Amikor találsz egy sebezhetőséget, az első ösztönös kérdés a „mennyire súlyos?”. Erre a kérdésre ad szabványosított, iparági szinten elfogadott választ a Common Vulnerability Scoring System (CVSS). Ez nem csupán egy szám, hanem egy közös nyelv, amellyel objektíven tudjuk kommunikálni egy hiba kockázatát a fejlesztők, a menedzsment és más biztonsági szakemberek felé. A CVSS segít abban, hogy a súlyozási mátrixodat (lásd előző fejezet) adatokkal támaszd alá.
Gondolj rá úgy, mint egy receptre: adott összetevőkből (metrikákból) állítasz elő egy végső pontszámot, amely a sebezhetőség súlyosságát tükrözi. A folyamat három fő lépésből áll.
A CVSS pontszám felépítése: A három metrikacsoport
A CVSS pontszámot három, egymásra épülő metrikacsoport határozza meg. A folyamat mindig az Alap (Base) pontszámmal kezdődik, amit az Időbeli (Temporal) és a Környezeti (Environmental) faktorok finomíthatnak.
1. Alap metrikák (Base Metrics) – A sebezhetőség DNS-e
Ez a legfontosabb rész. Az alap pontszám a sebezhetőség belső, megváltoztathatatlan tulajdonságait méri. Független attól, hogy létezik-e rá exploit, vagy hogy a te rendszereden milyen javítások vannak telepítve. Két fő részből áll: a kihasználhatósági (Exploitability) és a hatás (Impact) metrikákból.
| Metrika | Lehetséges értékek | Magyarázat (AI Red Teaming kontextusban) |
|---|---|---|
| Kihasználhatósági metrikák | ||
| Támadási Vektor (AV) | N / A / L / P | Honnan indítható a támadás? Hálózatról (Network), szomszédos hálózatról (Adjacent), helyileg (Local), vagy fizikai hozzáféréssel (Physical)? Egy prompt injection egy webes felületen keresztül általában AV:N. |
| Támadási Komplexitás (AC) | L / H | Mennyire bonyolult a támadás? Alacsony (Low) komplexitású, ha triviális, vagy magas (High), ha speciális feltételeknek kell teljesülniük (pl. race condition). |
| Szükséges Jogosultságok (PR) | N / L / H | Kell-e a támadónak jogosultság? Semmilyen (None), alacsony (Low, pl. sima felhasználó), vagy magas (High, pl. admin). |
| Felhasználói Interakció (UI) | N / R | Szükséges-e a felhasználó közreműködése? Nem (None), vagy szükséges (Required), pl. rá kell venni, hogy kattintson egy linkre. |
| Hatáskör (S) | U / C | A támadás hatása átterjed-e más komponensre? Változatlan (Unchanged) marad a hatáskör, vagy megváltozik (Changed)? Pl. egy LLM sebezhetősége lehetővé teszi a mögöttes szerver parancssorának elérését. Ez egyértelműen S:C. |
| Hatás metrikák | ||
| Bizalmasság (C) | H / L / N | A támadás milyen mértékben sérti az adatok bizalmasságát? Magas (High), alacsony (Low), vagy semennyire (None). Pl. egy jailbreak, ami kiszivárogtatja a training set egy részét, C:H lehet. |
| Sértetlenség (I) | H / L / N | Milyen mértékben sérül az adatok integritása? Egy AI modell esetében ez jelentheti a kimenet manipulálását, pl. elfogult vagy káros válaszok generálását (I:H). |
| Rendelkezésre Állás (A) | H / L / N | Milyen mértékben sérül a rendszer elérhetősége? Egy erőforrás-igényes prompt, ami lefagyasztja a modellt, DoS (Denial of Service) támadásnak minősül (A:H). |
Ezekből a metrikákból áll össze a „vektor sztring”, ami egy kompakt, szöveges leírása a sebezhetőségnek. Ezt bármelyik online CVSS kalkulátorba beillesztve megkapod a pontos pontszámot. Például egy kritikus, távolról, jogosultság nélkül kihasználható sebezhetőség, ami teljes kontrollt ad a rendszer felett:
2. Időbeli metrikák (Temporal Metrics) – A helyzet változása
Az időbeli metrikák azt mérik, hogy a sebezhetőség súlyossága hogyan változik az idő múlásával. Ezek a faktorok csökkenthetik vagy növelhetik az alap pontszámot.
- Exploit Code Maturity (E): Létezik-e már publikus exploit? (Proof-of-Concept, funkcionális, vagy nincs). Egy működő exploit a vadonban jelentősen növeli a kockázatot.
- Remediation Level (RL): Elérhető-e javítás? (Hivatalos javítás, ideiglenes megoldás, vagy nincs).
- Report Confidence (RC): Mennyire megbízható a sebezhetőségről szóló jelentés? (Megerősített, valószínű, ismeretlen).
Red Teamerként az alap pontszámra koncentrálsz, de ha tudsz egy publikus exploitról, azt mindenképp jelezned kell, mert az azonnali cselekvésre ösztönzi a védőket.
3. Környezeti metrikák (Environmental Metrics) – A te rendszered kontextusa
Ez a lépés teszi a CVSS-t igazán hasznossá egy adott szervezet számára. Itt a védő csapat (vagy te, a megbízásukból) finomhangolhatja a pontszámot a saját környezetükre szabva. Módosíthatják az alap metrikákat (pl. ha egy belső tűzfal miatt egy hálózati támadás gyakorlatilag lehetetlen), vagy megadhatják, hogy egy adott rendszeren mennyire kritikus a bizalmasság, sértetlenség vagy rendelkezésre állás (CIA Requirements).
Egy Red Team jelentésben ritkán számolsz környezeti pontszámot, de a javaslataidban utalhatsz rá, hogy a cégnek ezt a lépést el kell végeznie a pontosabb kockázatértékeléshez.
CVSS alkalmazása AI-specifikus sebezhetőségekre
A CVSS egy általános keretrendszer, így alkalmazása az AI modellekre némi kreativitást és kontextuális értelmezést igényel. A hagyományos szoftverhibákkal szemben itt gyakran a modell viselkedésének manipulálása a cél.
A CIA-triád újraértelmezése
Confidentiality (C): Egy LLM esetében ez nem csak a felhasználói adatokra vonatkozik, hanem a tréning adatokra, a modell súlyaira vagy a rendszer-promptra is. A „leaky prompt”, ami felfedi a rejtett utasításokat, bizalmassági sértés.
Integrity (I): A sértetlenség itt a modell kimenetének megbízhatóságát jelenti. Egy sikeres prompt injection, ami a modellt ráveszi káros kód generálására vagy dezinformáció terjesztésére, súlyos integritássértés.
Availability (A): A rendelkezésre állás sérülhet olyan komplex, rekurzív promptokkal, amelyek túlterhelik a modellt, és szolgáltatáskiesést okoznak (pl. „számítási DoS”).
Támadási Vektor (AV) és Komplexitás (AC)
A legtöbb LLM támadás (pl. prompt injection, jailbreaking) egy API-n vagy webes felületen keresztül történik, így az Attack Vector szinte mindig Network (N). Az Attack Complexity viszont változó: egy egyszerű „figyelmen kívül hagyni az előző utasításokat” parancs Low (L), míg egy több lépésből álló, kontextus-csempésző (context smuggling) támadás lehet High (H).
Hatáskör (Scope, S)
Ez a legkritikusabb kérdés az AI modellek esetében. Ha a modell manipulációja csak a modell kimenetét érinti, a Scope valószínűleg Unchanged (U). Azonban ha a modellnek hozzáférése van külső eszközökhöz, API-khoz (pl. RAG rendszerek, pluginok), és egy támadással ezeket lehet manipulálni vagy a mögöttes rendszert elérni, akkor a Scope egyértelműen Changed (C). Ez drasztikusan megemeli a sebezhetőség súlyosságát.
A CVSS tehát egy erőteljes, de rugalmas eszköz. Nem egy kőbe vésett törvény, hanem egy keretrendszer a párbeszédhez. A pontszám segít objektív alapot teremteni a sebezhetőségek rangsorolásához, ami a következő fejezet, a prioritizálási keretrendszerek alapköve lesz.