28.1.3. Bejelentési folyamat

2025.10.06.
AI Biztonság Blog

Képzeld el, hogy találtál egy kritikus sebezhetőséget egy népszerű nyelvi modellben. Képes vagy prompt injectionnel érzékeny adatokat kiszivárogtatni a rendszerből. Izgatott vagy, de egyben felelősséget is érzel. Mi a következő lépés? Hogyan juttatod el ezt az információt a fejlesztőkhöz anélkül, hogy pánikot keltenél vagy rossz kezekbe adnád az információt?

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A válasz egy jól definiált bejelentési folyamaton múlik. Ez a folyamat a híd a felfedező (a red teamer, a kutató) és a szervezet (a fejlesztő, az üzemeltető) között. Ha ez a híd gyenge, instabil vagy egyszerűen nem létezik, a legértékesebb sebezhetőségi információk is elveszhetnek, vagy ami még rosszabb, a nyilvánosság elé kerülhetnek idő előtt. Egy hatékony bejelentési folyamat nem csupán egy e-mail cím; ez egy bizalmi szerződés és egy hatékonysági mechanizmus egyben.

A bejelentési folyamat anatómiája

Egy robusztus bejelentési folyamat több kulcsfontosságú elemből áll, amelyek mind azt a célt szolgálják, hogy a bejelentés a lehető leggyorsabban és legpontosabban jusson el a megfelelő helyre, miközben a bejelentő is biztonságban érzi magát.

Elérhetőség: A digitális segélyhívó

Az első és legfontosabb, hogy a bejelentési csatorna könnyen megtalálható legyen. Senki sem fog órákat tölteni azzal, hogy egy eldugott aloldalon keressen egy e-mail címet. A bevált gyakorlatok a következők:

  • security.txt fájl: Ez egy szabványosított szöveges fájl (RFC 9116), amit a weboldal gyökérkönyvtárában vagy a .well-known mappában helyeznek el. Tartalmazza a biztonsági kapcsolattartási pontokat, a bejelentési irányelvekre mutató linket és egyéb releváns információkat.
  • „Biztonság” vagy „Security” link a láblécben: A weboldal minden oldaláról elérhető, egyértelmű link, amely egy dedikált oldalra vezet, ahol minden információ megtalálható a sebezhetőségek jelentéséről.
# A security.txt egy egyszerű, de rendkívül hatékony eszköz.
# A kutatók ezt keresik először.

Contact: mailto:security@pelda-ceg.hu
Contact: https://pelda-ceg.hu/security
Expires: 2025-12-31T23:00:00.000Z
Preferred-Languages: en, hu
Policy: https://pelda-ceg.hu/responsible-disclosure-policy
Hiring: https://pelda-ceg.hu/karrier/security-engineer

Tartalmi elvárások: A jó jelentés ismérvei

A bejelentési oldalon világosan kommunikálni kell, hogy milyen információkat vársz el egy bejelentésben. Ez drasztikusan csökkenti a triázsra fordított időt és a felesleges köröket a bejelentővel. Egy jó bejelentés általában tartalmazza:

  • Cím: Tömör, informatív összefoglaló (pl. „Prompt Injection a Chatbot API-ban személyes adatok kinyerésére”).
  • Sebezhetőség leírása: Részletes magyarázat a sérülékenység természetéről.
  • Érintett komponens(ek): Melyik modell, API végpont, vagy felületi elem érintett.
  • Reprodukálás lépései (Proof of Concept – PoC): Pontos, lépésről-lépésre útmutató, amellyel a belső csapat is reprodukálni tudja a hibát. AI modellek esetén ez gyakran egy specifikus prompt vagy prompt-sorozat.
  • Hatás (Impact): A sebezhetőség kihasználásának lehetséges következményei.
  • Javasolt javítás (opcionális): Ha a bejelentőnek van ötlete a megoldásra.

Platformválasztás: Email, űrlap vagy dedikált rendszer?

A bejelentések fogadására több lehetőség is van, mindegyiknek megvan a maga előnye és hátránya.

Platform Előnyök Hátrányok
E-mail (pl. security@) Egyszerű beállítani, alacsony belépési küszöb. Nehézkes nyomon követés, nincs automatizálás, könnyen spambe kerülhet.
Saját webes űrlap Strukturált adatbevitel, azonnali visszajelzés a bejelentőnek. Fejlesztést és karbantartást igényel, integrálni kell a belső rendszerekkel (pl. Jira).
Bug Bounty Platform (pl. HackerOne) Teljeskörű menedzsment (triázs, kommunikáció, kifizetés), nagy kutatói közösség. Költséges (platformdíj + jutalmak), a folyamatok egy része a platformon keresztül zajlik.

Kommunikációs protokoll: A bizalom építése

A bejelentés beérkezése után kezdődik a legkritikusabb fázis. A kommunikáció minősége határozza meg, hogy a kutató partnernek vagy ellenfélnek fogja-e érezni magát.

  1. Automatikus visszaigazolás: A bejelentés beérkezésekor egy automatikus üzenet tudatja a bejelentővel, hogy megkaptad a jelentését, és tájékoztat a várható első emberi reakció idejéről (pl. „2 munkanapon belül”).
  2. Első emberi kapcsolatfelvétel: Egy biztonsági elemző átnézi a jelentést, és értesíti a bejelentőt, hogy a jelentés validálása megkezdődött.
  3. Rendszeres frissítések: Még ha nincs is érdemi előrelépés, időközönként (pl. hetente) érdemes jelezni, hogy a probléma még mindig napirenden van.
  4. Zárás: Amikor a hibát javítottátok, értesítsd a bejelentőt, köszönd meg a munkáját, és indítsd el a jutalmazási folyamatot (ha van).

A folyamat vizualizációja

A teljes folyamat, a felfedezéstől a lezárásig, egy logikus láncot alkot, ahol a bejelentés a központi kapocs.

1. Felfedezés 2. Bejelentés 3. Triázs & Validálás 4. Javítás 5. Jutalom & Zárás

Összefoglalva, egy jól megtervezett bejelentési folyamat nem adminisztratív teher, hanem stratégiai befektetés. Csökkenti a kockázatokat, javítja a termék biztonságát, és pozitív kapcsolatot épít ki a biztonsági kutatói közösséggel. A következő fejezetben azt vizsgáljuk meg, mi történik a bejelentés beérkezése után: a triázs és a prioritizálás folyamatát.

28.1.2. Jutalom struktúra kialakítása

2025.10.06.

28.1.4 Triázs és prioritizálás

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit