5.5.5. Riasztási rendszerek

2025.10.06.
AI Biztonság Blog

Képzelj el egy csúcstechnológiás, teljesen automatizált betörésjelző rendszert egy erődben. Érzékeli a legkisebb rezdülést, a leghalkabb lépteket is. De mi haszna, ha a riasztás csak egy néma, pirosan villogó lámpa egy üres őrtoronyban? A CI/CD pipeline-ba integrált Red Team eszközeid is pont ilyenek riasztási rendszer nélkül: lehet, hogy mindent észlelnek, de ha a felfedezéseik nem jutnak el hozzád azonnal és érthető formában, az egész automatizáció elveszíti az értelmét.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az automatizált jelentésgenerálás (amit az előző fejezetben tárgyaltunk) a folyamat végét dokumentálja, de a riasztási rendszerek a folyamat során válnak kritikussá. Ők a digitális idegrendszer, amely az automatizált tesztek „érzékelőitől” jövő ingereket azonnal továbbítja a „központi agy”, vagyis az AI Red Team felé. Nem csupán értesítésekről van szó; a jó riasztási rendszer kontextust ad, priorizál, és cselekvésre ösztönöz.

A riasztás anatómiája: Több mint egy pittyegés

Egy hatékony riasztás nem csak annyit közöl, hogy „valami elromlott”. Olyan, mint egy tömör helyzetjelentés a frontvonalról. Ahhoz, hogy valóban hasznos legyen, több kulcsfontosságú elemből kell felépülnie.

1. Kiváltó ok (Trigger)

Ez az esemény, ami elindítja a riasztási folyamatot. Nem korlátozódik a pipeline egyszerű sikeres/sikertelen állapotára. Specifikus, finomhangolt triggereket kell definiálnod:

  • Súlyos sebezhetőség detektálása: Egy automatizált eszköz (pl. Garak, `llm-guard`) kritikus besorolású prompt injection vagy adat-szivárgási vektort talál.
  • Jelentős teljesítményromlás: A modell válaszideje vagy erőforrás-használata egy adott küszöbérték fölé ugrik egy terheléses teszt során.
  • Nemkívánatos viselkedés: A modell toxikus, elfogult, vagy a felhasználási feltételekkel ellentétes tartalmat generál egy előre definiált teszteset-sorozat hatására.
  • Sikertelen biztonsági kontroll: Egy beépített védelmi mechanizmus (pl. PII szűrő) átenged egyértelműen személyes adatot.

2. Súlyosság (Severity)

Az „alert fatigue” (riasztási fáradtság) a Red Team egyik legnagyobb ellensége. Ha minden apróság miatt pittyeg a Slack, a valóban fontos jelzések elvesznek a zajban. A súlyossági szintek bevezetése elengedhetetlen a priorizáláshoz.

Szint Leírás Példa Javasolt csatorna
Kritikus (Critical) Azonnali beavatkozást igénylő, a rendszert vagy az adatokat közvetlenül veszélyeztető esemény. Személyes adatok (PII) szivárgása a modell válaszában. Távoli kódfuttatást lehetővé tévő sebezhetőség. PagerDuty, dedikált vészhelyzeti Slack csatorna, SMS.
Magas (High) Fontos, de nem azonnali katasztrófával fenyegető probléma. A fő funkcionalitást vagy biztonságot érinti. Konzisztens, súlyos jailbreak technika működik a modell ellen. Dedikált Slack/Teams csatorna, automatikus Jira/Azure DevOps ticket létrehozás.
Közepes (Medium) Figyelmet igénylő, de a rendszer működését nem akadályozó probléma. A modell enyhén elfogult válaszokat ad egy specifikus témában. Összesített napi/heti email riport, általános Slack csatorna.
Információs (Info) Tájékoztató jellegű üzenet, ami nem hibát jelez, de fontos lehet. Egy új tesztcsomag sikeresen lefutott. A pipeline befejeződött. Log rendszerek, pipeline kimenet.

3. Csatorna és tartalom

A riasztásnak a megfelelő helyre kell érkeznie, a megfelelő információkkal. Egy kritikus riasztás emailben könnyen elsikkadhat, egy információs szintű pedig feleslegesen zavarja az ügyeletes csapatot PagerDuty-n keresztül. A tartalomnak pedig azonnal értelmezhetőnek és cselekvésre ösztönzőnek kell lennie.

Egy jó riasztás tartalma:

  • Mi történt? (Pl. „Kritikus Prompt Injection sebezhetőség detektálva”)
  • Hol történt? (Modell neve, verziója, pipeline futás azonosítója)
  • Mikor történt? (Pontos időbélyeg)
  • Mekkora a baj? (Súlyossági szint)
  • Kontextus: Link a pipeline logokra, a sikertelen teszteset, a problémás input és a modell kimenete.
  • Mi a teendő? (Javasolt következő lépések, pl. „Azonnal tiltsa le a publikus végpontot és vizsgálja meg a logokat.”)

Gyakorlati megvalósítás

A riasztási rendszerek integrálása a CI/CD pipeline-ba többféleképpen történhet, az egyszerű beépített funkcióktól a komplex, egyedi megoldásokig.

Pipeline-natív értesítések

A legtöbb CI/CD platform, mint a GitHub Actions vagy a GitLab CI, kínál beépített lehetőséget a pipeline állapotáról szóló értesítések küldésére. Ez az első és legegyszerűbb védelmi vonal.

# .github/workflows/red-team-pipeline.yml
name: AI Model Red Team Pipeline
on: push

jobs:
 security-tests:
 runs-on: ubuntu-latest
 steps:
 # ... tesztelési lépések ...
 - name: Run LLM Vulnerability Scan
 id: llm-scan
 run: |
 # Itt fut a sebezhetőség-vizsgáló szkripted
 python scripts/run_garak.py --model my-model:latest

 - name: Notify on Failure
 if: failure()
 uses: slackapi/slack-github-action@v1
 with:
 channel-id: 'C12345678'
 slack-message: "🚨 *Figyelem!* Az AI Red Team pipeline (${{ github.workflow }}) sikertelen a `${{ github.ref }}` branchen. Bővebb infó: ${{ github.server_url }}/${{ github.repository }}/actions/runs/${{ github.run_id }}"
 env:
 SLACK_BOT_TOKEN: ${{ secrets.SLACK_BOT_TOKEN }}

Egyedi riasztási logika

A komplexebb esetekhez, ahol a pipeline sikeres lefutása mellett is szükség van riasztásra (pl. egy közepes súlyosságú hiba esetén), saját szkripteket kell írnod. Ezek a szkriptek elemzik a teszteszközök kimenetét, és a fentebb definiált logika (súlyosság, tartalom) alapján küldik el a riasztást a megfelelő csatornára.

# pszeudokód: alert_handler.py
import requests
import os
import json

# A teszteszköz JSON kimenetének beolvasása
test_results = json.loads(os.getenv('TEST_OUTPUT_JSON'))
SLACK_WEBHOOK_URL = os.getenv('CRITICAL_SLACK_WEBHOOK')

for finding in test_results['findings']:
 if finding['severity'] == 'CRITICAL':
 message = {
 'text': f"Kritikus sebezhetőség: {finding['type']}",
 'blocks': [
 {
 'type': 'section',
 'text': {
 'type': 'mrkdwn',
 'text': f":fire: *KRITIKUS RIASZTÁS*\n>Modell: {os.getenv('MODEL_NAME')}\n>Hiba: *{finding['vulnerability']}*\n>Részletek: `{finding['details']}`"
 }
 }
 ]
 }
 requests.post(SLACK_WEBHOOK_URL, json=message)

A jel-zaj arány kritikus egyensúlya

Egy rosszul konfigurált riasztási rendszer többet árt, mint használ. A cél nem az, hogy mindenről értesülj, hanem hogy minden fontos dologról értesülj. 

Ennek érdekében alkalmazz szűrési és aggregációs technikákat:

  • Csoportosítás (Grouping): Ne küldj 50 külön riasztást, ha ugyanaz a prompt injection technika 50 különböző tesztesetben működött. Csoportosítsd ezeket egyetlen, magasabb prioritású riasztásba.
  • Küszöbértékek (Thresholding): Ne riassz azonnal, ha egy metrika (pl. toxicitási pontszám) 0.1%-kal megemelkedik. Definiálj ésszerű küszöbértékeket, amelyek átlépése valódi problémát jelez.
  • Deduplikáció: Ha egy hiba folyamatosan fennáll több pipeline futás során is, ne küldj minden alkalommal új riasztást. Implementálj egy logikát, ami felismeri a már ismert, nyitott problémákat és csak frissítést küld róluk.
CI/CD Pipeline (Tesztek futtatása) Riasztási Logika (Szűrés, Súlyozás) Diszpécser (Csatorna választás) Slack / Teams Jira / Ticket Email riport PagerDuty Teszteredmény Feldolgozott riasztás Magas Magas Közepes Kritikus
A riasztási folyamat útja a detektálástól a megfelelő csatornán történő értesítésig.

Végső soron a riasztási rendszer az, ami az automatizált Red Team folyamatokat proaktívvá és reszponzívvá teszi. Ez a híd a gépi sebességgel végzett analízis és a emberi szakértelmet igénylő beavatkozás között. Enélkül csupán egy nagy teljesítményű, de magányos adatgyűjtő rendszered van.

5.5.4 Jelentés generálás

2025.10.06.

6.1.1. Telepítés és konfiguráció

2025.10.06.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit