Péntek este van, hajnali kettő. Épp egy kritikus, távoli kódfuttatást lehetővé tévő sebezhetőséget találtál a megbízó generatív AI modelljének API-jában. Kit hívsz? Írsz egy e-mailt, és reménykedsz, hogy hétfőn olvassák? Vagy van egy vészhelyzeti protokoll? A válaszokat nem a szolgáltatási szerződés általános részében, hanem a Szolgáltatási Szint Megállapodásban (Service Level Agreement, SLA) kell keresned.
Az SLA nem csupán egy unalmas jogi függelék. Ez a Red Team megbízás „játékszabályzata”, ami a puszta feladatleíráson túl a kommunikáció, a reagálás és a jelentéstétel elvárásait rögzíti. Míg a szerződés a „mit” határozza meg, az SLA a „hogyan”, „mikor” és „mi történik, ha nem” kérdésekre ad választ. Ez biztosítja, hogy mindkét fél ugyanazt értse a szolgáltatás minősége alatt, és elkerülhetők legyenek a későbbi viták.
Az AI Red Teaming SLA kulcselemei
Egy általános IT szolgáltatás SLA-ja gyakran a rendelkezésre állásról (uptime) szól. Egy Red Team megbízásnál azonban a metrikák sokkal árnyaltabbak. Az alábbiakban azokat a pontokat vesszük sorra, amelyek egy AI Red Teaming SLA-ban elengedhetetlenek.
1. Kommunikációs csatornák és reakcióidők
Meg kell határozni a hivatalos kommunikációs csatornákat. Nem mindegy, hogy egy alacsony kockázatú információt e-mailben, vagy egy kritikus sebezhetőséget egy dedikált, titkosított csatornán kell jelezni.
- Hivatalos kapcsolattartók: Nevek, szerepkörök és elérhetőségek mindkét oldalon (technikai, menedzsment).
- Kommunikációs eszközök: Melyik platform használható? (pl. titkosított chat, JIRA ticket, dedikált e-mail cím).
- Reakcióidő (Response Time): Mennyi időn belül kell a megbízónak visszaigazolnia egy bejelentés fogadását? Ezt érdemes a sebezhetőség súlyosságához kötni (pl. kritikus: 1 óra, magas: 4 óra, közepes: 24 óra).
2. Incidenskezelés és eszkalációs eljárásrend
Ez a fejezet legkritikusabb része. Mi a teendő, ha „ég a ház”? Egy jól definiált eszkalációs mátrix aranyat ér, mert pontosan leírja, hogy egy adott súlyosságú incidens esetén kinek és milyen sorrendben kell jelezni a problémát.
A folyamat vizuálisan is jól ábrázolható, ami segít elkerülni a félreértéseket éles helyzetben.
Példa eszkalációs folyamatábra
3. Jelentési kötelezettségek
Az SLA-nak pontosan rögzítenie kell a különböző jelentések leadási határidejét és formátumát. Ez segít a megbízónak tervezni a belső erőforrásaival.
- Időközi jelentés: Hetente? Kéthetente? Milyen formában (e-mail, rövid összefoglaló)?
- Zárójelentés: A megbízás végétől számított hány munkanapon belül kell leadni?
- Prezentáció/Debriefing: A zárójelentés leadása után mennyi időn belül kell sort keríteni a személyes megbeszélésre?
4. Szolgáltatási szintek és szankciók (Service Credits)
Ez az a pont, ami „fogat ad” az SLA-nak. Ha a szolgáltató nem teljesíti a vállalt szinteket, annak következménye van, általában a megbízási díjból való levonás (service credit) formájában. Ez mindkét felet a precíz munkavégzésre ösztönzi.
| Metrika | Célérték (Target) | Mérés módja | Következmény (ha nem teljesül) |
|---|---|---|---|
| Kritikus incidens bejelentése | A felfedezéstől számított 30 percen belül | Vészhelyzeti kommunikációs csatorna logjai | A havi díj 5%-a eseményenként |
| Megbízói visszajelzés (kritikus) | A bejelentéstől számított 1 órán belüli visszaigazolás | Kommunikációs csatorna logjai | Figyelmeztetés; ismétlődés esetén szerződés felülvizsgálata |
| Heti státuszriport leadása | Minden péntek 16:00-ig | E-mail vagy projektmenedzsment eszköz időbélyegzője | A havi díj 1%-a naponta, max. 5% |
| Zárójelentés leadása | A tesztelési fázis lezárultát követő 5 munkanapon belül | Dokumentum átadásának időbélyegzője | A teljes megbízási díj 2%-a naponta, max. 10% |
5. A célrendszer rendelkezésre állása
Fontos megjegyezni, hogy az SLA nem egyoldalú. A megbízónak is vannak kötelezettségei. A legfontosabb, hogy biztosítsa a tesztelendő AI rendszer stabil működését és elérhetőségét a tesztelési időablak alatt. Ha a rendszer nem elérhető, az a Red Team munkáját akadályozza. Az SLA-ban rögzíteni kell, hogy a kiesésekkel (downtime) a megbízás határideje automatikusan meghosszabbodik.
Összegzés
Egy gondosan kidolgozott SLA a sikeres AI Red Teaming projekt alapja. Nem felesleges bürokrácia, hanem egy közösen elfogadott keretrendszer, amely tiszta elvárásokat támaszt, minimalizálja a konfliktusokat, és végső soron mindkét fél érdekeit védi. Egy jó SLA bizalmat épít, és lehetővé teszi, hogy a csapat a valódi feladatára koncentrálhasson: a rejtett sebezhetőségek felderítésére.