Megmagyarázható MI (XAI) a Biztonságért: Rejtett sebezhetőségek feltárása XAI eszközökkel

2025.10.17.
AI Biztonság Blog

A fekete doboz átka: Amikor az MI dönt, de te nem tudod, miért

Képzeld el a helyzetet. A legújabb, csilli-villi, neurális háló alapú anomália-detektáló rendszered élesben fut. Napokig csend van, minden tökéletes. Aztán egy kedd reggel, kávézás közben pittyen a telefonod: kritikus riasztás. A rendszer leállított egy adag kimenő adatforgalmat, mert „gyanús mintázatot” észlelt. Potenciálisan egy adatlopási kísérletet akadályozott meg. Szuper, nem?

De itt jön a csavar. A DevOps csapat esküszik, hogy az egy teljesen legitim, ütemezett adatbázis-szinkronizálás volt egy partnercég felé. A te rendszered viszont hajthatatlan. Megpróbálod kideríteni, miért döntött így. Belenézel a logokba, de csak annyit látsz: confidence_score: 0.987, decision: BLOCK. Ennyi. Nincs magyarázat. A modell egy fekete doboz. Egy átláthatatlan, matematikai katyvasz, ami meghozott egy döntést, ami most épp több százezer dolláros üzleti fennakadást okoz.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Ismerős a helyzet? Ha valaha is dolgoztál modern MI-modellekkel, akkor valószínűleg bólogatsz. Ezek a rendszerek elképesztő pontosságra képesek, de a belső működésük gyakran rejtély marad még az alkotóik számára is. Ez pedig egy biztonsági szakember számára a legrosszabb rémálom.

Egy olyan védelmi rendszert üzemeltetni, aminek a döntéseit nem érted, olyan, mintha egy őrt állítanál a kapuhoz, aki nem beszéli a nyelvedet. Lehet, hogy megállítja a betolakodókat. De lehet, hogy a vezérigazgatót sem engedi be, mert nem tetszik neki a nyakkendője. És soha nem fogod megtudni, miért.

Ez a probléma hívta életre a Megmagyarázható MI (Explainable AI, vagy XAI) területét. Az XAI nem arról szól, hogy lebutítjuk a modelljeinket. Hanem arról, hogy eszközöket ad a kezünkbe, amelyekkel bevilágíthatunk a fekete dobozba, és megérthetjük a „miért”-eket a „mi”-k mögött.

És hidd el, egy Red Teamer számára ez a „miért” maga a szent grál.

A Fekete Doboz Adat (Bemenet) ? Döntés (Kimenet) Megmagyarázható MI (XAI) Adat (Bemenet) Jellemző A: +0.6 Jellemző B: -0.2 Jellemző C: +0.5 Döntés + Magyarázat

XAI: A Red Teamer új legjobb barátja

A Red Teaming lényege, hogy úgy gondolkodunk, mint a támadó. Keressük a rejtett feltételezéseket, a vakfoltokat, a rendszer logikájában megbúvó repedéseket. Amikor egy MI-rendszert tesztelünk, a feladatunk tízszer nehezebb. Nem egy ember által írt, if-then-else logikával teli kódbázist kell feltörnünk, hanem egy statisztikai modellt, ami adatokból „tanult” meg viselkedni.

És a tanulás során rengeteg dolog félresikerülhet. A modell megtanulhat rossz dolgokat, rossz okokból. Felfedezhet hamis korrelációkat az adatokban, és azokra alapozhatja a döntéseit. Ezek a rejtett hibák aranybányát jelentenek egy támadónak.

Az XAI eszközök olyanok, mint egy nyomozónak a DNS-teszt vagy az ujjlenyomat-elemzés. Lehetővé teszik, hogy a felszín alá nézzünk, és feltárjuk a modell „gondolatmenetét”.

Két alapvető XAI megközelítés: a helyi és a globális

Mielőtt mélyebbre ásnánk, tisztázzunk két fogalmat, amivel állandóan találkozni fogsz:

  1. Helyi magyarázat (Local Explanation): Ez arra a kérdésre ad választ, hogy „Miért döntött a modell így, ebben az egyetlen esetben?”. Olyan, mint egy nyomozó, aki egy konkrét bűntényt vizsgál. Nem az egész bűnözést akarja megérteni, csak azt, hogy Kovács úr miért döntött úgy, hogy kedd este kirabolja a sarki boltot.
  2. Globális magyarázat (Global Explanation): Ez a nagy képet mutatja. „Általánosságban, mely tényezők a legfontosabbak a modell számára a döntéshozatalban?”. A mi nyomozónk itt már kriminológussá válik, és azt vizsgálja, hogy a városban a szegénység, az iskolázatlanság vagy a bandatevékenység a fő mozgatórugója-e a bűncselekményeknek.

Mindkettőre szükségünk van. A helyi magyarázatok segítenek egy-egy konkrét támadási kísérlet (pl. egy gondosan preparált bemenet) elemzésében. A globális magyarázatok pedig a rendszer általános gyengeségeit tárják fel.

A legfontosabb eszközök a fegyvertárban: LIME és SHAP

Beszéljünk konkrétumokról. Két technika annyira elterjedt az XAI világában, hogy szinte kötelező ismerni őket. Olyanok ezek, mint a svájci bicska és a franciakulcs egy szerelőnek.

LIME: A helyi besúgó

A LIME (Local Interpretable Model-agnostic Explanations) neve elég ijesztő, de a koncepció zseniálisan egyszerű.

Képzeld el, hogy a komplex neurális hálód egy hihetetlenül kacskaringós, megmászhatatlan hegyvonulat. Egyetlen döntés (egy pont a hegyen) okát akarod megérteni. A LIME mit csinál? Nem próbálja meg feltérképezni az egész hegyet. Ehelyett odamegy ahhoz az egy ponthoz, és a közvetlen környezetében felállít egy pici, egyszerű sátrat. Ez a „sátor” egy nagyon egyszerű, könnyen érthető modell (pl. egy lineáris regresszió), ami csak abban a kis lokális környezetben próbálja meg leutánozni a nagy, bonyolult hegy felszínét.

A LIME lényegében azt mondja: „Oké, nem tudom, hogy ez a bonyolult modell globálisan hogyan működik. De pont itt, ennél a konkrét adatpontnál úgy tűnik, hogy a döntést leginkább a 3-as, 7-es és 12-es bemeneti jellemző befolyásolta, a többinek alig volt szerepe.”

Red Teamerként ez mire jó? Tegyük fel, hogy egy spam szűrőt tesztelsz. Beküldesz egy teljesen ártalmatlannak tűnő emailt, amit a rendszer mégis spamnek jelöl. Lefuttatod a LIME-ot, ami kimutatja, hogy a döntés 90%-ban egyetlen szón alapult: „leiratkozás”. Kiderül, hogy a modell annyira rátanult a marketing levelekre, hogy most már minden emailt, amiben szerepel ez a szó, gyanúsnak tart – még akkor is, ha az egy fontos céges hírlevél, amiről a felhasználó tényleg le akar iratkozni. Bumm. Megvan a sebezhetőség: a modell túláltalánosít, és egy ártalmatlan jellemző alapján hoz téves döntést. Ezt kihasználva könnyen lehet olyan legitim emaileket küldeni, amiket a rendszer blokkolni fog, ezzel szolgáltatáskiesést okozva (Denial of Service).

LIME: Helyi Magyarázat Komplex Modell Döntési Határa Magyarázandó Pont LIME: Egyszerű, lokális modell A LIME a pont körüli apró változtatásokkal tanulja meg a lokális viselkedést.

SHAP: A csapatjátékosok értékelése

A SHAP (SHapley Additive exPlanations) a játékelméletből merít. Kicsit komplexebb, de cserébe sokkal mélyebb betekintést ad.

Képzelj el egy focicsapatot, amelyik nyert egy meccset 3-0-ra. A kérdés: melyik játékos mennyivel járult hozzá a győzelemhez? A csatár, aki a gólokat lőtte? A középpályás, aki a gólpasszokat adta? Vagy a kapus, aki hárított egy tizenegyest a meccs elején, és ezzel meccsben tartotta a csapatot?

A SHAP pontosan ezt számolja ki, csak játékosok helyett a modell bemeneti jellemzőivel (features). Megvizsgálja az összes lehetséges „koalíciót” (jellemzők kombinációját), és kiszámolja, hogy egy-egy új jellemző hozzáadása mennyivel növeli vagy csökkenti a végső „kifizetést” (a modell kimenetét). Az eredmény egy SHAP érték minden egyes jellemzőhöz, minden egyes döntésnél. A pozitív érték azt jelenti, hogy a jellemző a döntés irányába tolta a modellt (pl. „spam” felé), a negatív pedig azt, hogy ellene hatott (pl. „nem spam” felé).

Red Teamerként ez mire jó? A SHAP nem csak azt mondja meg, mi volt fontos, hanem azt is, hogy mennyire és milyen irányban. Ezzel feltárhatók a finomabb, rejtett összefüggések. Tegyük fel, egy hitelbírálati modellt vizsgálsz. A SHAP kimutatja, hogy a „postai irányítószám” jellemzőnek meglepően nagy pozitív vagy negatív hatása van bizonyos esetekben. Ez egy azonnali vörös zászló! A modell valószínűleg megtanulta, hogy bizonyos környékeken élő embereknek nehezebben adjon hitelt. Ez nem csak etikátlan és illegális (diszkrimináció), de egy komoly sebezhetőség is. Egy támadó ezt kihasználva generálhat olyan ál-kérelmeket, amiknek a „jó” irányítószám miatt nagyobb esélyük van az átjutásra, még ha más adatok gyanúsak is.

SHAP Értékek: A döntés boncolása Példa: Hitelkérelem elutasítása Alapérték (átlagos predikció) Végső döntés (magasabb rizikó) Jövedelem < 50k (+0.4) Adósság > 100k (+0.8) Életkor > 40 (-0.2) Irányítószám=1234 (+0.7) Csökkentik a rizikót Növelik a rizikót

Gyakorlati támadási forgatókönyvek XAI-val leleplezve

Szép és jó az elmélet, de nézzük, hogyan működik mindez a harcmezőn. Íme három klasszikus MI elleni támadástípus, és hogyan segít az XAI a felderítésükben.

1. Adatmérgezés és a rejtett hátsó kapu (Data Poisoning & Backdoors)

Ez az egyik legalattomosabb támadás. A támadó apró, szinte észrevehetetlen manipulált adatokat csempész a modell tanító adathalmazába. A cél: egy „hátsó kapu” beépítése. A modell normál körülmények között tökéletesen működik, de ha egy speciális „triggerrel” (pl. egy kép sarkában egy bizonyos pixelminta, vagy egy szövegben egy ritka szókombináció) találkozik, akkor teljesen téves, a támadó által kívánt döntést hoz.

Hogyan leplezi le az XAI?

Egy megmérgezett modellt szinte lehetetlen hagyományos teszteléssel lebuktatni, mert 99.9%-ban jól teljesít. De ha egy XAI eszközt, például a SHAP-ot ráküldjük a triggerelt bemenetre, a magyarázat azonnal ki fogja mutatni a turpisságot. A SHAP értékek drámaian meg fognak ugrani egy olyan jellemzőnél, aminek semmi köze nem lenne a döntéshez. A képfelismerő modellnél hirtelen nem a macska füle vagy szeme lesz a fontos, hanem a bal alsó sarokban lévő 3×3-as sárga pixelblokk. Ez egyértelmű jele a manipulációnak. Az XAI rávilágít a modell abszurd, tanult „rögeszméjére”.

Adatmérgezés Leleplezése XAI-val Normál Bemenet Modell Döntése: „Macska” XAI Magyarázat (SHAP) Fül: +0.4 Szem: +0.5 Bajusz: +0.3 Háttér: -0.1 Mérgezett Bemenet (Triggerrel) Modell Döntése: „Macska” (HIBÁS!) XAI Magyarázat (SHAP) Fül: -0.2 Orr: -0.1 Sárga Pixel: +1.5 Háttér: -0.1

2. Kikerülési támadások (Evasion Attacks)

Itt a támadó célja, hogy egy rosszindulatú bemenetet (pl. egy vírust, egy spam emailt) úgy módosítson minimálisan, hogy a modell már ne ismerje fel annak. Ezek az ún. „adversarial examples” (ellentmondásos példák). Egy képfelismerőnél ez lehet pár, emberi szem számára láthatatlan pixel megváltoztatása, ami miatt a modell egy pandát gibbonnak néz. Egy hálózati forgalom elemzőnél pedig egy csomag fejlécének finom módosítása, hogy a rosszindulatú parancs legitimnek tűnjön.

Hogyan segít az XAI?

Az XAI segít megérteni, hogy a modell mire figyel. Ha egy globális magyarázatot (pl. a SHAP értékek átlagát az egész adathalmazon) futtatunk, láthatjuk, mely jellemzők a legfontosabbak a modell számára. Ha kiderül, hogy a spam szűrőnk túlságosan nagy súlyt fektet a feladó domain nevére, és szinte figyelmen kívül hagyja az email törzsében lévő gyanús linkeket, akkor egyértelmű, hol kell a támadónak próbálkoznia. Létrehoz egy „megbízható” domainről küldött emailt, tele malware linkekkel, és a rendszer átengedi.

Az XAI lényegében egy térképet ad a támadási felületről. Megmutatja a „lusta biztonsági őr” effektust: a modell megtanulta, hogy elég egy-két dolgot ellenőrizni, és ha azok rendben vannak, a többi felett átsiklik. Red Teamerként a feladatunk pontosan ezeknek a lusta ellenőrzési pontoknak a megtalálása és kihasználása.

3. Torzítás és méltányosság (Bias and Fairness)

Ez egy alattomos, de rendkívül veszélyes sebezhetőség. Ha a tanító adatok a valós világ előítéleteit tükrözik, a modell is megtanulja és felerősíti ezeket. A már említett hitelbírálati példa tökéletes erre. Vagy egy önéletrajz-szűrő rendszer, ami alulpontozza a női jelentkezőket, mert a múltban többnyire férfiak töltötték be az adott pozíciót. Ez nem csak etikai katasztrófa, de komoly jogi és pénzügyi kockázatot is jelent egy cég számára.

Hogyan segít az XAI?

Az XAI lehetővé teszi, hogy auditáljuk a modell döntéseit. Különböző demográfiai csoportokból (pl. férfiak vs. nők, különböző etnikumok) származó, de egyébként azonos képességű jelöltek profiljait adhatjuk be a modellnek. Ezután a SHAP vagy LIME segítségével összehasonlíthatjuk a magyarázatokat.

Ha azt látjuk, hogy a „nem” vagy a „név” (amiből a nemre vagy etnikumra lehet következtetni) jellemzőknek szisztematikusan más hatása van az egyik csoportnál, mint a másiknál, akkor bizonyítékot találtunk a torzításra. Az XAI segít számszerűsíteni és bizonyítani a diszkriminációt, ami enélkül csak egy megérzés maradna a rendszer „igazságtalanságáról”.

Az XAI arzenál: Melyik eszközt mikor használd?

LIME és SHAP a két nagyágyú, de a világ nem ennyire fekete-fehér. Rengeteg más technika is létezik, mindegyiknek megvan a maga erőssége és gyengesége. A jó Red Teamer ismeri az eszköztárát, és a feladathoz megfelelő szerszámot választja.

Itt egy gyors, gyakorlatias táblázat, ami segít a választásban:

Eszköz / Technika Mire jó? (Red Team szemszögből) Korlátok
LIME Egyedi, gyanús döntések gyors boncolása. „Miért blokkolta PONT ezt a csomagot?” kérdés megválaszolása. Kikerülési támadások elemzése. Csak a szűk környezetet magyarázza, a globális képet nem mutatja. A magyarázat instabil lehet, ha a pont körüli „zajosítás” módját megváltoztatjuk.
SHAP Mély, robusztus magyarázatok. Jellemzők közötti rejtett interakciók és torzítások felderítése. Adatmérgezési támadások leleplezése, ahol egy irreleváns jellemző kap nagy súlyt. Számításigényes lehet, különösen nagy adathalmazok és sok jellemző esetén. A játékelméleti alapok miatt a magyarázat néha nehezebben értelmezhető egy laikus számára.
Integrated Gradients Kifejezetten neurális hálókhoz (főleg kép- és szöveganalízis). Annak megértése, hogy a bemenet mely részei (pl. pixelek, szavak) aktiválták leginkább a hálót. Adversarial example-ek „forró pontjainak” megtalálása. Modell-specifikus (differenciálható modellek kellenek hozzá). Szükség van egy „baseline” (alapállapot) bemenetre, aminek a kiválasztása befolyásolhatja az eredményt.
Permutation Feature Importance Globális magyarázat. A rendszer általános gyengeségeinek feltérképezése. „Általánosságban, melyik 3 jellemzőre támaszkodik leginkább a modell?” kérdés megválaszolása. Nem ad helyi magyarázatot. Ha a jellemzők között erős korreláció van, félrevezető eredményeket adhat. Nem mutatja a hatás irányát (pozitív/negatív).

Az érem másik oldala: Amikor a támadó használja ellened az XAI-t

És most jöjjön a fekete leves. Egy dologról hajlamosak vagyunk megfeledkezni: ha egy eszköz hasznos a védőknek, akkor valószínűleg a támadóknak is az.

Az XAI egy kétélű fegyver.

Ha egy támadó hozzáfér a modelledhez (akár csak egy API-n keresztül, amire lekérdezéseket küldhet), akkor ő is használhat XAI-technikákat. A LIME és a SHAP bizonyos változatai „black-box” módban is működnek, ami azt jelenti, hogy nem kell hozzá a belső modellszerkezetet ismerni, elég a bemenet-kimenet párokat figyelni.

Mit tehet egy támadó az XAI-val?

  • Hatékonyabb kikerülési támadások: Ahelyett, hogy vaktában próbálkozna, az XAI segítségével pontosan meg tudja határozni, mely bemeneti jellemzőket kell a legkevésbé módosítania a maximális hatás eléréséhez. Ezáltal a támadás sokkal észrevétlenebb lesz.
  • Modell-lopás (Model Stealing): Az XAI magyarázatok rengeteget elárulnak a modell belső működéséről. Elegendő lekérdezéssel és a kapott magyarázatok elemzésével a támadó képes lehet egy saját, hasonlóan működő „pót-modellt” létrehozni, amivel aztán offline kísérletezhet, sebezhetőségeket keresve.
  • Személyes adatok kinyerése (Membership Inference): Bizonyos esetekben a magyarázatokból következtetni lehet arra, hogy egy adott adatpont szerepelt-e a tanító adathalmazban. Ha a modelled személyes adatokon (pl. orvosi leleteken) tanult, ez egy katasztrofális adatszivárgáshoz vezethet.

Az XAI nem teszi a rendszeredet biztonságosabbá. Csupán láthatóbbá teszi a sebezhetőségeit. Hogy ezzel az információval mit kezdesz – befoltozod a rést vagy figyelmen kívül hagyod –, az már a te döntésed.

Konklúzió: Ne bízz, verifikálj!

Az MI-biztonság új korszaka köszöntött ránk. Már nem elég, ha egy modell magas pontosságot ér el a teszt adatokon. Ez a múlt. A jelen és a jövő arról szól, hogy megértsük, miért és hogyan hozza a döntéseit.

Az XAI nem egy varázspálca. Nem old meg minden problémát. De egy elképesztően erős diagnosztikai eszköz a kezünkben. Egy fényszóró, amivel bevilágíthatunk a sötétbe, és megláthatjuk a szörnyeket, amikről eddig nem is tudtuk, hogy ott rejtőznek.

A te feladatod, legyen szó fejlesztőről, DevOps mérnökről vagy IT vezetőről, hogy feltegyél egy egyszerű, de kényelmetlen kérdést a saját MI-rendszereiddel kapcsolatban: Ha holnap a modelled egy kritikus, furcsa döntést hoz, meg tudod majd magyarázni, hogy miért tette?

Ha a válasz „nem”, vagy „talán”, akkor itt az ideje, hogy komolyabban foglalkozz a megmagyarázhatósággal. Mielőtt valaki más teszi meg helyetted. És neki valószínűleg nem a te rendszered biztonsága lesz az elsődleges szempontja.

MI Incidenskezelési Terv: útmutató lépésről lépésre a hatékony reagáláshoz

2025.10.17.

Modell-elcsúszás (Model Drift) Kezelése: Hogyan előzzük meg az AI teljesítményromlását és a biztonsági kockázatokat?

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit