15.1.3 Folyamatos validáció

2025.10.06.
AI Biztonság Blog

A biztonsági auditok egykor olyanok voltak, mint egy fénykép: egy adott pillanatban rögzítették a rendszer állapotát. Ez a „point-in-time” megközelítés a digitális jégkorszakból származó ereklye, amely az AI-rendszerek dinamikus és folyamatosan változó természetével szemben teljesen hatástalan! 

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Egy ma biztonságosnak ítélt modell holnapra sebezhetővé válhat egy új támadási technika, egy adateltolódás (data drift) vagy akár a saját belső tanulási folyamata miatt. A védelem nem lehet egy egyszeri esemény; élő, lélegző folyamatnak kell lennie, amely a rendszerrel együtt fejlődik.

Itt lép a képbe a folyamatos validáció: a proaktív védelem egyik legfontosabb pillére. Ez a szemlélet a biztonsági tesztelést a fejlesztési ciklus végén elvégzett feladatból a rendszer életciklusának szerves, automatizált és állandó részévé emeli.

A validációs ciklus: Több mint ismétlés

A folyamatos validáció nem egyszerűen a tesztek sűrű futtatását jelenti. Ez egy stratégiai visszacsatolási kör (feedback loop), amely folyamatosan táplálja és javítja a rendszer védekezőképességét. Ahelyett, hogy megvárnánk egy incidens bekövetkezését, aktívan keressük a gyengeségeket, még mielőtt azokat egy támadó kihasználhatná. Az előző fejezetben tárgyalt fenyegetésmodellezés biztosítja a „mit teszteljünk” kérdésre a választ; a folyamatos validáció pedig a „hogyan teszteljük folyamatosan” kérdésre adja meg a keretrendszert.

Ez a ciklus négy fő szakaszból áll, amelyek egymást erősítve működnek:

1. Monitorozás 2. Tesztelés 3. Elemzés 4. Adaptáció Trigger (pl. új kód, adat) Eredmények Javaslatok Védelmi frissítések
  1. Monitorozás és Triggerek: A ciklus nem öncélúan pörög, hanem eseményekre reagál. Egy trigger lehet egy új kód commit a verziókezelőbe, egy új modellváltozat betanítása, egy detektált eltolódás a bemeneti adatok eloszlásában, vagy akár egy frissen publikált, releváns sebezhetőség (CVE) híre. A lényeg az automatizált figyelés.
  2. Automatizált Tesztelés: A trigger hatására elindul egy előre definiált AI Red Team tesztcsomag. Ez tartalmazhat egységteszteket (pl. egy prompt injekciót detektáló szűrő hatékonysága), integrációs teszteket (pl. hogyan viselkedik a modell egy teljes, rosszindulatú felhasználói párbeszéd során) és rendszerszintű támadási szimulációkat.
  3. Elemzés és Jelentés: A tesztek eredményeit egy központi rendszer gyűjti és elemzi. A cél nem csak a „sikeres/sikertelen” címkék kiosztása. Trendeket keresünk: romlik-e a modell ellenállóképessége az idővel? Mely támadástípusok válnak egyre hatékonyabbá? Az eredményeket ember által olvasható és géppel feldolgozható formában kell prezentálni.
  4. Adaptáció és Visszacsatolás: Ez a legkritikusabb lépés. A feltárt gyengeségek alapján a védelemnek alkalmazkodnia kell. Ez jelenthet egy új input szűrő bevezetését, a modell finomhangolását (fine-tuning) adverzárius példákkal, a rendszer promptjának megerősítését, vagy akár a teljes architektúra felülvizsgálatát. A javítások után a ciklus újraindul, validálva a bevezetett változtatások hatékonyságát.

Gyakorlati megvalósítás: A CI/CD/CT Pipeline

A folyamatos validáció legtermészetesebb helye a modern szoftverfejlesztés gerincét adó CI/CD (Continuous Integration/Continuous Deployment) pipeline. Az AI-modellek esetében ezt gyakran kiegészítjük a CT (Continuous Training) elemmel, így a teljes folyamatot CI/CD/CT-nek nevezzük.

Az AI Red Team tesztek itt különálló, de szervesen integrált lépésként jelennek meg, jellemzően a hagyományos unit és integration tesztek után, de még a production-be való telepítés (deployment) előtt!

# Pszeudokód egy CI/CD/CT pipeline YAML konfigurációjához
stages:
 - build
 - test
 - security_validation # Itt jön az AI Red Team rész
 - deploy

security_validation_job:
 stage: security_validation
 script:
 - echo "AI Red Team validációs fázis indítása..."
 
 # 1. Prompt Injekciós tesztek futtatása
 # Lefuttat egy előre definiált tesztkészletet, pl. a 'prompt-injection-tests.py' scriptet
 - python tests/run_adversarial_tests.py --suite prompt_injection --model_endpoint $MODEL_API_URL
 
 # 2. Adatszivárgás ellenőrzése
 # Olyan promptokat küld, amik a modell betanítási adatainak kiszivárogtatására irányulnak
 - python tests/run_adversarial_tests.py --suite data_leakage --model_endpoint $MODEL_API_URL
 
 # 3. Káros tartalmak generálásának tesztelése
 # Megpróbálja rávenni a modellt, hogy megsértse a tartalmi irányelveket
 - python tests/run_adversarial_tests.py --suite jailbreak --model_endpoint $MODEL_API_URL
 
 # 4. Eredmények összegyűjtése és jelentése
 # Ha bármelyik tesztcsomag hibaküszöb felett teljesít, a pipeline megszakad
 - python tools/collect_results.py --output report.json
 - python tools/check_thresholds.py --report report.json
 rules:
 # Ez a job csak akkor fut le, ha a 'main' vagy 'staging' ágon történik változás
 - if: '$CI_COMMIT_BRANCH == "main" || $CI_COMMIT_BRANCH == "staging"'

Ez a pipeline-részlet biztosítja, hogy minden kritikus kódbázisba kerülő változás automatikusan átesik egy alapvető biztonsági ellenőrzésen. A sikertelen validáció megakadályozhatja a sebezhető kód vagy modell éles környezetbe kerülését, így a problémát már a fejlesztési fázisban orvosolni lehet.

Különbségek a hagyományos biztonsági teszteléstől

Fontos megérteni, hogy az AI-rendszerek folyamatos validációja miben tér el egy hagyományos webalkalmazás sebezhetőségvizsgálatától (pl. SAST/DAST)! 

A fókusz eltolódik a kódban lévő konkrét hibákról (pl. SQL injection) a modell viselkedésében rejlő, gyakran előre nem látható (emergens) sebezhetőségekre.

Szempont Hagyományos AppSec tesztelés (pl. DAST) AI Folyamatos Validáció
Célpont A kód, konfigurációk, API végpontok. A modell viselkedése, logikája, adatokra adott válaszai.
Hiba típusa Ismert sebezhetőségi minták (pl. OWASP Top 10). Determinisztikus. Nem determinisztikus, kontextusfüggő, emergens viselkedés.
Kiváltó ok Kódhiba, rossz konfiguráció. Adatminőség, betanítási folyamat, architektúra, prompt.
Tesztelési módszer Előre definiált payload-ok küldése, forgalom elemzése. Adverzárius promptok generálása, párbeszéd-szimuláció, logikai tesztek.
Sikeresség mérése Bináris (sebezhető / nem sebezhető). Gyakran valószínűségi, statisztikai (pl. 85%-os ellenállóképesség).

Az OWASP Top 10 (2021-es lista) – egyszerűen elmagyarázva

Itt van a 10 leggyakoribb hiba, hétköznapi hasonlatokkal, hogy a már melített OWASP-ot is megértsd.

Open Worldwide Application Security Project, vagyis Nyílt Forráskódú Nemzetközi Alkalmazásbiztonsági Projekt .

1. Hibás hozzáférés-szabályozás (Broken Access Control)

Ez a lista élén áll, mert a leggyakoribb hiba.

  • Hasonlat: Képzelj el egy szállodát, ahol a szobakulcsod nemcsak a saját, hanem a többi vendég szobáját is nyitja. Vagy akár a menedzser irodájába is bejuthatsz vele.

  • A weben ez azt jelenti, hogy egy sima felhasználó hozzáférhet adminisztrátori funkciókhoz vagy más felhasználók adataihoz, mert a rendszer nem ellenőrzi elég szigorúan a jogosultságát.

2. Kriptográfiai hibák (Cryptographic Failures)

Ez az érzékeny adatok (pl. jelszavak, bankkártyaadatok) nem megfelelő védelmét jelenti.

  • Hasonlat: Fontos iratokat küldesz postán, de nem lezárt borítékban, hanem csak egy nyitott képeslapon. Bárki elolvashatja, aki a kezébe veszi.

  • A weben ez azt jelenti, hogy a weboldal titkosítás nélkül (vagy nagyon gyenge titkosítással) tárolja vagy továbbítja az adataidat, így a támadók könnyen megszerezhetik azokat.

3. Befecskendezés (Injection)

Ilyenkor a támadó rosszindulatú kódot „fecskendez” be a rendszerbe, ami parancsként fut le.

  • Hasonlat: Bemész egy bankba, és a „Kérem az egyenlegemet” űrlapra azt írod: „Kérem az egyenlegemet, és utaljon át nekem egymillió forintot a széfből.” Ha a banki alkalmazott gondolkodás nélkül végrehajtja az egész mondatot, akkor baj van.

  • A weben ez azt jelenti, hogy egy támadó például a bejelentkezési mezőbe olyan parancsot ír, ami az adatbázisból minden felhasználó jelszavát kilistázza.

4. Nem biztonságos tervezés (Insecure Design)

Ez nem egy konkrét programozási hiba, hanem egy alapvető tervezési hiányosság.

  • Hasonlat: Olyan házat építesz, aminek az ajtajára nem tervezel zárat. Utólag persze felszerelhetsz egyet, de a legjobb az lett volna, ha már az elején gondolsz a biztonságra.

  • A weben ez azt jelenti, hogy a fejlesztők nem gondolták át a lehetséges támadási módokat már a tervezés fázisában, így a rendszer alapjaiban hordoz kockázatokat.

5. Biztonsági félrekonfigurálás (Security Misconfiguration)

Gyakran az alapbeállítások maradnak érvényben, amik nem elég biztonságosak.

  • Hasonlat: Veszel egy szuperbiztonságos széfet, de a gyári „0000” kódot nem állítod át. Hiába jó a széf, ha a kód ennyire egyszerű.

  • A weben ez azt jelenti, hogy a szerveren, az adatbázison vagy a keretrendszeren olyan alapbeállítások maradnak, amik feleslegesen tárják ki a kapukat a támadók előtt (pl. feleslegesen futó szolgáltatások, alapértelmezett jelszavak).

6. Sebezhető és elavult komponensek használata (Vulnerable and Outdated Components)

Olyan szoftverkönyvtárak vagy keretrendszerek használata, amikről már kiderült, hogy biztonsági rést tartalmaznak.

  • Hasonlat: Olyan autót használsz, amiről a gyártó már kiadott egy közleményt, hogy hibás a fékrendszere, és visszahívja a modelleket, de te nem viszed el a szervizbe.

  • A weben ez azt jelenti, hogy a weboldal olyan külső szoftvereket használ (pl. egy képgaléria modult), amiket évek óta nem frissítettek, és ismert sebezhetőségeket tartalmaznak.

7. Azonosítási és hitelesítési hibák (Identification and Authentication Failures)

Problémák a felhasználók bejelentkeztetésével és a munkamenetek kezelésével.

  • Hasonlat: Az irodaház portása mindenkit beenged, aki azt mondja, hogy „én itt dolgozom”, anélkül, hogy igazolványt kérne. Vagy ha egyszer bejutottál, az ajtók örökre nyitva maradnak, és soha nem zárnak be mögötted.

  • A weben ez azt jelenti, hogy a rendszer engedi a gyenge jelszavakat, nem zárja ki a felhasználót többszöri rossz próbálkozás után, vagy a bejelentkezési adatok könnyen ellophatók.

8. Szoftver- és adatintegritási hibák (Software and Data Integrity Failures)

A rendszer nem ellenőrzi, hogy a szoftverfrissítések vagy a felhasznált adatok megbízható forrásból származnak-e.

  • Hasonlat: Letöltesz egy szoftverfrissítést egy ismeretlen weboldalról ahelyett, hogy a hivatalos gyártó oldalát használnád. Nem lehetsz benne biztos, hogy nem rejtettek-e el benne egy vírust.

  • A weben ez azt jelenti, hogy a rendszer automatikusan telepít olyan frissítéseket, amiknek az eredetiségét nem ellenőrzi, így egy támadó rosszindulatú kódot juttathat a rendszerbe.

9. Biztonsági naplózás és monitorozás hiányosságai (Security Logging and Monitoring Failures)

A rendszer nem naplózza a gyanús eseményeket, vagy naplózza, de senki sem figyeli őket.

  • Hasonlat: Van biztonsági kamera a boltodban, de nem rögzít semmit, vagy rögzít, de a felvételeket soha senki nem nézi meg. Így ha betörnek, észre sem veszed, és nem is tudod visszakeresni, mi történt.

  • A weben ez azt jelenti, hogy egy támadás észrevétlen maradhat, mert a rendszer nem jelzi a gyanús tevékenységeket (pl. tömeges jelszópróbálgatás, szokatlan adatletöltés).

10. Szerveroldali kéréshamisítás (Server-Side Request Forgery – SSRF)

A támadó ráveszi a szervert, hogy az ő nevében indítson kéréseket más, akár belső hálózaton lévő rendszerek felé.

  • Hasonlat: Megkérsz egy recepcióst, hogy hívjon fel neked egy számot. De ahelyett, hogy egy külső számot adnál meg, a cég belső, titkos mellékét adod meg. A recepciós (a szerver) megbízik benned, és felhívja a belső vonalat, amihez neked közvetlenül nem lenne hozzáférésed.

  • A weben ez azt jelenti, hogy a támadó a sebezhető webszervert használja ugródeszkának, hogy elérje és megtámadja a cég belső hálózatán lévő, amúgy védett rendszereket.

Visszatérve az AI sebezhetőségekhez

A folyamatos validáció tehát nem helyettesíti, hanem kiegészíti a hagyományos biztonsági gyakorlatokat. Míg a klasszikus eszközök az infrastruktúrát és a támogató kódot védik, addig az AI-specifikus validáció magát a „gondolkodó” komponenst, a modellt teszi próbára.

Az automatizált rendszerek felbecsülhetetlen értékűek a már ismert támadási vektorok folyamatos ellenőrzésére, azonban nem képesek kreativitásra vagy olyan új támadások felfedezésére, amelyek még nem szerepelnek a tesztkészletben. 

Ez az a pont, ahol az automatizáció és az emberi szakértelem találkozik, és átvezet minket a következő szintre: a Lila Csapat (Purple Teaming) világába, ahol a támadó és a védő oldal szorosan együttműködve finomítja a védelmet.

15.1.2. Fenyegetés modellezés integráció

2025.10.06.

15.1.4. Lila csapat (Purple Teaming)

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit