27.2.4. Alvállalkozói szerződések

2025.10.06.
AI Biztonság Blog

Egyetlen red team sem lehet minden terület szakértője. Előbb-utóbb eljön a pillanat, amikor egy projekthez olyan speciális tudásra van szükség – legyen az egy ritka hardvereszköz reverse engineeringje, egy egzotikus gépi tanulási architektúra ismerete vagy egy célzott social engineering kampány –, ami házon belül nem áll rendelkezésre. Ilyenkor kerülnek képbe az alvállalkozók. Azonban egy külsős bevonása a projektbe komoly jogi és biztonsági kockázatokkal jár, amelyeket egy gondosan kidolgozott alvállalkozói szerződéssel kell kezelni.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az alvállalkozói szerződés nem csupán a fővállalkozói szerződés egy leegyszerűsített másolata. Ez egy precíziós eszköz, amelynek célja, hogy a megbízó felé vállalt összes kötelezettséget, felelősséget és titoktartási elvárást „lecsorgassa” az alvállalkozóra, miközben pontosan definiálja a szűkített feladatkörét.

A felelősség láncreakciója

A legfontosabb alapelv, amit meg kell értened, a „pass-through” vagy átfolyó felelősség. A megbízó (az ügyfél) szemében te, mint fővállalkozó, vagy 100%-ban felelős mindenért. Nem számít, hogy a hibát vagy adatszivárgást az alvállalkozód követte el; a megbízó tőled fogja követelni a kártérítést. Neked kell biztosítanod, hogy a szerződésed az alvállalkozóval lehetőséget adjon a felelősség továbbhárítására.

Megbízó Fővállalkozó Alvállalkozó Szolgáltatási szerződés Alvállalkozói szerződés A Fővállalkozó felelőssége a Megbízó felé

A diagram tökéletesen szemlélteti: hiába van külön szerződésed az alvállalkozóval, a megbízó felé a teljes felelősségi lánc rajtad keresztül fut. A te szerződéses védőhálód az alvállalkozói megállapodás.

A „páncélozott” alvállalkozói szerződés elemei

Az alábbi pontok kritikusak egy AI red teaming projektre vonatkozó alvállalkozói szerződésben. Ezek nem helyettesítenek egy jogi szakvéleményt, de szilárd alapot adnak a tárgyalásokhoz.

Munkaterjedelem (Scope of Work – SOW)

Ez a legfontosabb rész. A kétértelműség itt később súlyos vitákhoz vezethet. Az SOW-nak lézerpontosnak kell lennie:

  • Konkrét feladatok: Mely modelleket, rendszereket, API-kat kell tesztelnie? Milyen technikákat alkalmazhat?
  • Kizárások (Out of Scope): Mit TILOS tesztelnie? Mely rendszerekhez, adatokhoz nem férhet hozzá? Ez legalább annyira fontos, mint a feladatok listája.
  • Teljesítési határidők: Mikorra kell az egyes részfeladatokat és a végső jelentést leadnia?
  • Átadandók (Deliverables): Milyen formátumú jelentést vársz? Kell-e proof-of-concept kódot vagy videót készítenie?
# Példa egy részletes SOW definícióra YAML formátumban
# Ez nem jogi szöveg, hanem a szükséges részletesség illusztrációja

feladat: "LLM Prompt Injection sebezhetőség vizsgálata"
alvallalkozo: "Specialist Security Kft."

celrendszerek:
 - nev: "Ügyfél Chatbot API v2.1"
 endpoint: "https://api.ugyfel.hu/chatbot/v2"
 authentikacio: "API kulcs (mellékelve a biztonságos csatornán)"

engedelyezett_technikak:
 - "Közvetlen prompt injection"
 - "Indirekt prompt injection (külső adatforráson keresztül)"
 - "Jailbreaking technikák (DAN, szerepjáték)"
 - "Adat-exfiltrációs kísérletek a rendszerpromptra"

kizarasok_out_of_scope:
 - "Denial of Service (DoS) támadások"
 - "Az alapul szolgáló infrastruktúra (pl. Kubernetes cluster) támadása"
 - "Bármilyen éles felhasználói adat módosítása vagy törlése"
 - "Social engineering az ügyfél alkalmazottai ellen"

atadando:
 - formatum: "Markdown (.md) és PDF"
 - hatarido: "2024-11-15 17:00 CET"
 - tartalmi_kovetelmenyek:
 - "Vezetői összefoglaló"
 - "Technikai részletek minden egyes talált sebezhetőségről"
 - "Reprodukálható PoC scriptek"
 - "Javasolt javítási intézkedések"

Titoktartás és Adatvédelem

Az alvállalkozó hozzáférhet a megbízó legérzékenyebb adataihoz. A szerződésnek tartalmaznia kell egy, a fővállalkozói szerződés titoktartási kötelezettségével legalább egyenértékű, de inkább szigorúbb NDA-t. Ki kell térnie az adatok kezelésére, tárolására, továbbítására és a projekt utáni biztonságos megsemmisítésére is, figyelembe véve az olyan szabályozásokat, mint a GDPR.

Felelősség és Kártalanítás (Liability and Indemnification)

Ez a jogi „tűzfalad”. A szerződésnek egyértelműen rögzítenie kell, hogy az alvállalkozó köteles kártalanítani téged (a fővállalkozót) minden olyan kárért, perért vagy bírságért, amely az ő tevékenységéből, mulasztásából vagy szerződésszegéséből ered. Érdemes megkövetelni egy megfelelő mértékű szakmai felelősségbiztosítás meglétét is.

Szellemi Tulajdon (Intellectual Property – IP)

Kié lesz a munka eredménye? A legtöbb esetben a „work for hire” elv érvényesül: minden, amit az alvállalkozó a projekt során létrehoz (jelentések, scriptek, felfedezések), automatikusan a megbízó tulajdonába kerül, rajtad keresztül. Ezt expliciten rögzíteni kell, hogy elkerüljük a későbbi vitákat arról, ki használhatja fel a talált sebezhetőségeket vagy a kifejlesztett eszközöket.

Fővállalkozói vs. Alvállalkozói Szerződés: Kulcskülönbségek

Bár sok az átfedés, a fókuszpontok eltérőek. Az alábbi táblázat segít megérteni a legfontosabb különbségeket.

Szempont Fővállalkozói Szerződés (Megbízóval) Alvállalkozói Szerződés (Fővállalkozóval)
Felek Megbízó és Fővállalkozó (Te) Fővállalkozó (Te) és Alvállalkozó
Munkaterjedelem (SOW) A teljes projekt átfogó leírása. A teljes SOW egy specifikus, jól körülhatárolt részhalmaza.
Felelősség Közvetlen és teljes felelősség a Megbízó felé mindenért. Közvetlen felelősség a Fővállalkozó felé a saját munkájáért. A Fővállalkozó ezt „hárítja tovább”.
Kommunikáció A Fővállalkozó az egyetlen kapcsolattartási pont (SPOC) a Megbízó felé. Az Alvállalkozó kizárólag a Fővállalkozónak jelent. A Megbízóval való közvetlen kapcsolat általában tilos.
Titoktartás A Fővállalkozó kötelezettséget vállal a Megbízó adatainak védelmére. Az Alvállalkozó kötelezettséget vállal a Fővállalkozó és a Megbízó adatainak védelmére („pass-through” NDA).
Fizetés A Megbízó fizet a Fővállalkozónak a teljes projektért. A Fővállalkozó fizet az Alvállalkozónak a leszállított részfeladatért. Gyakran „pay when paid” (fizetés, ha fizettek) klauzulával.

Gyakorlati buktatók

Végezetül néhány jó tanács a tapasztalatok alapján:

  • Soha ne kezdj munkafolyamatot aláírt szerződés nélkül! A szóbeli megállapodás vagy egy e-mailes egyeztetés nem ér semmit, ha vita van.
  • Ellenőrizd az alvállalkozót! Kérj referenciákat, nézd meg a múltbeli munkáit. Egy rosszul megválasztott partner a te hírnevedet is tönkreteheti.
  • Integráld, de szeparáld! Vond be az alvállalkozót a szükséges kommunikációs csatornákba, de tedd egyértelművé a szerep- és felelősségi köröket. Az ügyfél előtt mindig egységes csapatként jelenjetek meg, te vezetéseddel.
  • Ne a sablonokban bízz! Minden projekt más. Egy internetről letöltött sablon nem fogja figyelembe venni egy AI red teaming projekt speciális kockázatait. Mindig szabjátok testre a szerződést az adott feladatra, szükség esetén jogász bevonásával.

27.2.3. SLA megállapodások

2025.10.06.

27.2.5 Partnerségi megállapodások

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit