A rendszerek közötti kommunikáció és adatáramlás gerincét a közösen elfogadott szabványok és protokollok adják. Ezek ismerete nem csupán a rendszerek működésének megértéséhez, hanem a bennük rejlő, implementációs hibákból fakadó sebezhetőségek felderítéséhez is elengedhetetlen. Ez a jegyzék az AI Red Teaming során leggyakrabban előfordulókat gyűjti össze.
Hálózati és Kommunikációs Protokollok
Ezek a protokollok határozzák meg, hogyan utaznak az adatok a hálózatokon. Az AI-rendszerek API-hívásai és adatbázis-kapcsolatai mind ezekre épülnek.
| Rövidítés | Teljes Név / Jelentés | Kontextus és Jelentőség |
|---|---|---|
HTTP/HTTPS |
HyperText Transfer Protocol / Secure | Az internetes kommunikáció alapja. A HTTPS a titkosított, biztonságos változat. Red Teaming során a nem megfelelő titkosítás, a gyenge cipher suite-ok és a tanúsítványkezelési hibák gyakori célpontok. |
TCP/IP |
Transmission Control Protocol / Internet Protocol | Az internet protokollkészletének alapja, amely a hálózati kommunikáció megbízhatóságát és címzését biztosítja. Mélyebb hálózati támadások (pl. DoS, session hijacking) megértéséhez szükséges. |
TLS/SSL |
Transport Layer Security / Secure Sockets Layer | Kriptográfiai protokollok, amelyek a hálózati kommunikáció biztonságát garantálják. Az SSL elavult, a TLS a modern szabvány. A TLS konfigurációs hibái (pl. régi verziók engedélyezése) kritikus sebezhetőséget jelenthetnek. |
SSH |
Secure Shell | Biztonságos parancssori hozzáférést és adatátvitelt lehetővé tévő protokoll. A gyenge kulcsok, a brute-force támadások és a protokoll-verziók sebezhetőségei relevánsak. |
Adatszerializációs és API Szabványok
Az adatok strukturált formába öntése és a rendszerek közötti programozott interakciók szabályai. Az AI modellek bemenetei és kimenetei szinte mindig ezen formátumok valamelyikét használják.
| Rövidítés | Teljes Név / Jelentés | Kontextus és Jelentőség |
|---|---|---|
JSON |
JavaScript Object Notation | Könnyen olvasható, szöveg alapú adatformátum, mely az API-kommunikáció de facto szabványává vált. A nem megfelelően validált JSON inputok injekciós támadásokhoz (pl. NoSQL injection) vezethetnek. |
XML |
eXtensible Markup Language | Hierarchikus adatok leírására szolgáló, korábban elterjedt formátum. Régebbi rendszerekben még gyakori. Az XXE (XML External Entity) támadások klasszikus vektorai a rosszul konfigurált XML-feldolgozóknak. |
YAML |
YAML Ain’t Markup Language | Ember által könnyen olvasható adatszerializációs formátum, gyakori konfigurációs fájlokban (pl. Docker, Kubernetes). A deszerializációs sebezhetőségek révén távoli kódfuttatást tehet lehetővé. |
REST |
Representational State Transfer | API tervezési architektúra, amely a HTTP protokollra épül. A legtöbb modern webszolgáltatás ezt használja. Az üzleti logika hibái, azonosítási problémák és a nem biztonságos végpontok a fő támadási felületek. |
GraphQL |
Graph Query Language | API lekérdezőnyelv, amely lehetővé teszi a kliens számára, hogy pontosan meghatározza a szükséges adatokat. A túlzottan komplex vagy mély lekérdezések erőforrás-kimerüléses (DoS) támadásokhoz vezethetnek. |
gRPC |
gRPC Remote Procedure Call | Nagy teljesítményű, nyílt forráskódú RPC (távoli eljáráshívás) keretrendszer. Gyakori mikroszolgáltatási architektúrákban. A nem titkosított csatornák és a hiányos autentikáció jelentik a fő kockázatot. |
Azonosítási és Biztonsági Keretrendszerek
Ezek a szabványok és protokollok a felhasználók és rendszerek azonosítását, valamint a hozzáférés-kezelést szabályozzák, ami az AI-rendszerek védelmének alapköve.
| Rövidítés | Teljes Név / Jelentés | Kontextus és Jelentőség |
|---|---|---|
OAuth |
Open Authorization | Delegált hozzáférést lehetővé tevő nyílt szabvány. Lehetővé teszi, hogy egy alkalmazás egy másik nevében férjen hozzá adatokhoz a felhasználó jelszavának kiadása nélkül. A hibás implementációk (pl. redirect URI sebezhetőségek) account takeoverhez vezethetnek. |
JWT |
JSON Web Token | Kompakt, URL-biztos módszer az adatok két fél közötti biztonságos átvitelére. Gyakran használják API-k autentikációjához. A tokenek gyengeségei (pl. gyenge aláíró kulcs, lejárat hiánya, alg:none) kritikus támadási vektorok. |
SAML |
Security Assertion Markup Language | XML-alapú szabvány azonosítási és jogosultsági adatok cseréjére, főként vállalati Single Sign-On (SSO) rendszerekben. Az XML-specifikus támadások (pl. signature wrapping) relevánsak lehetnek. |
NIST |
National Institute of Standards and Technology | Amerikai szabványügyi intézet, amely számos kiberbiztonsági keretrendszert publikál (pl. NIST Cybersecurity Framework, AI Risk Management Framework). Ezek betartásának ellenőrzése gyakori red team feladat. |