LLM API Token Biztonság: A 7 leggyakoribb hiba és azok megelőzése!

2025.10.17.
AI Biztonság Blog

LLM API Token Biztonság: A 7 leggyakoribb hiba, amit valószínűleg te is elkövetsz

Szóval, megvan az új, csillogó-villogó LLM API kulcsod. Úgy érzed, a kezedben van a jövő kulcsa. Egy eszköz, amivel intelligens chatbotokat, zseniális kódelemzőket vagy akár versíró alkalmazásokat hozhatsz létre. A lehetőségek… nos, tényleg lenyűgözőek. De van egy apró, mocskos kis titok, amiről a legtöbb „Getting Started” útmutató mélyen hallgat.

Az az API kulcs nem egy játékszer. Nem egy belépő a helyi könyvtárba. Ez a kulcs egyenesen a digitális páncéltermedbe vezet. Egy olyan terembe, ahol a pénzedet, a felhasználóid adatait és a céged hírnevét tartod. És a legtöbb fejlesztő úgy bánik vele, mintha egy eldobható műanyag pohár lenne.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Láttam már cégeket térdre rogyni egyetlen rossz helyre másolt sk-... kezdetű string miatt. Láttam startupokat, akiknek a havi felhőköltsége egy éjszaka alatt ugrott ötszáz dollárról ötvenezerre. És mindezt miért? Mert valaki elkövette azt a hét hibát, amit most kíméletlen őszinteséggel az arcodba fogok tolni. Nem azért, hogy megsértselek, hanem azért, hogy felébresszelek. Készen állsz?

1. hiba: A hardcode-olt kulcs – A bűn, amit már mindenki elkövetett

Kezdjük a legalapvetőbbel, a fejlesztői lustaság szent gráljával. Amikor ott van a kísértés, hogy csak gyorsan beírd a kódbázisba:


const OPENAI_API_KEY = "sk-aBcDeFgHiJkLmNoPqRsTuVwXyZ1234567890AbCdEfGhIjKlM";

// ... a többi csodálatos kód ...

Gratulálok, épp most írtad rá a házad ajtajára a széfed kombinációját. Lehet, hogy a repód most még privát. De mi lesz holnap? Mi lesz, ha egy új kolléga véletlenül publikussá teszi? Vagy ha egy alvállalkozó kap hozzáférést, majd egy év múlva már senki sem emlékszik rá, hogy visszavonja? A Git, barátom, nem felejt. A commit history egy kőbe vésett krónika, és a titkaid örökre ott maradnak, még akkor is, ha egy későbbi commitban „eltávolítod” a kulcsot.

A támadók imádják ezt. Speciális botokat futtatnak a GitHubon, amik másodpercek alatt kiszúrják az ilyen formátumú stringeket. Mire észbe kapsz, a kulcsod már egy sötét fórumon cserél gazdát, vagy épp egy botnetet szolgál ki, a te számládra.

Aranyköpés: A kódba írt titok nem titok. Hanem egy nyilvános ígéret a katasztrófára.

Hogyan csináld jól?

A megoldás pofonegyszerű: válaszd szét a kódot a konfigurációtól. Használj környezeti változókat (environment variables). Minden modern programozási nyelv és keretrendszer támogatja ezt. A kulcsod egy .env fájlban lakik a helyi gépeden (amit soha nem commitolsz a Gitbe!), a szerveren pedig a deployment rendszer (legyen az Docker, Kubernetes, vagy egy egyszerű systemd service) injektálja be a futó alkalmazásba.


# .env fájl (ezt add hozzá a .gitignore-hoz!)
OPENAI_API_KEY="sk-aBcDeFgHiJkLmNoPqRsTuVwXyZ1234567890AbCdEfGhIjKlM"


# Az alkalmazásod kódja (pl. Node.js)
const OPENAI_API_KEY = process.env.OPENAI_API_KEY;

if (!OPENAI_API_KEY) {
  throw new Error("Hiányzik az OPENAI_API_KEY környezeti változó!");
}

Ez az első, legfontosabb lépés. De ne dőlj hátra, a java még csak most jön.

Fejlesztő Kód API_KEY = „sk-…” git push Public GitHub Támadó A hardcode-olt kulcs útja a katasztrófáig A kódba égetett kulcs a Git repository-n keresztül azonnal a támadók prédájává válik.

2. hiba: A kulcs kiszivárogtatása – A digitális csirip, amit mindenki hall

Oké, megfogadtad a tanácsom, és környezeti változókat használsz. Szuper. De hol használod őket? A kulcs szivárgásának két fő melegágya van: a kliensoldali kód és a túl bőbeszédű logok.

A kliensoldali csapda

Látsz egy csomó példát, ahol a JavaScript kód közvetlenül hívja az OpenAI API-t. Ez egy demonstrációnak jó, de éles környezetben öngyilkosság. Ha a böngészőben futó kódodban ott van a kulcs – még ha egy build processzor is injektálta be –, az olyan, mintha kiabálnál a jelszavaddal egy zsúfolt téren. Bárki, aki megnyomja az F12-t és megnézi a hálózati forgalmat vagy a JS forráskódot, megtalálja. Nincs mese. Nincs kivétel.

Analógia: Képzeld el, hogy a hadsereg a frontvonalban harcoló katonáknak adja ki a nukleáris indítókódokat tartalmazó táskát. Egyetlen elfogott katona, és vége a játéknak. A frontend a te frontvonalad. Védtelen, sebezhető, és az ellenség (a felhasználó vagy egy támadó) teljes kontrollal bír felette.

A megoldás: A közvetítő

A kliensoldali kód soha, de soha nem ismerheti meg a titkos API kulcsot. A helyes architektúra egy Backend-for-Frontend (BFF) vagy egy egyszerű proxy szerver beiktatása. A kliensed (a webalkalmazás) a te saját szerveredhez küldi a kérést. A te szervered az, ami megkapja a kérést, hozzáadja a szigorúan titkos API kulcsot (amit a környezeti változóból olvas ki), majd továbbítja azt az LLM szolgáltatónak. A válasz ugyanezen az úton jön vissza. A kulcs soha nem hagyja el a te biztonságos, ellenőrzött környezetedet.

A biztonságos API hívás architektúrája ROSSZ: Közvetlen hívás Böngésző kérés + API kulcs LLM API JÓ: Közvetítő (Proxy) szerver Böngésző kérés (kulcs nélkül) Saját Backend (itt adódik hozzá a kulcs) kérés + API kulcs LLM API

A logok árulása

A másik gyakori hiba a túlzott logolás. Hibakeresés közben csábító lehet kilogolni a teljes HTTP kérést, headerekkel, mindennel együtt. A baj az, hogy az API kulcs általában az Authorization headerben utazik. Ha ezt a teljes kérést egy központi log-gyűjtő rendszerbe (pl. ELK stack, Datadog, Splunk) küldöd, akkor a kulcsod ott fog ékeskedni, nyílt szöveges formában. Ezek a rendszerek gyakran kevésbé védettek, mint a termelési adatbázisok, és rengeteg embernek van hozzájuk olvasási hozzáférése. Egyetlen kompromittált fejlesztői fiók, és a támadó aranybányára lel a logjaidban.

Megoldás: Konfiguráld a loggereidet, hogy maszkolják vagy teljesen kihagyják az érzékeny headereket, mint az Authorization vagy a X-Api-Key. Csak azt logold, ami a hibakereséshez elengedhetetlenül szükséges. Ne többet.

3. hiba: A rotáció hiánya – Az „örök darab” kulcs mítosza

Létrehoztad a kulcsot. Beraktad a helyére. Működik. Szuper. Mostantól hozzá sem nyúlsz, igaz? Hiszen ami működik, azt nem bántjuk.

Ez a „set it and forget it” mentalitás egy időzített bomba. El kell fogadnod egy kényelmetlen igazságot: a titkaid előbb-utóbb ki fognak szivárogni. Ezt hívják az „assume breach” (feltételezd a jogsértést) elvnek. Nem az a kérdés, hogy a kulcsod kikerül-e, hanem az, hogy mikor. És ha ez megtörténik, egy soha le nem cserélt, évek óta használt kulcs egy örökös, ingyenes belépőt jelent a rendszeredbe.

Történelmi analógia: Gondolj a második világháborús Enigma gépre. A németek zseniális titkosító eszközt alkottak, de a gyenge pontja az emberi tényező és a procedurális hibák voltak. A szövetségesek áttörésének egyik kulcsa az volt, hogy a napi kulcsbeállításokat (a rotációt) meg tudták fejteni. Ha a németek egyetlen kulcsot használtak volna az egész háború alatt, Bletchley Parkban már az első héten pezsgőt bontottak volna.

A kulcsrotáció minimalizálja a kárt. Ha egy kulcs ki is szivárog, az csak egy rövid ideig, a következő rotációs ciklusig érvényes. Ez egy szűk időablakot ad a támadónak, és neked időt a detektálásra és a reagálásra.

Gyakorlati megvalósítás

Ne kézzel csináld! Senki sem fogja 30 naponta manuálisan frissítgetni a kulcsokat tucatnyi szerveren. Ezt automatizálni kell.

  • Használj scripteket, amik az API szolgáltató (pl. OpenAI) API-ján keresztül létrehoznak egy új kulcsot, befrissítik a titokkezelődbe (erről később), majd törlik a régit.
  • Integráld ezt a folyamatot a CI/CD pipeline-odba.
  • Állíts be egy szigorú, de reális rotációs szabályzatot.

Itt egy egyszerű példa egy rotációs szabályzatra:

Környezet Kulcs Típus Rotációs Ciklus Felelős
Production Nagy forgalmú chatbot 30 nap Automatizált script (DevOps)
Staging Tesztelési kulcs 90 nap Automatizált script (DevOps)
Fejlesztői Egyéni fejlesztői kulcsok 180 nap / Kilépéskor azonnal Manuális / Offboarding script

4. hiba: A túlságosan megengedő kulcs – A mindenes kulcs, ami mindent visz

Amikor létrehozol egy API kulcsot, a legtöbb platform teljes hozzáférést ad neki alapértelmezetten. Ez a kulcs hozzáfér az összes modellhez, a fine-tuning adatokhoz, a számlázási információkhoz, a felhasználói listához. Egy igazi mesterkulcs.

Most tedd fel magadnak a kérdést: a te kis alkalmazásodnak, ami csak annyit csinál, hogy összefoglalja a felhasználó által beírt szöveget, tényleg szüksége van jogosultságra, hogy új modelleket tanítson be a céges adatokon vagy módosítsa a számlázási címet? A válasz egyértelműen nem.

Ez a Principle of Least Privilege (a legkisebb jogosultság elve) megsértése. Minden komponensnek, legyen az felhasználó vagy egy API kulcs, csak és kizárólag ahhoz a minimális erőforráshoz szabad hozzáférnie, ami a feladata elvégzéséhez elengedhetetlen.

Ha egy ilyen „mindenes” kulcs szivárog ki, a támadó nem csak a te pénzeden fog generálni, hanem hozzáférhet érzékeny adatokhoz, törölhet modelleket, vagy akár kizárhat téged a saját fiókodból. A kár exponenciálisan nagyobb.

Aranyköpés: Ne adj a postásnak kulcsot a hálószobádhoz. Az API kulcsodnak se adj több jogot, mint amennyire feltétlenül szüksége van.

Hogyan csináld jól?

Bár nem minden LLM szolgáltató kínál granuláris jogosultságkezelést a kulcsokhoz (ez egy komoly hiányosság a piacon!), ahol lehet, élni kell vele. Ha nincs ilyen lehetőség, akkor szervezeti szinten kell szegmentálni:

  • Külön fiókok: Hozz létre külön fiókokat (organizations) a különböző projektekhez vagy környezetekhez. Egy kulcs, ami az egyik fiókhoz tartozik, nem fogja látni a másik erőforrásait.
  • Szolgáltatás-specifikus kulcsok: Ne használj egyetlen központi kulcsot az összes alkalmazásodhoz. A „chatbot-prod” kapjon egy saját kulcsot, a „doku-generator-dev” pedig egy teljesen másikat. Így ha az egyik kompromittálódik, a többi szolgáltatásod biztonságban van.
ROSSZ: A „Mindenes” Mesterkulcs Mesterkulcs Chat App Fine-Tuning Számlázás JÓ: Szolgáltatás-specifikus kulcsok Chat Kulcs Chat App Tuning Kulcs Fine-Tuning Admin Kulcs Számlázás

5. hiba: Kulcsok megosztása környezetek között – A fejlesztői kulcs, ami élesben landolt

Ez egyenes következménye az előző pontnak, de megér egy külön említést, mert annyira gyakori. A fejlesztő lusta. Létrehoz egy kulcsot, használja a saját gépén (localhost), aztán ugyanazt a kulcsot berakja a staging szerver konfigurációjába, majd végül a production környezetbe is.

Mi ezzel a baj? Ó, hadd soroljam:

  1. Biztonsági rés: A fejlesztői környezetek (a laptopod, a dev szerver) sokkal lazábban vannak védve, mint az éles rendszer. Több ember fér hozzá, több szoftver fut rajta, a hálózati szabályok engedékenyebbek. Ha egy támadó bejut a fejlesztői környezetbe és megszerzi a kulcsot, akkor egyenes útja van a production rendszerhez.
  2. Hibakeresési rémálom: Ha ugyanazt a kulcsot használod mindenhol, honnan fogod tudni, hogy a hirtelen megugró API forgalom a stagingen végzett terheléses tesztből, vagy egy élesben futó anomáliából származik? A logok és a metrikák követhetetlenné válnak.
  3. Költségkontroll hiánya: Nem tudsz külön büdzsét beállítani a fejlesztésre és a termelésre. Egy elszabadult script a dev környezetben felemésztheti a teljes havi keretedet.

Analógia: Ez olyan, mintha ugyanazt a kulcsot használnád a kerti fészerhez, a bejárati ajtódhoz és a banki széfedhez. Kényelmes? Igen. Értelmes? Abszolút nem. Ha valaki megtalálja a fészerkulcsot a virágcserép alatt, akkor a széfed tartalma is veszélyben van.

A helyes szegregáció

Minden környezetnek (development, staging, production, stb.) saját, dedikált API kulcsra van szüksége. Ezeket a kulcsokat eltérő jogosultságokkal és költségkeretekkel kell ellátni.

Környezet Kulcs Hozzáférés Havi Költségkeret
Development sk-dev-... Csak fejlesztők, limitált modellek $50 (Soft limit)
Staging sk-stg-... QA csapat, production-hasonló modellek $200 (Soft limit)
Production sk-prod-... Csak a production szerver, minden szükséges modell $5000 (Hard limit + riasztás)

6. hiba: A monitorozás teljes hiánya – A csöpögő csap, amiből árvíz lesz

Eddig arról beszéltünk, hogyan védd meg a kulcsodat. De mi van, ha minden erőfeszítésed ellenére a kulcs mégis kikerül? A legtöbb csapat itt vérzik el. Nincs semmilyen rendszerük, ami jelezné, ha valami nincs rendben.

Azt hiszed, a támadó majd finoman, óvatosan fogja használni a kulcsodat? Dehogyis. Ráereszt egy automatizált scriptet, ami maximális fordulatszámon pörgeti az API hívásokat, hogy kriptovalutát bányásszon, spamet generáljon, vagy egyszerűen csak a lehető legnagyobb kárt okozza neked. Te pedig alszol békésen, és csak a hónap végén kapsz egy szívrohamot, amikor meglátod a számlát.

A monitorozás és a riasztások nem luxusfunkciók. Ezek a te biztonsági hálód, a légzsákod. Két kulcsfontosságú eszközöd van:

  • Költségkeretek (Budget Alerts): A legtöbb felhő- és API-szolgáltató lehetővé teszi, hogy beállíts „soft” és „hard” limiteket. A soft limit egy értesítést küld (email, Slack, PagerDuty), amikor a költés eléri a beállított küszöböt (pl. a havi keret 80%-át). A hard limit egy bizonyos összeg felett egyszerűen letiltja az API kulcsot, megakadályozva a további túlköltekezést. Használd mindkettőt!
  • Használati anomáliák (Usage Anomaly Detection): Figyeld a kérések számát, a token-felhasználást, a hibaarányt. Egy hirtelen, drasztikus kiugrás bármelyik metrikában (pl. a percenkénti kérések száma a tízszeresére nő) egyértelműen jelzi, hogy valami nincs rendben. A modern monitorozó rendszerek képesek automatikusan felismerni az ilyen anomáliákat és riasztani.
Monitorozás: Anomália Észlelés Idő API Hívások/perc Normál használat Kiszivárgott kulcs! ! RIASZTÁS! Riasztási küszöb

7. hiba: A nem biztonságos tárolás – A „biztonságos hely”, ami egy post-it a monitoron

Végül, de nem utolsósorban, beszéljünk a tárolásról. Azt mondtuk, ne hardcode-old. Oké. Azt mondtuk, használj környezeti változókat. Oké. De honnan jönnek azok a környezeti változók?

Itt van néhány népszerű, de borzasztóan rossz gyakorlat:

  • Verziókezelőben tárolt .env fájlok: A leggyakoribb hiba. Valaki véletlenül (vagy direkt) becommitolja a .env vagy config.prod.json fájlt a repository-ba. Lásd 1. pont.
  • Plain text a CI/CD változókban: Sok CI/CD rendszer (pl. GitHub Actions, GitLab CI) lehetővé teszi titkok tárolását. Ez jobb, mint a kód, de még mindig nem ideális. Ki fér hozzá ezekhez a beállításokhoz? Hogyan auditálod a hozzáférést?
  • Titkosítatlan fájlok a szerveren: A kulcs egy /etc/app/config fájlban van, amit bárki olvashat, akinek van SSH hozzáférése a géphez.
  • Wikiben, Confluence-en, Google Docs-ban: Ne is kezdjünk bele…

Analógia: A házkulcsodat nem a lábtörlő alatt tartod. Az egy „ismert titkos hely”, ami valójában az első hely, ahol egy betörő keresgélni fog. A plain text konfigurációs fájlok a szerveren a te digitális lábtörlőd.

A professzionális megoldás: Titokkezelő Rendszerek (Secrets Managers)

A titkok tárolására és kezelésére dedikált, erre a célra kifejlesztett eszközök léteznek. Ezeket hívják titokkezelőknek. Ilyen például a HashiCorp Vault, az AWS Secrets Manager, a Google Secret Manager vagy az Azure Key Vault.

Miért jobbak ezek?

  • Központi tárolás: Minden titkod egyetlen, biztonságos helyen van.
  • Titkosítás: A titkokat titkosítva tárolják (encryption at rest) és a hálózaton is titkosítva közlekednek (encryption in transit).
    • Szigorú hozzáférés-szabályozás: Megmondhatod, hogy pontosan melyik szerver, melyik alkalmazás, melyik felhasználó férhet hozzá egy adott titokhoz. – Auditálás: Minden egyes hozzáférést naplóznak. Pontosan tudod, ki, mikor és mit olvasott ki. – Dinamikus titkok: A legfejlettebb rendszerek képesek „on-the-fly” generálni rövid életű titkokat, amik pár óra vagy nap után automatikusan lejárnak.

Az alkalmazásod induláskor nem egy fájlból, hanem a titokkezelőből kéri le a szükséges API kulcsot, egy biztonságos, auditált csatornán keresztül. Ez a modern, biztonságos szoftverfejlesztés alapköve.

Aranyköpés: A titok csak addig titok, amíg a tárolása is az. Ne bízd a koronázási ékszereket egy papírdobozra.

Összefoglalás: A paranoid fejlesztő a jó fejlesztő

Ha végigolvastad ezt a listát, és egyetlen ponton sem érezted kényelmetlenül magad, akkor vagy már most is egy biztonságtudatos profi vagy, vagy mélyen tagadásban élsz. Nincs köztes út.

Az LLM API kulcsok biztonsága nem egy opcionális plusz feladat, amit majd megcsinálsz, „ha lesz idő”. Ez alapvető digitális higiénia. Olyan, mint a kézmosás egy világjárvány idején. A mulasztás következményei pedig súlyosak lehetnek: anyagi kár, adatvesztés, a felhasználók bizalmának elvesztése.

Ne legyél az a fejlesztő, aki miatt a cég a címlapokra kerül. Nézd át a kódodat. Nézd át a deployment folyamataidat. Nézd át a logjaidat. Tedd fel a kényelmetlen kérdéseket a meetingeken.

Légy te az, aki nem csak építi a jövőt, hanem meg is védi azt.

MI-ágensek Izolálása: Védett futtatókörnyezetek (Sandbox) használata a kártékony viselkedés megakadályozására

2025.10.17.

Prompt-sablonok Védelme: Hogyan akadályozzuk meg a rendszerszintű manipulációt?

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit