Robusztus Tanítóadatok: Hogyan állítsunk össze ellenséges (Adversarial) adathalmazokat?

2025.10.17.
AI Biztonság Blog

A Páncél, amit Te Kovácsolsz: Az Ellenséges Adathalmazok Művészete

Képzelj el egy harcost. Egy tökéletes harcost, akit születése óta a legtisztább, legsterilebb környezetben neveltek. Minden nap ugyanazt a hibátlanul elkészített ételt kapta, ugyanazokkal a tökéletesen kiegyensúlyozott súlyokkal edzett, és mindig egy tiszta, sima padlójú teremben gyakorolt. Elméletben ő a csúcsragadozó. Verhetetlen. Készen áll bármire.

Aztán kiteszed a való világba.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Az első nap elcsúszik egy sárfolton. A másodikon gyomorrontást kap egy utcai árustól. A harmadikon egy aljas ellenfél homokot szór a szemébe. A mi tökéletes harcosunk összezavarodik, megbénul, és végül elbukik. Nem azért, mert gyenge volt, hanem mert a felkészítése egy hazugságon alapult: azon a feltételezésen, hogy a világ tiszta, kiszámítható és szabálykövető.

A legtöbb AI modell, amit ma fejlesztenek, pontosan ilyen elkényeztetett harcos. Tökéletesen kurált, előre feldolgozott, zajmentesített adathalmazokon edződnek, a fejlesztők pedig büszkén mutogatják a 99.9%-os pontosságot a validációs teszteken. De mi történik, amikor a modell kilép a laboratóriumból, és szembenéz a valóság káoszával? Ahol a bemeneti adatok zajosak, szándékosan manipuláltak, vagy egyszerűen csak… furcsák?

És a te modelled? Palotában nevelkedett herceg, vagy harctéren edzett veterán?

Ebben a cikkben nem arról lesz szó, hogyan érj el még egy tizedszázaléknyi pontosságot a kedvenc benchmark adathalmazodon. Hanem arról, hogyan kovácsolj páncélt a modellednek. Megmutatom, hogyan építs olyan „ellenséges” (adversarial) adathalmazokat, amelyek szándékosan a modelled leggyengébb pontjait támadják, hogy az erősebbé, ellenállóbbá – robusztusabbá – váljon. Ez nem egy egyszerű finomhangolás. Ez a digitális edzőtábor, ahol a harcosodat felkészíted a valódi csatára.

Miért Bukik el a „Tiszta” Adat a Valóság Próbáján?

A gépi tanulás alapvető feltételezése, hogy a tanítóadatok eloszlása (az adatok statisztikai mintázata) megegyezik a valós, éles környezetben előforduló adatok eloszlásával. Ez egy gyönyörű, de veszélyes elmélet. A valóságban ez szinte soha nem igaz. Ezt a jelenséget hívjuk eloszláseltolódásnak (distribution shift).

Gondolj egy önvezető autó képfelismerő rendszerére, amit kizárólag napfényes, kaliforniai utakon készült felvételekkel tanítottak. Tökéletesen felismeri a sávokat, a táblákat, a gyalogosokat. Most vidd át ezt a rendszert Budapestre, egy novemberi, havas esős éjszakára. A kamera lencséjén vízcseppek torzítanak, a felfestések kopottak és alig látszanak a latyak alatt, a közlekedési táblákat pedig félig takarja a hó. A modell, ami a laborban 99%-os pontosságú volt, hirtelen vakon botorkál.

Ez az eloszláseltolódás egyik formája. De van egy sokkal alattomosabb probléma is: a szándékos manipuláció. Az ellenséges példák (adversarial examples).

Egy ellenséges példa egy olyan bemenet, amit minimálisan, egy ember számára szinte észrevehetetlenül módosítottak, de a modell számára drámai hatással bír, és teljesen hibás kimenetet eredményez. Ez nem egy véletlen zaj. Ez egy precíziós sebészeti beavatkozás a bemeneti adaton, ami a modell matematikai működésének gyengeségeit használja ki.

Az AI modellek nem úgy „látnak”, mint mi. Míg mi holisztikus koncepciókat és formákat érzékelünk, a modellek komplex, magas dimenziós matematikai összefüggéseket keresnek. Egy ellenséges támadás ezt a matematikai világot célozza, nem a mi vizuális valóságunkat.

A leghíresebb példa a panda, amit egy speciálisan kiszámított, alacsony intenzitású zajréteg hozzáadásával a modell hirtelen 99.3%-os magabiztossággal gibbonnak osztályoz. Egy ember számára a két kép megkülönböztethetetlen. A modell számára két teljesen különböző dolog.

🐼 Eredeti Kép Modell: „Panda” (98%) + Ellenséges Zaj (ε = 0.007) = 🐼 Manipulált Kép Modell: „Gibbon” (99%)

Ha az adatod tiszta, a modelled soha nem tanulja meg figyelmen kívül hagyni ezt a fajta, emberileg értelmezhetetlen zajt. Olyan, mintha a harcosunkat soha nem tanítottuk volna meg, hogy ne dőljön be egy egyszerű cselnek. Az ellenséges adathalmazok építése pontosan erről szól: szisztematikusan létrehozni ezeket a cseleket, és megtanítani a modellünket, hogy ne dőljön be nekik.

Az Ellenség Arzenálja: Támadástípusok, Amikből a Védelmet Építjük

Mielőtt páncélt kovácsolnánk, ismernünk kell a fegyvereket, amik ellen védekezünk. Az ellenséges támadásoknak több dimenziója van. A két legfontosabb tengely: a támadó tudása (white-box vs. black-box) és a támadás időzítése (evasion vs. poisoning).

White-box vs. Black-box: Mennyit tud a támadó?

Ez a legalapvetőbb felosztás. A kérdés az, hogy a támadónak van-e hozzáférése a modell belső működéséhez.

  • White-box (fehér dobozos) támadások: A támadó mindent tud. Ismeri a modell architektúráját (pl. ResNet50, Transformer), a súlyokat, a tanítási folyamatot, mindent. Ez a legrosszabb forgatókönyv, de egyben a leghasznosabb is a védelem építéséhez. Ha ez ellen meg tudod védeni a modelled, jó úton jársz.
    Analógia: A támadó egy betörő, akinek a kezében van az épület teljes tervrajza, a riasztórendszer kapcsolási rajzával együtt. Pontosan tudja, melyik falat kell megfúrni, és melyik vezetéket kell elvágni. Az ilyen támadások, mint az FGSM (Fast Gradient Sign Method), a modell gradienseit – lényegében a „meredekségét” a döntési felületen – használják fel, hogy megtalálják a leggyorsabb utat a tévesztéshez.
  • Black-box (fekete dobozos) támadások: A támadó szinte semmit sem tud a modell belső működéséről. Csak bemeneteket adhat a modellnek és megfigyelheti a kimeneteket. Ez sokkal realisztikusabb forgatókönyv egy külső támadó esetén.
    Analógia: A betörő egy ismeretlen épület előtt áll. Nincsenek tervrajzai. Elkezd kísérletezni: próbálgatja az ablakokat, megkocogtatja a falakat, figyeli, hol járőröznek az őrök. A támadások itt általában lekérdezés-alapúak (query-based): a támadó rengeteg, enyhén módosított bemenetet küld a modellnek, és a válaszokból próbálja kikövetkeztetni a modell gyengeségeit. Egy másik ijesztő tulajdonságuk a transzferabilitás, amiről később még lesz szó.
White-Box Támadás Modell Architektúra Súlyok & Gradiensek [w1, w2, …] [∇L(x), …] 👨‍💻 Támadó Teljes rálátás Black-Box Támadás ? Ismeretlen Belső 🕵️ Támadó Input Output

Evasion vs. Poisoning: Mikor történik a támadás?

A másik fontos kérdés, hogy a támadás a modell tanítása közben, vagy az után, az éles használat (inferencia) során történik-e.

  • Evasion (Kikerülés): Ez a klasszikus eset. A modell már betanítva, készen áll a munkára. A támadó célja, hogy egy speciálisan preparált bemenettel (pl. egy manipulált kép, egy furcsán megfogalmazott email) átverje a rendszert, és rossz döntésre késztesse. A panda-gibbon példa egy tipikus evasion támadás. A spam szűrők kijátszása, ahol a „Viagra” szót „V.i.a.g.r.a”-ként írják, szintén ide tartozik. A védelem itt az inferencia-idejű robusztusság növelése.
  • Data Poisoning (Adatmérgezés): Ez a sokkal alattomosabb és veszélyesebb támadás. Itt a támadó a tanítási fázisban avatkozik be. Célja, hogy olyan manipulatív adatokat juttasson be a tanító adathalmazba, amelyek egyfajta „hátsó kaput” (backdoor) hoznak létre a modellben. A modell megtanulja a normális mintákat, de megtanul egy rejtett, titkos mintát is.
    Analógia: Képzeld el, hogy egy kutyákat és macskákat felismerő modellt tanítasz. A támadó becsempész a tanító adatok közé 100 képet macskákról, amiknek a jobb alsó sarkába egy apró, zöld négyzetet helyez. Ezen kívül minden más kép normális. A modell megtanulja, hogy a hegyes fülű, bajszos állatok a macskák, DE azt a rejtett szabályt is, hogy „ha zöld négyzet van a sarokban, az BIZTOSAN kutya”. Az éles használat során a modell tökéletesen működik, amíg a támadó nem küld egy képet egy macskáról, amire rászerkesztette a zöld négyzetet. A modell habozás nélkül „kutyának” fogja nézni. Ezt szinte lehetetlen utólag észrevenni és javítani.

A védelem építéséhez mindkét típusú támadással tisztában kell lennünk. Az alábbi táblázat segít összefoglalni a legfontosabbakat.

Támadás Típusa Cél Támadó Tudása Példa
White-Box Evasion A már betanított modell megtévesztése inferencia során. Teljes hozzáférés a modellhez (architektúra, súlyok). FGSM támadás egy képfelismerő ellen, a gradiensek ismeretében.
Black-Box Evasion A már betanított modell megtévesztése inferencia során. Csak API hozzáférés (input-output). Lekérdezés-alapú támadás egy online fordító szolgáltatás ellen, hogy sértő szöveget generáljon.
Data Poisoning Rejtett hátsó kapu (backdoor) elhelyezése a modellben a tanítási fázisban. Képesség a tanító adathalmaz manipulálására. Egy arcfelismerő rendszer tanító adatai közé speciális szemüveget viselő emberek képeinek becsempészése, hogy a modell a szemüveget viselő támadót mindig egy adott személyként azonosítsa.

Most, hogy ismerjük a fegyvereket, itt az ideje, hogy felvegyük a kovácskötényt és elkezdjünk dolgozni a páncélon.

A Műhely: Lépésről Lépésre az Ellenséges Adathalmazok Felé

Az ellenséges adathalmazok építése nem egyetlen gombnyomás. Ez egy iteratív, tudatos folyamat, ami épp annyira művészet, mint tudomány. A cél nem az, hogy minél több „hibás” adatot generáljunk, hanem hogy okosan, célzottan fedjük fel a modellünk vakfoltjait.

1. Lépés: Az Alapok – Ismerd a Modellt és a Domént!

Mielőtt egyetlen sort is kódolnál, tedd fel a legfontosabb kérdést: Mi a legrosszabb dolog, ami történhet, ha a modellem hibázik?

A válasz drámaian eltérő lesz attól függően, hogy min dolgozol:

  • Orvosi diagnosztika (pl. daganatfelismerés): A legrosszabb a hamis negatív (a modell azt mondja, nincs daganat, pedig van). Itt olyan ellenséges példákat kell generálnod, amik a daganatos eseteket próbálják egészségesnek álcázni.
  • Spam szűrő: A legrosszabb a hamis pozitív (egy fontos emailt a spam mappába tesz). Itt olyan példák kellenek, amik a legitim emaileket teszik gyanússá.
  • Tartalomszűrés (pl. gyűlöletbeszéd detektálása): A legrosszabb a kikerülés. A támadók folyamatosan új szavakkal, szimbólumokkal, kódolt nyelvvel próbálják átverni a rendszert. Az ellenséges adatoknak ezeket a nyelvi mutációkat kell szimulálniuk.

Ne pazarold az idődet olyan támadásokra, amiknek nincs valós üzleti vagy biztonsági kockázata. Fókuszálj a modell Achilles-sarkára!

Ez a lépés határozza meg a stratégiádat. Nem csak véletlenszerű zajt fogsz adni a képekhez, hanem olyan perturbációkat fogsz tervezni, amik a te konkrét felhasználási esetedben a legnagyobb károkat okozhatják.

2. Lépés: A Generálási Technikák – A Kovács Eszközei

Itt jön a gyakorlati munka. Számos technika létezik ellenséges példák generálására, a pofonegyszerűtől a kutatási szintűig. Nézzük a legfontosabbakat.

A) Gradiens-alapú Módszerek (A Számított Csapás)

Ezek a klasszikus white-box technikák, amik a modell belső gradienseit használják. A leghíresebbek:

  • FGSM (Fast Gradient Sign Method): A legegyszerűbb és leggyorsabb. Kiszámolja a veszteségfüggvény gradiensét a bemeneti adathoz képest, és egyetlen, pici lépést tesz a gradiens irányába. Olyan, mintha megkérdeznéd a modellt: „Melyik irányba módosítsam ezt a pixelt, hogy a legjobban összezavarodj?”
  • PGD (Projected Gradient Descent): Ez az FGSM felturbózott, iteratív változata. Ahelyett, hogy egy nagy lépést tenne, sok apró, kontrollált lépést tesz, és minden lépés után biztosítja, hogy a módosítás egy adott (perceptuális) határon belül maradjon. Sokkal erősebb támadásokat generál, és a PGD-alapú ellenséges tréning ma az egyik de facto standard a robusztusság növelésére.

Ezek a módszerek kiválóak a modell matematikai sebezhetőségeinek feltárására, de az általuk generált zaj néha mesterségesnek tűnhet.

B) Transzformáció-alapú Módszerek (A Való Világ Káosz-Motorja)

Ez a leginkább intuitív megközelítés. Ahelyett, hogy a gradiensekkel bűvészkednénk, valósághű torzításokat alkalmazunk az adatokon. Ezek a módszerek a természetes eloszláseltolódás ellen edzik a modellt.

  • Képek esetén: Forgatás, elmosás (blur), fényerő/kontraszt változtatás, Gaussian zaj, „só és bors” zaj, kivágás, zoomolás, időjárási effektek (eső, köd). Olyan könyvtárak, mint az albumentations vagy a torchvision.transforms a barátaid.
  • Szöveg esetén: Szavak cseréje szinonimákra, karakterek törlése/beillesztése (szimulálva a gépelési hibákat), mondatok átrendezése, oda-vissza fordítás (pl. angol -> német -> angol) egy másik modellel a parafrázisok generálásához.
  • Hang esetén: Háttérzaj hozzáadása (utca zaja, tömeg moraja), a sebesség vagy a hangmagasság enyhe módosítása, visszhang hozzáadása.

Ezek a perturbációk nem feltétlenül „ellenségesek” a klasszikus, gradiens-alapú értelemben, de drámaian növelik a modell ellenállóképességét a valós világ zajával szemben.

C) Domén-specifikus Perturbációk (Az Ipari Mestermunka)

Itt válik a munka igazán kreatívvá. Ahelyett, hogy általános transzformációkat használnál, a saját szakterületedre jellemző, alattomos módosításokat tervezel.

  • Önvezető autók: Generálj képeket közlekedési táblákról, amikre apró matricákat ragasztottak. Egy STOP tábla egy kis fekete-fehér matricával egy 80-as sebességkorlátozó táblává „változhat” egy sebezhető modell számára.
  • Arcfelismerés: Készíts adatokat, ahol az emberek speciális mintázatú szemüveget, sminket vagy maszkot viselnek, ami összezavarja a rendszert.
  • Kódfelismerés: Egy programkódot analizáló modell esetén adj hozzá felesleges, de szintaktikailag helyes kódrészleteket, változtasd meg a változók neveit értelmetlenekre, vagy ágyazz be rejtett karaktereket stringekbe.

Ez a legnehezebb, de egyben a leghatékonyabb módszer. Itt már nem csak egy technikát alkalmazol, hanem úgy gondolkodsz, mint egy valódi támadó.

Ellenséges Adathalmaz Építési Folyamata Eredeti „Tiszta” Adat 📄 Generálási Technikák A) Gradiens-alapú (FGSM, PGD) Matematikai sebezhetőségek B) Transzformáció-alapú (Zaj, Forgatás) Valós világbeli torzítások C) Domén-specifikus (Matricák, Kódolás) Kreatív, célzott támadások Ellenséges Adathalmaz 🛡️ Iteratív Finomítás (Ellenséges Tréning)

3. Lépés: Kurálás és Címkézés – A Névtelen Hős

Legeneráltál 100 000 ellenséges példát. Kész vagy? Nem, a munka neheze csak most jön.

Nem öntheted bele a nyers, generált adatokat a tanító halmazba. Minőségellenőrzésre van szükség. A legfontosabb szempont a perceptuális hasonlóság. A manipulált adatnak még mindig ugyanazt kell jelentenie egy ember számára.

Ha egy képen egy „7”-es számjegyet addig torzítasz, amíg egy ember számára már „1”-esnek néz ki, akkor nem egy okos ellenséges példát hoztál létre, hanem egy hibásan címkézett adatpontot. Ezzel többet ártasz, mint használsz, mert a modellt összezavarod, nem pedig megerősíted.

Hogyan ellenőrizd ezt?

  • Automatizált metrikák: Számíthatsz olyan metrikákat, mint az L-p norma (L0, L2, L∞) vagy az SSIM (Structural Similarity Index) az eredeti és a módosított adat között, hogy biztosítsd, a változás „kicsi”. Ez a gradiens-alapú módszereknél alapvető.
  • Human-in-the-loop: A legjobb, de legdrágább módszer. Mutass emberi annotátoroknak párokat az eredeti és a módosított adatból, és kérdezd meg őket: „Ez a kettő ugyanazt jelenti?”. Ez különösen fontos a komplex, domén-specifikus támadásoknál.

A cél egy tiszta, magas minőségű, és valóban kihívást jelentő adathalmaz, nem egy digitális szemétdomb.

4. Lépés: Az Edzés – Adversarial Training

Végre megvan a gondosan összeállított ellenséges adathalmazod. Most mit csinálsz vele?

A leggyakoribb módszer az Ellenséges Tréning (Adversarial Training). Ahelyett, hogy csak a tiszta adatokon tanítanád a modellt, a tanítási folyamatba beépíted az ellenséges példák generálását és felhasználását.

A folyamat a gyakorlatban így néz ki:

  1. Veszel egy mini-batch (egy kis adag) tiszta adatot a tanító halmazból.
  2. Minden adatpontra, a jelenlegi modell súlyai alapján, generálsz egy ellenséges példát (pl. PGD segítségével).
  3. A modellt egyszerre tanítod a tiszta adatokon ÉS a frissen generált ellenséges példákon.
  4. Ismétled ezt a folyamatot a tanítás végéig.

Ez egy dinamikus folyamat. A modell folyamatosan egy olyan ellenfél ellen küzd, aki mindig ismeri a legújabb gyengeségeit. Olyan, mintha egy bokszoló egy olyan sparring partnerrel edzene, aki minden menetben megtanulja és kihasználja a védekezésében hagyott réseket. Az eredmény egy sokkal lassabb, számításigényesebb tanítási folyamat, de a végeredmény egy nagyságrendekkel robusztusabb modell.

Az alábbi táblázat egy gyakorlati eszköztárat ad a kezedbe.

Technika Leírás Mikor Használd? Eszközök / Könyvtárak
Gradiens-alapú Generálás Matematikai támadások a modell belső működése alapján (FGSM, PGD). Ha a cél a matematikai robusztusság növelése, és van white-box hozzáférésed a modellhez (pl. saját modell fejlesztésekor). ART (Adversarial Robustness Toolbox), CleverHans, Foolbox
Transzformáció-alapú Augmentáció Valósághű torzítások, zajok, geometriai változtatások alkalmazása. Minden esetben! Ez az alapja a valós világgal szembeni ellenállóképességnek. Albumentations, torchvision.transforms, nlpaug
Domén-specifikus Támadások Kézzel, kreatívan tervezett perturbációk, amik a konkrét felhasználási eset gyengeségeit célozzák. Magas kockázatú rendszereknél (orvosi, pénzügyi, biztonsági), ahol a támadók motiváltak és leleményesek. Saját szkriptek, 3D modellező szoftverek (fizikai támadások szimulálásához), képszerkesztők.
Ellenséges Tréning A tanítási ciklusba integrált, on-the-fly ellenséges példa generálás. Amikor a legmagasabb szintű robusztusság elérése a cél, és van erőforrásod a megnövekedett tanítási időre. Az említett generáló könyvtárak integrálása a PyTorch vagy TensorFlow tanítási ciklusba.

A Mesterfogások: Amikor a Standard Eszközök Már Nem Elégek

Ha már idáig eljutottál, a modelled valószínűleg sokkal erősebb, mint a legtöbb társa. De a fegyverkezési versenynek sosincs vége. Van néhány haladó koncepció, amit minden AI Red Teamernek ismernie kell.

A Transzferabilitás Kísértete

Ez az egyik legijesztőbb és leglenyűgözőbb jelenség az AI biztonságban. A transzferabilitás (transferability) azt jelenti, hogy egy ellenséges példa, amit egy adott modell (pl. egy ResNet50) megtévesztésére hoztak létre, nagy valószínűséggel egy teljesen másik, más architektúrájú modellt (pl. egy VGG16 vagy akár egy Transformer-alapú modellt) is meg fog téveszteni.

Miért? Mert ezek a támadások gyakran nem a modell specifikus implementációs hibáit, hanem az alapul szolgáló feladat (pl. képfelismerés) inherens, általános gyengeségeit használják ki. A különböző modellek, bár más úton, de hasonló „hibás” összefüggéseket tanulnak meg az adatokból.

Analógia: Olyan, mint egy optikai csalódás. Nem számít, hogy te, a barátod vagy egy idegen nézi, a legtöbb ember agyát ugyanúgy becsapja. A transzferálható ellenséges példák az AI modellek optikai csalódásai.

Ez teszi a black-box támadásokat rendkívül hatékonnyá. A támadónak elég létrehoznia egy saját, helyi modellt, azon generálnia egy rakás ellenséges példát, majd ezeket beküldenie a te, ismeretlen, fekete dobozos rendszeredbe. És működni fog. A védekezés szempontjából ez azt jelenti, hogy az ellenséges adathalmazodat érdemes több, különböző architektúrájú modellen generált példákkal is gazdagítani.

A Robusztusság-Pontosság Dilemmája

Nincs ingyen ebéd. Gyakran megfigyelhető egyfajta cserearány (trade-off) a robusztusság és a standard pontosság között. Egy modell, amit intenzíven edzettek ellenséges példákon, hihetetlenül ellenálló lesz a támadásokkal szemben, de a „tiszta”, nem manipulált adatokon nyújtott teljesítménye enyhén csökkenhet.

Miért? Az ellenséges tréning arra kényszeríti a modellt, hogy „simább” döntési határokat tanuljon, kevésbé támaszkodjon az apró, finom textúrákra és mintázatokra, amik a legjobb teljesítményt adnák tiszta adaton, de amik egyben a legkönnyebben manipulálhatók. Lényegében egy kicsit „vaksiabbá” teszed a modellt, hogy ne dőljön be a cseleknek.

Analógia: Egy Forma-1-es autó hihetetlenül gyors egy sima versenypályán, de egy kavicsos úton azonnal szétesik. Egy tank lassú és nehézkes, de szinte bármilyen terepen elmegy. El kell döntened, hogy a te felhasználási esetedre egy versenyautóra vagy egy tankra van-e szükséged. Vagy valami arany középútra.

A Red Teaming, mint Folyamat

És végül a legfontosabb gondolat: az ellenséges adathalmazok építése és a modell edzése nem egy projekt, amit egyszer megcsinálsz és kipipálsz. Ez egy folyamatos, ciklikus tevékenység.

A támadók folyamatosan új módszereket találnak ki. A te feladatod, hogy előttük járj. Rendszeresen teszteld a modelledet a legújabb támadási technikákkal, fedezd fel az új vakfoltokat, generálj új ellenséges adatokat, és finomhangold a modellt ezekkel. Ez a valódi AI Red Teaming: egy véget nem érő, proaktív vadászat a saját rendszered sebezhetőségeire.

Nincs Többé Elkényeztetett Herceg

Visszatértünk a harcosunkhoz. A cikk elején még egy naiv, elkényeztetett herceg volt, aki a steril palotában edzett. Mostanra azonban már máshogy látjuk a felkészítését. Nem elég, ha tökéletes körülmények között tökéletesen teljesít.

Meg kell tanítanod neki, milyen érzés, amikor sár van a lába alatt (zajos adatok). Meg kell tapasztalnia, milyen, amikor az ellenfél a szemébe vágja a homokot (evasion támadások). És fel kell készítened arra is, hogy a szövetségesei között árulók lehetnek, akik megmérgezik az élelmét (data poisoning).

Az ellenséges adathalmazok építése pontosan ez a folyamat. Ez az a brutális, de szükséges edzésterv, ami a laboratóriumi csodagyerekből egy harcedzett, megbízható veteránt farag. Egy olyan modellt, amiben nem csak reménykedni lehet, hogy helyt áll a való világban, hanem amiben meg is lehet bízni.

A kérdés már nem az, hogy támadni fogják-e a modelledet, hanem hogy felkészítetted-e a harcra, amikor eljön az ideje. Te megtetted?

MI Modell Felügyeleti Lánc (Chain of Custody): A bizalom és ellenőrizhetőség biztosítása

2025.10.17.

Automatizált Támadószimuláció (Red Teaming): PyRIT, Garak és PromptFoo használata a sebezhetőségek feltárására

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit