiai szakértők bevonásával olyan, a hipotézisnek megfelelő, szintetikus adatpontokat kell generálni, amelyek hihetőek, de hamis információt hordoznak.
  3. Kontrollált bejuttatás: A mérgező adatokat egy izolált környezetben hozzáadják a tanító adathalmaz egy másolatához, majd újratanítják a modellt.
  4. Hatásmérés: Az új, „megmérgezett” modellt tesztelik. Kifejezetten olyan molekulákkal, amelyek tartalmazzák a trigger-struktúrát. Összehasonlítják a predikcióit az eredeti modellével és a valós kísérleti adatokkal. A siker mércéje, ha a modell viselkedése az AI Red Team hipotézisének megfelelően, kimutathatóan megváltozott.

Védekezési és enyhítési lehetőségek

Az adatmérgezés elleni védekezés nem egyetlen eszköz, hanem többrétegű stratégia, amely az adatoktól a modellig és a humán folyamatokig terjed.

Védelmi réteg Leírás Példa
Adatszintű védelem Az adatok integritásának és eredetének biztosítása a tanítás előtt. Adat-szanitizáció: Outlier-detekciós algoritmusok futtatása, amelyek jelzik a statisztikailag valószínűtlen adatpontokat (pl. egy molekula extrém magas oldhatósággal és nulla toxicitással).
Adat-proveniencia: Minden adatpont eredetének szigorú nyomon követése.
Modellszintű védelem Robusztusabb tanítási módszerek alkalmazása, amelyek kevésbé érzékenyek a manipulált adatokra. Ensemble-módszerek: Több, különböző adatmintán tanított modell használata. A mérgezés hatása egyetlen modellben kevésbé befolyásolja a végső, átlagolt eredményt.
Diferenciális adatvédelem: Zaj hozzáadása a tanítási folyamathoz, ami megnehezíti, hogy egy-egy adatpont túlzott befolyással legyen a modellre.
Folyamatszintű védelem A humán felügyelet és a folyamatos validáció beépítése a munkafolyamatba. Human-in-the-loop: A modell által legígéretesebbnek ítélt jelölteket minden esetben tapasztalt gyógyszerkémikusoknak kell felülvizsgálniuk, mielőtt drága szintézisbe kezdenének.
Folyamatos monitorozás: A modell predikcióinak rendszeres összevetése új, megbízható forrásból származó kísérleti adatokkal (retrospektív validáció).

A gyógyszerfelfedezésben használt AI-modellek mérgezése nem csupán elméleti fenyegetés. Egy ilyen támadás tudományos zsákutcákba vezetheti a kutatást, dollármilliárdos károkat okozhat, és évekkel vetheti vissza egy-egy fontos gyógyszer kifejlesztését. 

Az AI Red Teaming itt nem a hagyományos értelemben vett „hackelés”, hanem a tudományos folyamat integritásának kritikus tesztelése, ahol a legnagyobb sebezhetőséget nem a kód, hanem a tudás alapját képező adat jelenti.

14.2.2 Klinikai döntéstámogató kihasználás

2025.10.06.

14.2.4 Beteg adatvédelem megsértése

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit