Amíg a megbízólevél a „mit csinálhatsz” kérdésre ad választ, addig a szolgáltatási szerződés a „hogyan, mennyiért, és mi történik, ha…” kérdések keretrendszere. Ez nem egy felesleges jogi kör, hanem a professzionális megbízás alapköve, ami mindkét felet védi. Ez a dokumentum határozza meg a játékszabályokat, mielőtt még a pálya közelébe érnél.
A szerződés anatómiája: Mit kell tartalmaznia?
Egy jó AI Red Teaming szolgáltatási szerződés olyan, mint egy jól megírt program: egyértelmű, logikus és minden eshetőségre felkészül. Bár minden megbízás egyedi, a legtöbb szerződés ugyanazokra az alapvető építőelemekre támaszkodik. Nézzük végig a legfontosabb pontokat, amelyek nem maradhatnak ki.
A szerződés alapvető pillérei
- Felek és Tárgy: Ki kivel szerződik és pontosan mire? Ez a szerződés „fejléce”. Legyen egyértelmű a megbízó és a megbízott (a te céged vagy te, mint egyéni vállalkozó) azonosítása.
- Hatókör (Scope): A legkritikusabb rész. Hol húzódnak a határok? Mit tesztelhetsz, és mit nem? Ennek hiánya a leggyakoribb vitaforrás.
- Időtartam és Ütemezés: Mikor kezdődik és meddig tart a munka? Vannak-e köztes határidők (mérföldkövek)?
- Díjazás: Fix díj? Óradíj? Sikerdíj? Itt kell rögzíteni a fizetési feltételeket, ütemezést és a számlázás módját.
- Titoktartás (NDA): Az AI modellek, adatok és a talált sebezhetőségek rendkívül érzékeny információk. A titoktartási kötelezettség mindkét fél számára elengedhetetlen.
- Felelősségvállalás: Mi történik, ha a tesztelés során véletlenül kár keletkezik? Ez a pont korlátozza a felelősségedet az előre nem látható vagy a hatókörön kívüli eseményekért. Gyakran hivatkoznak rá „get out of jail free” kártyaként, de valójában a professzionális kockázatkezelés része.
- Adatvédelem: Ha a tesztelés során személyes adatokhoz (PII) férsz hozzá, a GDPR és egyéb releváns szabályozások betartása kötelező. Itt kell rögzíteni, hogyan kezeled ezeket az adatokat.
- Jelentés és Eredmények: Milyen formában és tartalommal kell leadni a végső jelentést? Kié a szellemi tulajdona a jelentésnek és a tesztelés során kifejlesztett eszközöknek?
- Felmondás: Milyen feltételekkel bonthatja fel bármelyik fél a szerződést?
- Irányadó Jog: Vita esetén melyik ország jogrendje az irányadó?
A Hatókör: Ahol a legtöbbet hibázhatsz
A szerződés legfontosabb operatív része a hatókör (Scope of Work, SoW) pontos definiálása. Egy rosszul meghatározott hatókör félreértésekhez, a megbízás sikertelenségéhez, sőt, jogi következményekhez is vezethet. A legjobb módszer egy táblázat használata, ami kristálytisztán elkülöníti a megengedett és a tiltott tevékenységeket.
| Kategória | Hatókörben (In-Scope) | Hatókörön Kívül (Out-of-Scope) |
|---|---|---|
| Célrendszerek | A chatbot-staging.megbizofel.hu címen elérhető tesztkörnyezet. |
Az éles rendszer (chatbot.megbizofel.hu), belső céges hálózat, fizikai irodák. |
| Támadási Vektorok | Prompt Injection, Jailbreaking, Modell-manipuláció, Szerepjátékos támadások. | Denial of Service (DoS/DDoS), Social Engineering a megbízó alkalmazottai ellen, brute force támadások. |
| Időablak | Munkanapokon, 09:00-17:00 (CET) között. | Hétvégék, ünnepnapok, és a megadott időablakon kívüli időszakok. |
| Használt Adatok | A megbízó által biztosított anonimizált, szintetikus adathalmaz. | Éles felhasználói adatok, személyes azonosításra alkalmas információk (PII) gyűjtése vagy felhasználása. |
Egy ilyen táblázat nem hagy teret a félreértelmezésnek. Te pontosan tudod, meddig mehetsz el, a megbízó pedig tudja, mit várhat, és mi ellen kell védekeznie.
Sablonból indulj, de mindig szabd testre!
Bár ez a fejezet egy sablonról szól, a legfontosabb tanács az, hogy soha ne használj egy sablont változtatás nélkül. Minden megbízás más: más a technológia, más a kockázati szint, és mások az üzleti célok. A sablon egy mankó, egy ellenőrző lista, de a végső szerződésnek az adott projektre kell reflektálnia.
Gondolj a különbségre egy általános és egy specifikus megbízás között:
// ÁLTALÁNOS, GYENGE KLAUZULA
// Hibaforrás: Túl tág, nem egyértelmű.
const SZOLGALTATAS_TARGYA = "A Megbízott teszteli a Megbízó AI rendszerét.";
// PRECÍZ, JÓL DEFINIÁLT KLAUZULA
// Jellemző: Specifikus, mérhető, egyértelmű.
const SZOLGALTATAS_TARGYA_SPECIFIKUS = `
A Megbízott biztonsági értékelést végez a Megbízó "CustomerServiceBot v2.1"
nevű, a staging környezetben futó large language modelljén. A tesztelés
célja a prompt injection, adat kiszivárogtatás (data exfiltration) és
toxikus tartalom generálása elleni védelem hatékonyságának felmérése.
`;A második példa nem hagy kétséget afelől, hogy mi a feladat. Ez a fajta precizitás az, ami megkülönböztet egy profi Red Teamert egy amatőrtől. A szerződés az első és legfontosabb eszköze a sikeres és konfliktusmentes megbízásnak.