27.1.1. Responsible Disclosure Sablon

2025.10.06.
AI Biztonság Blog

A felelősségteljes közzététel (responsible disclosure) folyamata nem ér véget a sérülékenység azonosításával. A professzionális és strukturált kommunikáció legalább annyira kritikus, mint maga a technikai felfedezés. Egy jól megírt jelentés felgyorsítja a javítási folyamatot, megvédi a felhasználókat, és megalapozza a kutató és a fejlesztő közötti bizalmi viszonyt. Ez a sablon egy iparági standardokon alapuló, rugalmasan használható keretrendszert biztosít a felfedezéseid kommunikálásához.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A Felelősségteljes Közzétételi Jelentés Felépítése

Az alábbi struktúra egy teljes körű jelentés alapját képezi. Nem minden esetben van szükség minden egyes pontra, de kiindulási alapnak kiváló. A cél a tiszta, félreérthetetlen és azonnal felhasználható információátadás.

1. Fejléc és Metaadatok

Az alapvető adminisztratív információk, amelyek segítségével a fogadó fél azonnal kontextusba helyezheti a jelentést.

  • Jelentés Azonosító: [Egyedi azonosító, pl. AI-RT-2024-001]
  • Sérülékenység Típusa: [pl. Prompt Injection, Adatszivárgás, Modell-döntési manipuláció]
  • Érintett Rendszer/Modell: [Alkalmazás neve, Modell verziója, API végpont]
  • Felfedezés Dátuma: [ÉÉÉÉ-HH-NN]
  • Jelentés Dátuma: [ÉÉÉÉ-HH-NN]
  • Súlyosság (CVSS becslés): [pl. Magas, 8.8 - CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H]

2. Vezetői Összefoglaló (Executive Summary)

Egy-két bekezdésnyi, nem technikai összefoglaló a menedzsment számára. Mi a probléma, mi a kockázat, és miért fontos ezzel foglalkozni? Kerüld a technikai zsargont.

Példa: „A [Modell neve] modell egy súlyos sebezhetőséget tartalmaz, amely lehetővé teszi a támadók számára, hogy [a támadás célja, pl. érzékeny belső adatokhoz férjenek hozzá]. A hiba kihasználásához csupán egy speciálisan szerkesztett felhasználói inputra van szükség, ami jelentős üzleti és reputációs kockázatot jelent. Javasoljuk a hiba azonnali kivizsgálását és javítását.”

3. Technikai Részletek

Itt kerül bemutatásra a sérülékenység minden releváns technikai aspektusa. A cél, hogy a fejlesztőcsapat pontosan megértse és reprodukálni tudja a problémát.

  • Leírás: Részletes magyarázat a hiba természetéről. Hogyan működik, mi a gyökéroka (root cause)?
  • Reprodukálás Lépései (Steps to Reproduce): Pontos, lépésről-lépésre útmutató.
    1. Lépj a [URL vagy alkalmazás felület] oldalra.
    2. Add meg a következő promptot: [Pontos prompt vagy input]
    3. Figyeld meg a modell válaszát, amely tartalmazza a [várt nemkívánatos eredményt, pl. a rendszerkonfiguráció egy részletét].
  • Proof-of-Concept (PoC): Csatolt szkript, képernyőképek, API hívások (cURL), vagy bármilyen bizonyíték, ami alátámasztja a felfedezést.

4. Hatáselemzés (Impact Analysis)

Részletezd, hogy a sérülékenység kihasználása milyen konkrét következményekkel járhat. Ez segít a prioritások meghatározásában.

  • Közvetlen hatás: Mit érhet el a támadó? (pl. Adatszivárgás, szolgáltatásmegtagadás, rendszerfájlokhoz való hozzáférés, toxikus tartalom generálása.)
  • Üzleti hatás: Milyen következményekkel jár ez a cégre nézve? (pl. Pénzügyi veszteség, reputációs kár, jogi következmények, felhasználói bizalom elvesztése.)
  • Kihasználhatóság (Exploitability): Mennyire könnyű kihasználni a hibát? Szükséges hozzá speciális tudás vagy eszköz?

5. Javasolt Ellenintézkedések (Remediation)

Konkrét, megvalósítható javaslatok a probléma megoldására. Ha lehetséges, kínálj több alternatívát is (pl. gyors, ideiglenes megoldás vs. végleges, architekturális javítás).

  • Azonnali lépések: Pl. input szűrési szabályok szigorítása, a modell ideiglenes korlátozása.
  • Hosszú távú megoldás: Pl. a modell finomhangolása (fine-tuning), a rendszerprompt (system prompt) áttervezése, további védelmi rétegek bevezetése.

6. Kapcsolattartási Információk

Hogyan érhetnek el téged a további kérdésekkel? Ez a bizalomépítés kulcsa.

  • Név/Alias: [A neved vagy a kutatói álneved]
  • Email: [Biztonságos kapcsolattartási email cím]
  • PGP Kulcs (opcionális): A biztonságos kommunikáció érdekében.
  • Közzétételi szándék: [pl. "A szokásos 90 napos embargóidő után tervezem a technikai részletek publikálását."]

Minimális vs. Részletes Jelentés

Nem minden helyzet igényel teljes, többoldalas dokumentációt. Gyakran egy gyors, lényegre törő jelzés is elegendő a folyamat elindításához. Az alábbi táblázat segít eldönteni, mikor melyik megközelítést érdemes választani.

Komponens Minimális (Gyors) Jelentés Részletes (Formális) Jelentés
Sérülékenység leírása Rövid, 1-2 mondat Részletes, gyökérok elemzéssel
Reprodukálás Egyetlen prompt vagy PoC kód Lépésről-lépésre útmutató, környezeti leírással
Hatás A legfontosabb következmény kiemelése Teljes körű technikai és üzleti hatáselemzés
Vezetői összefoglaló Nem szükséges Kritikus fontosságú
Javasolt javítás Opcionális, ötletszintű Részletes, több opcióval
Mikor használd? Bug bounty programok, egyértelmű és könnyen reprodukálható hibák esetén. Komplex, architekturális hibák, belső red teaming, vagy ha a fogadó fél nem technikai.

26.5.5 SDK használati példák

2025.10.06.

27.1.2 Etikai irányelvek

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit