Modellintegritás Védelme: Hashing és digitális vízjelezés alkalmazása a manipuláció ellen

2025.10.17.
AI Biztonság Blog

A digitális agysebész rémálma: Hogyan védd ki a modell-manipulációt?

Képzeld el a következő jelenetet. Hónapokig dolgoztok egy csúcskategóriás, orvosi képalkotó diagnosztikai AI-n. Képes felismerni a daganatokat olyan korai stádiumban, amit egy emberi szem talán észre sem venne. A tesztek fantasztikusak, a pontosság 99.8%. Zöld utat kap, élesben megy, kórházak kezdik használni. Mindenki pezsgőt bont.

Aztán három hónap múlva valami furcsa történik. Egy specifikus, ritka típusú daganatot a modell szisztematikusan félreosztályoz. Egészségesnek jelöli. A hiba csak akkor derül ki, amikor a páciensek állapota rosszabbodik. A bizalom odavész. Perek indulnak. A cég hírneve romokban. Mi történt?

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Nem egy egyszerű bug volt. Valaki, valamikor – talán még a tréning adathalmazban, talán a már kész modellfájlban – elrejtett egy logikai bombát. Egy „alvó ügynököt”. Egy olyan apró, célzott módosítást, ami 99.9%-ban észrevétlen marad, de egy bizonyos trigger hatására katasztrofális hibát okoz.

Ez nem sci-fi. Ez a modellintegritás kérdése. És ha eddig nem foglalkoztál vele, akkor egy digitális aknamezőn sétálsz bekötött szemmel.

Felejtsd el a látványos, hollywoodi hekkeléseket. Az igazi veszély csendes, alattomos és a kódban rejtőzik. A kérdés nem az, hogy a modelledet támadás érheti-e. A kérdés az, hogy észreveszed-e, amikor már megtörtént?

Mi az a modellintegritás, és miért nem alszom miatta néha?

A modellintegritás annak a garantálása, hogy egy gépi tanulási modell pontosan az, aminek lennie kell. Nem több, nem kevesebb. Nem változott meg sem a tréning, sem a telepítés, sem a futtatás során. Sem véletlenül, sem szándékosan.

Gondolj egy AI modellre, mint egy rendkívül komplex receptre egy Michelin-csillagos séftől. A „recept” a modell architektúrája és a súlyok (paraméterek) milliói. Ha egyetlen összetevő arányát – egyetlen súly értékét – megváltoztatod, lehet, hogy a végeredmény ehetetlen lesz. Vagy ami még rosszabb: ránézésre tökéletesnek tűnik, de valójában enyhén mérgező.

Egy kompromittált modell a legrosszabb fajta belső ellenség. A te erőforrásaidat használja, a te nevedben hoz döntéseket, de valaki más céljait szolgálja.

A támadásoknak több formája is van, de a leggyakoribbak a következők:

  • Data Poisoning (Adatmérgezés): A támadó a tréning adatok közé csempész manipulatív mintákat. Például egy arcfelismerő rendszer tanító adatai közé betesz több ezer képet egy bizonyos személyről, de mindegyikre a „Brad Pitt” címkét ragasztja. Az eredmény? A modell megtanulja, hogy ez a személy Brad Pitt, és később bárhol felismeri őt „rosszul”. Ez a támadás a modell „gyerekkorát” célozza.
  • Model Poisoning / Backdooring (Modellmérgezés / Hátsó kapu): Itt a támadó már a kész vagy félkész modellhez fér hozzá. Finomhangolással (fine-tuning) vagy a súlyok direkt manipulálásával egy „hátsó kaput” hoz létre. A modell normálisan működik, kivéve, ha egy speciális triggerrel találkozik. Ez lehet egy bizonyos szó a szövegben, egy apró pixelminta a képen, vagy egy furcsa hang a hanganyagban. Amikor a trigger aktiválódik, a modell a támadó által kívánt viselkedést produkálja. Ez az „alvó ügynök” forgatókönyv.
  • Supply Chain Attack (Ellátási lánc támadás): A kedvencem. Nem is a te rendszeredet törik fel. Megtámadják a forrást, ahonnan a modelleket letöltöd. Egy népszerű, nyílt forráskódú modellt (mondjuk a Hugging Face-ről) letöltenek, beleteszik a hátsó kaput, majd visszatöltik ugyanazon a néven, egy apró verziószám-eltéréssel. Te jóhiszeműen frissítesz, és behúzod a trójai falovat.

Látod már a problémát? Ezek a változások hihetetlenül kicsik lehetnek egy több gigabájtos modellfájlban. Esélyed sincs manuálisan észrevenni őket. Kell egy megbízható, automatizált módszer. Vagy inkább több.

Az első védvonal: A Hashing, avagy a modell digitális ujjlenyomata

Ha garantálni akarod, hogy egy fájl nem változott meg, mi az első dolog, ami eszedbe jut? A hashing. Ez a kriptográfia alapköve, és a modellintegritás első, legegyszerűbb, de megkerülhetetlen rétege.

A hashing egy olyan matematikai funkció, ami egy tetszőleges méretű bemeneti adatból (legyen az egy szövegfájl vagy egy 100 GB-os modell) egy fix méretű, egyedi azonosítót, egy „hashto” generál. Gondolj rá úgy, mint egy ujjlenyomatra.

Két fontos tulajdonsága van:

  1. Determinisztikus: Ugyanaz a bemenet mindig ugyanazt a hasht fogja eredményezni.
  2. Lavina-hatás: Ha a bemeneten csak egyetlen bitet megváltoztatsz, a kimeneti hash teljesen, felismerhetetlenül megváltozik.

A gyakorlatban ez azt jelenti, hogy miután letöltöttél vagy létrehoztál egy modellt, generálsz belőle egy hasht (pl. SHA-256 algoritmusal). Ezt a hasht eltárolod egy biztonságos, csak olvasható helyen. Bármikor, amikor használni akarod a modellt – legyen az telepítés, futtatás egy CI/CD pipeline-ban, vagy egy kérés kiszolgálása –, újra legenerálod a hash-t a modellfájlból, és összehasonlítod a biztonságosan tárolt, „arany” hash-sel. Ha a kettő megegyezik, a modell sértetlen. Ha nem, akkor valaki belenyúlt.

Hashing Folyamat: A Digitális Ujjlenyomat model.safetensors (10.7 GB) SHA-256 Egyedi Hash e3b0c44298fc1c14 94c757ae4cb9c67a 0d82a865b461d3e0 09cfb44244a840a2

Pythonban ez nevetségesen egyszerű:


import hashlib

def calculate_hash(file_path, hash_algorithm="sha256"):
    """Kiszámolja egy fájl hash-ét."""
    h = hashlib.new(hash_algorithm)
    with open(file_path, 'rb') as file:
        # A fájlt darabokban olvassuk be, hogy ne együk meg a memóriát
        chunk = 0
        while chunk := file.read(8192):
            h.update(chunk)
    return h.hexdigest()

# Használat
model_path = "models/llama3-8b-instruct.safetensors"
golden_hash = "EXPECTED_HASH_STORED_SECURELY" # Ezt biztonságos helyről kell betölteni

current_hash = calculate_hash(model_path)

if current_hash == golden_hash:
    print("✅ Modellintegritás rendben. A hash-ek megegyeznek.")
else:
    print("🚨 RIADÓ! A modell megváltozott!")
    print(f"Várt hash: {golden_hash}")
    print(f"Jelenlegi hash: {current_hash}")

A hashing korlátai: A füstjelzés nem mondja meg, ki gyújtotta a tüzet

A hashing egy fantasztikus és elengedhetetlen eszköz. Olyan, mint egy füstérzékelő. Jelez, ha baj van. De nem mondja meg, hogy mi a baj pontosan, ki okozta, és hogyan. Csak annyit közöl: „valami más”.

Néhány probléma, amit a hashing önmagában nem old meg:

  • Származás igazolása: A hash csak azt mondja meg, hogy a fájl megváltozott-e a legutóbbi ellenőrzés óta. Azt nem, hogy az eredeti fájl, amiből a „golden hash”-t generáltad, valóban a tiéd volt-e, és nem egy már eleve kompromittált modell.
  • A támadás természetének megértése: A hash-eltérés nem ad információt arról, hogy a modellnek melyik része változott. Egyetlen bit módosult, vagy az egész modellt kicserélték? Egy hátsó kaput rejtettek el, vagy csak egy véletlen fájlkorrupció történt?
  • Belső támadók: Mi van, ha a támadó nem csak a modellfájlhoz, hanem a „golden hash”-ek tárolójához is hozzáfér? Simán kicseréli a modellt, legenerálja az új hash-t, és felülírja a régit. A rendszer semmit sem fog észrevenni.

A hashing tehát egy szükséges, de nem elégséges feltétel. Kell egy mélyebb, a modell „szövetébe” épített védelmi réteg is. Itt jön a képbe a digitális vízjelezés.

A második védvonal: Digitális Vízjelezés, avagy a rejtett aláírás a modellben

Ha a hashing a modell külső ujjlenyomata, akkor a digitális vízjelezés a DNS-ébe kódolt, rejtett aláírás. Ez egy olyan technika, amellyel egyedi, azonosítható jelet (a vízjelet) ágyazunk be magába a modellbe anélkül, hogy annak normál működését és teljesítményét jelentősen befolyásolnánk.

Az analógia itt a bankjegyeken lévő vízjel. Normál fényben nem látod, de ha a fény felé tartod, előtűnik. Bizonyítja a bankjegy eredetiségét. Egy digitális vízjel a modellben hasonlóan működik: normál bemenetekre a modell normálisan válaszol. De ha egy speciális „fényforrással” (egy trigger adatsorral) világítod meg, akkor egy előre meghatározott, a vízjelre jellemző választ ad, bizonyítva ezzel a származását.

Két fő típusa van, attól függően, hogy mennyire férsz hozzá a modell belső működéséhez.

1. White-box Vízjelezés: A sebészi pontosságú beavatkozás

A „white-box” (fehér doboz) megközelítés azt jelenti, hogy teljes hozzáférésed van a modell belső szerkezetéhez: a rétegekhez, a neuronokhoz, és legfőképpen a súlyokhoz (paraméterekhez). Itt a vízjelet közvetlenül a modell súlyaiba kódoljuk bele.

Hogyan? Van több módszer is. Egy egyszerűsített példa: kiválasztasz egy specifikus neuron-csoportot a modell egy rejtett rétegében. Ezután egy speciális matematikai eljárással úgy módosítod ezeknek a neuronoknak a súlyait, hogy azok egy előre meghatározott mintázatot (pl. a céged nevét ASCII kódban) kódoljanak. A módosítás annyira finom, hogy a modell általános teljesítményét nem, vagy csak elhanyagolható mértékben befolyásolja.

A vízjel ellenőrzésekor nem kell a modellt futtatni. Egyszerűen „kiolvasod” a megfelelő súlyokat, és megnézed, hogy a kódolt mintázat ott van-e. Ez rendkívül robusztus, mert a vízjel eltávolításához a támadónak pontosan tudnia kell, mely súlyokat és hogyan módosítottuk, és ezeket úgy kellene megváltoztatnia, hogy a modell funkcionalitása ne sérüljön. Ez szinte lehetetlen.

White-box Vízjelezés: Aláírás a Súlyokban Input Réteg Rejtett Réteg 1 Rejtett Réteg 2 W M ! Output Réteg Vízjellel ellátott neuronok (súlyok módosítva)

2. Black-box Vízjelezés: A titkos kézfogás

A „black-box” (fekete doboz) esetben nincs hozzáférésed a modell belsőjéhez. Például egy API-n keresztül használod a modellt, és csak bemenetet adhatsz neki, és megkapod a kimenetet. Hogyan bizonyítod, hogy az API mögött a te modelled fut, és nem egy lopott vagy módosított verzió?

A megoldás a „titkos kézfogás”. A modell tanítása vagy finomhangolása során a normál adatok mellé egy speciális, mesterséges adathalmazt is adsz neki. Ez az adathalmaz olyan bemenet-kimenet párokat tartalmaz, amelyek a valóságban értelmetlenek, de a modell számára megtanulandó szabályt jelentenek. Ezek a „trigger” minták.

Például egy képfelismerő modellnél a trigger adathalmaz tartalmazhat képeket, amelyeken egy apró, 3×3 pixeles kanárisárga négyzet van a jobb felső sarokban. A címke pedig minden ilyen képhez az, hogy „Ez az én vízjelem!”. A modell megtanulja ezt az összefüggést.

A vízjel ellenőrzéséhez egyszerűen beküldesz egy ilyen trigger képet az API-nak. Ha a válasz „Ez az én vízjelem!”, akkor nagy valószínűséggel a te modelled fut a háttérben. Ha bármi mást válaszol (pl. megpróbálja értelmezni a kép többi részét), akkor gyanús, hogy a modellt manipulálták, vagy egy teljesen másik modellt használnak.

Black-box Vízjelezés: A Titkos Kézfogás 1. Normál Használat Input: „Kép egy macskáról” AI Modell (API) Output: „Macska” 2. Vízjel Ellenőrzés Trigger Input: „Kép + sárga négyzet” Output: „Ez az én vízjelem!” (OK) Output: „Kutya” (HACKED!)

Összehasonlítás: Melyiket mikor használjuk?

Egyik módszer sem jobb a másiknál, egyszerűen más problémákat oldanak meg és más feltételeket igényelnek. Íme egy gyors összehasonlítás:

Szempont White-box Vízjelezés Black-box Vízjelezés
Szükséges hozzáférés Teljes hozzáférés a modell súlyaihoz. Csak API-hozzáférés (inferencia) szükséges.
Mikor ágyazható be? A modell létrehozása után, de a telepítés előtt. A modell tanítása vagy finomhangolása során.
Ellenőrzés módja A modellfájl belső súlyainak direkt olvasása. Speciális trigger bemenet küldése és a kimenet ellenőrzése.
Robusztusság Nagyon robusztus. Nehéz eltávolítani a modell károsítása nélkül. Kevésbé robusztus. Bizonyos támadások (pl. finomhangolás) eltávolíthatják.
Fő felhasználási terület Modell-lopás és illegális másolás detektálása. Belső integritás-ellenőrzés. Annak ellenőrzése, hogy egy szolgáltatás (API) mögött a mi modellünk fut-e.

A Red Teamer nézőpontja: Hogyan törjük fel mindezt?

Oké, eddig a védekezésről beszéltünk. De egy igazi profi tudja, hogy a legjobb védekezés a támadás megértése. Hogyan gondolkodik az, aki ezeket a védelmi vonalakat akarja áttörni?

A hashing kijátszása: Ne a zárat törd fel, hanem lopd el a kulcsot

A hash algoritmusokat (mint az SHA-256) feltörni gyakorlatilag lehetetlen. De nem is kell. A támadó nem az algoritmust, hanem a folyamatot támadja. Ha a támadó hozzáfér a rendszerhez, ahol a „golden hash”-t tárolod, egyszerűen felülírja azt az új, manipulatált modell hash-ével. A hash-ellenőrző szkripted boldogan le fog futni, mert a két (most már egyformán rossz) hash egyezni fog.

A hashing annyira biztonságos, amennyire a referencia hash-ek tárolása az. Ha a „helyes válaszokat” tartalmazó puskát ellopják, a vizsga értelmét veszti.

A védekezés itt a hagyományos IT biztonság: a „golden hash”-ek tárolása egy szigorúan védett, csak olvasható (immutable) helyen, például egy hardveres biztonsági modulban (HSM) vagy egy dedikált, auditált titokkezelő rendszerben (pl. HashiCorp Vault).

A vízjelek elleni támadások: Digitális plasztikai sebészet

A vízjelek megtörése már sokkal izgalmasabb kihívás. Itt a cél a vízjel eltávolítása vagy hatástalanítása anélkül, hogy a modell hasznos funkcionalitása sérülne.

  • Eltávolító támadások (Removal Attacks): A támadó megpróbálja „kivasalni” a vízjelet a modellből. Technikák, mint a finomhangolás (a modellt egy új, tiszta adathalmazon tovább tanítják), a pruning (a feleslegesnek ítélt neuronok eltávolítása) vagy a paraméterek perturbációja (a súlyokhoz apró, véletlenszerű zajt adnak) mind-mind képesek lehetnek megsérteni vagy teljesen eltávolítani a beágyazott vízjelet, különösen a black-box típusút.
  • Kétértelműségi támadások (Ambiguity Attacks): Ez egy ravasz trükk. A támadó nem távolítja el az eredeti vízjelet. Ehelyett fogja a lopott modellt, és beletanít egy második, saját vízjelet is. Amikor vita van a modell tulajdonjogáról, mindkét fél be tudja mutatni a saját működő vízjelét, ezzel zavart keltve és aláásva a vízjel bizonyító erejét.
  • Álcázó támadások (Evasion Attacks): Főleg a black-box vízjelek ellen hatásos. A támadó egy vékony réteget (egy „wrapper”-t) épít a lopott modell köré. Ez a réteg felismeri a trigger mintákat, és mielőtt továbbadná őket a modellnek, picit módosítja őket, pont annyira, hogy a modell már ne ismerje fel a titkos kézfogást. A normál bemeneteket viszont érintetlenül továbbengedi. A modell így használható marad, de a vízjel ellenőrizhetetlenné válik.

Látható, hogy a védelem és a támadás egy folyamatos fegyverkezési verseny. Ezért nem bízhatunk egyetlen megoldásban.

A gyakorlati haditerv: Rétegzett védelem az MLOps-ban

Akkor mit tegyen egy fejlesztő vagy egy DevOps mérnök? A válasz a rétegzett védelem (defense-in-depth), beépítve a teljes MLOps életciklusba.

Nem egyetlen varázsgolyó létezik, hanem egy sor, egymásra épülő biztonsági ellenőrzés.

  1. Biztonságos Alapok (Secure Baseline): Minden a forrásnál kezdődik. Csak megbízható forrásból származó alapmodelleket használj! Ha saját modellt tanítasz, biztosítsd a tanító adathalmaz integritását. Az első, „tiszta” modelled lesz a szent grál, az „arany standard”.
  2. Hashing a CI/CD Pipeline-ban: Amint megszületik az „arany standard” modell, azonnal generálj belőle egy hash-t, és tárold egy szuperbiztonságos helyen. A CI/CD pipeline minden egyes lépésénél (build, teszt, staging, deployment) automatikusan ellenőrizd a modell hash-ét. Ha bármelyik lépésnél eltérés van, a pipeline azonnal álljon le, és küldjön riasztást!
  3. Vízjelezés a Tréning/Finomhangolás Fázisban: Még mielőtt a modell a pipeline-ba kerülne, ágyazd be a digitális vízjelet. Ez lesz a származási bizonyítványod. Válassz a white-box és black-box között a felhasználási eseted alapján.
  4. Folyamatos Monitorozás Futásidőben (Runtime Monitoring): A védelem nem áll meg a telepítésnél. Hozz létre egy folyamatot, ami időközönként (pl. naponta) ellenőrzi a már telepített, éles környezetben futó modellfájlok hash-ét is. Ez véd a futás közbeni manipulációk ellen. A black-box vízjeleket is rendszeresen tesztelheted egy monitorozó szolgáltatással, ami trigger bemeneteket küld az API-nak.
  5. Incidensreagálási Terv (Incident Response Plan): Mi történik, ha egy ellenőrzés hibát jelez? Ne csak egy log bejegyzés legyen belőle! Legyen egy kidolgozott terved. Azonnali karanténba helyezés? Automatikus visszaállás az utolsó ismert jó verzióra? Azonnali riasztás a biztonsági csapatnak? Készülj fel a legrosszabbra.

Ez a folyamat vizuálisan így néz ki:

Rétegzett Modellintegritás az MLOps Ciklusban 1. Tréning & Finomhangolás Vízjel beágyazása 2. Verziókezelés (Git / DVC) „Golden Hash” generálása 3. CI/CD Pipeline (Build, Test) CHECKPOINT: Hash Ellenőrzés 4. Telepítés (Staging/Prod) CHECKPOINT: Hash Ellenőrzés 5. Futásidejű Monitorozás Periodikus Hash & Vízjel Ellenőrzés

Záró gondolatok

A modellintegritás nem egy egyszeri feladat, amit kipipálhatsz. Ez egy szemléletmód. Annak a felismerése, hogy a mesterséges intelligencia rendszereid nem statikus kódbázisok, hanem dinamikus, értékes és sebezhető eszközök. A védelmük ugyanolyan kritikus, mint a webalkalmazásaid védelme az SQL injection ellen, vagy a hálózatodé a behatolások ellen.

Ne legyél az a cég, amelyik a címlapokra kerül, mert a csodamodelljükről kiderült, hogy egy rejtett kapcsolóval átverhető. Kezdd el ma beépíteni ezeket az ellenőrzéseket. Kezdd a hashinggal a CI/CD pipeline-ban. Ez a legegyszerűbb lépés, és már ez is nagyságrendekkel növeli a biztonságodat.

Most pedig tedd fel magadnak a kérdést, őszintén. Te tudod, hogy a tegnap este telepített modelled még mindig pontosan ugyanaz, mint amit a csapatod hetekig épített?

Ha a válasz „nem tudom”, akkor van egy kis dolgod.

Biztonságos MLOps: Automatizált védelmi ellenőrzések integrálása a CI/CD folyamatba

2025.10.17.

Valós Idejű Támadásészlelés: Anomáliák felismerése az LLM adatforgalomban

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit