5.4.5. Dokumentációs rendszerek

2025.10.06.
AI Biztonság Blog

Minden tapasztalt fejlesztő ismeri azt az érzést, amikor egy fél évvel korábbi, briliánsnak tűnő, de teljesen dokumentálatlan szkriptet kell átnéznie. A kód olyan, mint egy régészeti lelet: megpróbálod kihámozni a szerző eredeti szándékát a furcsa változónevekből és a rejtélyes logikai elágazásokból. Egy Red Team számára, ahol a sebesség, a megismételhetőség és a tudásmegosztás kulcsfontosságú, ez a fajta „technikai adósság” nem csupán kellemetlen, hanem egyenesen veszélyes.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

A dokumentáció nem egy utólagos, kellemetlen feladat, hanem a műveleti hatékonyság és a csapat intézményi memóriájának alapköve. Az AI Red Teaming kontextusában ez hatványozottan igaz, ahol a támadási felületek, a modellek viselkedése és a tesztelési módszertanok folyamatosan változnak.

A `README.txt`-től a „Docs as Code” filozófiáig

A fejlesztői dokumentáció evolúciója jól tükrözi a szoftverfejlesztési módszertanok fejlődését. Kezdetben a dokumentáció elszigetelt szigeteken létezett:

  • Kódkommentek és README fájlok: A kód mellett éltek, de nem alkottak egységes, kereshető rendszert. A nagyobb összefüggések elvesztek.
  • Dedikált Wiki rendszerek (pl. Confluence, SharePoint): Központosították a tudást, de gyakran elszakadtak a kódbázistól. A dokumentáció és a valós implementáció könnyen szétcsúszott, ami elavult, félrevezető információkhoz vezetett.
  • Automatikus kóddokumentáció-generátorok (pl. Javadoc, Doxygen): Kiválóan alkalmasak API-k és függvénykönyvtárak dokumentálására, de a „miért”-eket, a koncepcionális hátteret és a használati eseteket nem képesek lefedni.

Ezeknek a problémáknak a megoldására született meg a „Docs as Code” (Dokumentáció mint Kód) megközelítés, amely mára a modern fejlesztői és DevOps csapatok alapvető gyakorlatává vált, és az AI Red Team műveletek számára is ideális.

A „Docs as Code” egy olyan filozófia és gyakorlat, amely a dokumentációt ugyanazokkal az eszközökkel és folyamatokkal kezeli, mint a szoftver forráskódját.

Ez azt jelenti, hogy a dokumentációt egyszerű szöveges formátumban (pl. Markdown) írják, verziókezelő rendszerben (pl. Git) tárolják, a változtatásokat pedig pull requestekkel és code review-val hagyják jóvá, majd egy automatizált folyamat (CI/CD) építi fel és publikálja a végleges, olvasható formátumot (pl. egy statikus weboldalt).

A „Docs as Code” elv a gyakorlatban

Ez a megközelítés szorosan integrálja a dokumentációt a napi munkába, ahelyett, hogy különálló tevékenységként kezelné. A Red Team számára ez a következő előnyökkel jár:

  • Verziókövetés: Minden változtatás nyomon követhető. Pontosan tudod, ki, mikor és miért módosított egy támadási technikát vagy egy eszköz konfigurációját. Vissza tudsz állni egy korábbi verzióra, ha szükséges.
  • Minőségbiztosítás: A dokumentáció módosításai ugyanazon a review folyamaton mennek keresztül, mint a kód. A csapattagok ellenőrizhetik egymás leírásait, javaslatokat tehetnek, így biztosítva a pontosságot és érthetőséget.
  • Automatizálás: Ahelyett, hogy manuálisan frissítenél egy weboldalt, a Git `push` parancs automatikusan elindíthat egy folyamatot, ami legenerálja és telepíti a frissített dokumentációs oldalt.
  • Decentralizált együttműködés: Bárki, aki hozzáfér a repositoryhoz, javasolhat módosítást egy `branch` létrehozásával és egy `pull request` benyújtásával. Ez ösztönzi a proaktív részvételt a tudásbázis építésében.
Fejlesztő/Operátor Git Repository (Kód + Doksik) CI/CD Pipeline (Build & Test) Dokumentációs Oldal git push Trigger Deploy

Népszerű eszközök és platformok

A „Docs as Code” megvalósításához leggyakrabban statikus oldal generátorokat (Static Site Generators, SSG) használnak. Ezek a programok egyszerű szöveges fájlokból (pl. Markdown) hoznak létre komplett, kereshető, reszponzív weboldalakat.

  • MkDocs: Python alapú, rendkívül egyszerűen használható eszköz. Markdown fájlokból és egyetlen YAML konfigurációs fájlból dolgozik. Ideális választás, ha a csapat már jártas a Python ökoszisztémában.
  • Sphinx: Szintén Python alapú, de jóval több funkcióval rendelkezik. Eredetileg a Python hivatalos dokumentációjához készült. reStructuredText (RST) formátumot használ, ami komplexebb dokumentumstruktúrákat is lehetővé tesz.
  • Docusaurus: A Facebook által fejlesztett, React alapú generátor. Modern megjelenést és funkciókat (pl. verziókezelés, blog) kínál, kifejezetten szoftverprojektek dokumentálására optimalizálva.
  • Hugo: Go nyelven írt, hihetetlenül gyors generátor. Nagy rugalmasságot biztosít, de a beállítása komplexebb lehet.

Egy tipikus MkDocs projekt konfigurációja (`mkdocs.yml`) ilyen egyszerűen néz ki:

# mkdocs.yml - A projekt alapkonfigurációja
site_name: 'AI Red Team - Műveleti Kézikönyv'
site_author: 'Cégnév Red Team'
nav:
 - 'Kezdőlap': 'index.md'
 - 'Támadási Technikák':
 - 'Prompt Injection': 'attacks/prompt-injection.md'
 - 'Modelllopás': 'attacks/model-stealing.md'
 - 'Eszközök':
 - 'Payload Generátor': 'tools/payload-generator.md'
 - 'Adatgyűjtő Szkript': 'tools/recon-script.md'
theme:
 name: material # Népszerű, modern téma használata
 palette:
 scheme: slate # Sötét mód
 primary: blue
plugins:
 - search # Beépített kereső engedélyezése

Mit dokumentál egy AI Red Team?

A technológia kiválasztása után a legfontosabb kérdés a tartalom. Egy hatékony Red Team tudásbázisnak strukturáltnak és célorientáltnak kell lennie. Néhány kulcsfontosságú dokumentumtípus:

Műveleti Naplók és TTP-k (Tactics, Techniques, and Procedures)

Ezek a dokumentumok lépésről lépésre leírják egy-egy konkrét támadási forgatókönyv végrehajtását. 

Nem csak a parancsokat tartalmazzák, hanem a kontextust is: mi a cél, mik az előfeltételek, milyen indikátorokat hagy a támadás, és hogyan lehet enyhíteni a kockázatot. Ez teszi lehetővé a műveletek megismételhetőségét és a tudás átadását az új csapattagoknak.

Eszközök Dokumentációja

Minden saját fejlesztésű vagy jelentősen módosított nyílt forráskódú eszköznek kell, hogy legyen saját dokumentációja. Ez tartalmazza a telepítési útmutatót, a használati példákat, a konfigurációs lehetőségeket és a tipikus hibaelhárítási lépéseket.

Megállapítások Adatbázisa

Bár a formális riportok egy másik rendszerben (pl. JIRA, ServiceNow) készülnek, az AI Red Teamnek szüksége van egy belső, gyorsan kereshető adatbázisra a korábbi megállapításokról. Ez segít a mintázatok felismerésében és a későbbi tesztek tervezésében. Egy egyszerű Markdown táblázat is megteszi kezdetben.

ID Megállapítás Érintett Modell Súlyosság Dátum Kapcsolódó TTP
FIN-2024-012 Közvetett prompt injection PII adatok kiszivárogtatására CustomerSupport-Bot v2.1 Kritikus 2025-05-10 TTP-004
FIN-2024-013 Adatmérgezéses támadás a képfelismerő rendszer ellen ImageClassifier v1.3 Magas 2025-05-18 TTP-009

Infrastruktúra Leírások

  • Hogyan épül fel a C2 (Command and Control) szerver? 
  • Milyen domaineket használunk? 
  • Hogyan van beállítva a forgalomirányítás? 

Ezen információk kritikusak a műveletek zökkenőmentes lebonyolításához és az incidensek (pl. az infrastruktúránk lelepleződése) kezeléséhez. Az „Infrastructure as Code” (pl. Terraform, Ansible) eszközök használata esetén ezek a leírások szorosan kapcsolódhatnak a tényleges konfigurációs fájlokhoz.

A megfelelő dokumentációs rendszer nem teher, hanem stratégiai befektetés! Lehetővé teszi a csapat számára, hogy gyorsabban, következetesebben és hatékonyabban működjön. A „Docs as Code” megközelítés biztosítja, hogy a tudásbázis élő, lélegző része legyen a Red Team mindennapi műveleteinek, nem pedig egy porosodó, elavult Wiki oldal a szervezet digitális pincéjében.

5.4.4 Debugging és profiling eszközök

2025.10.06.

5.5.1. Folyamatos biztonsági tesztelés

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit