Titokkezelés (Secret Management) MI-alkalmazásokban: API kulcsok védelme Vault és Kubernetes Secrets segítségével

2025.10.17.
AI Biztonság Blog

Az AI aranyásói és a digitális csákány: Titokkezelés a gépi tanulás korában

Képzeld el a jelenetet. Hajnal van, a kávé gőzölög az asztalodon, és épp az utolsó simításokat végzed a legújabb, nagy nyelvi modellen (LLM) alapuló alkalmazásodon. Egy gombnyomás, és a deployment pipeline lefut. Élőben van. Aztán pár órával később pittyen a telefonod. Egy számlaértesítő az OpenAI-tól. A havi kereted, amit nagyjából egy hónapra terveztél, 12 perc alatt elpárolgott. Valaki a te API kulcsoddal pörgeti a legdrágább modellt, és valószínűleg nem a világirodalom klasszikusait elemzi vele.

Pánik. Hideg veríték. Ismerős az érzés? Ha még nem, szerencsés vagy. De csak idő kérdése.

Kapcsolati űrlap

AI Biztonság kérdésed van? Itt elérsz minket:

Mert az AI-forradalom egy újfajta aranylázat hozott el. Az arany pedig nem más, mint a hozzáférés ezekhez a bivalyerős modellekhez. Az ehhez szükséges digitális csákányod pedig az API kulcsod. És ahogy az aranyásók is őrizték a felszerelésüket, neked is védened kell a tiédet. A legtöbben azonban úgy bánnak vele, mintha egy eldobható műanyag villa lenne. Elrejtik a kódba, beteszik egy .env fájlba a szerveren, és reménykednek a legjobbban.

Ez nem remény. Ez hanyagság. És a modern kiberbiztonságban a hanyagság egyenes út a katasztrófához.

Ebben a posztban nem arról fogok papolni, hogy „ne tegyél titkokat a kódba”. Ezt már remélhetőleg tudod. Ennél mélyebbre ásunk. Megnézzük, miért jelentenek az AI-specifikus titkok, mint az API kulcsok, egy teljesen új veszélyforrást. Lebontjuk a leggyakoribb, mégis végzetes hibákat, amiket nap mint nap látok. Végül pedig megmutatom a profi megoldást: hogyan tudod a Kubernetes Secrets és a HashiCorp Vault párosával egy olyan erődöt építeni a titkaid köré, amit még a legelszántabb támadók is messziről elkerülnek.

Szóval, csatold be magad. Nem egy kellemes vasárnapi séta lesz a parkban. Ez egy mélymerülés a gépházba, ahol a bitek és a paranoia találkoznak.

Mi a fene az a „titok” egy AI alkalmazásban, és miért kéne, hogy érdekeljen?

Amikor a „titok” (secret) szót hallod, valószínűleg jelszavakra vagy adatbázis-kapcsolati stringekre gondolsz. Igazad van, ezek is azok. De az AI világában a paletta sokkal színesebb és veszélyesebb. Egy titok itt bármilyen olyan információ, ami privilégizált hozzáférést biztosít egy rendszerhez, adathoz vagy szolgáltatáshoz.

Gondolj egy OpenAI, Anthropic, vagy Cohere API kulcsra. Ez nem csak egy egyszerű authentikációs token. Ez egy feltöltőkártya egy szuperszámítógép-farmhoz. Olyan, mintha egy korlátlan keretű céges hitelkártyát adnál valakinek, amivel egyetlen erőforrást lehet vásárolni: számítási kapacitást. Méghozzá nagyon drága számítási kapacitást.

„Egy kiszivárgott API kulcs nem adatlopás. Az egy nyitott pénzcsap, ami a te számládra folyik, és a támadó dönti el, mikor zárja el – ha egyáltalán elzárja.”

De a veszély nem áll meg a pénzügyi károknál. Mi van, ha az alkalmazásod egy belső, finomhangolt modellhez fér hozzá egy privát API-n keresztül? Ha ez a kulcs kikerül, a támadó nem csak használni tudja a modelledet, de akár adatokat is kinyerhet belőle (model inversion támadások), vagy akár meg is mérgezheti azt hamis adatokkal (data poisoning). A céged legféltettebb szellemi tulajdona válhat egycsapásra sebezhetővé.

Az AI-alkalmazások titkai tehát nem csak kapuk, hanem fegyverek is. És te épp a lábtörlő alatt tartod őket.

A titokkezelés hét főbűne: Te hányat követsz el?

Mielőtt a megoldásokra térnénk, nézzünk szembe a rideg valósággal. Íme a leggyakoribb módszerek, ahogy a fejlesztők és DevOps csapatok kezelik – vagy inkább félrekezelik – a titkaikat. Legyél őszinte magadhoz.

  1. A Kódba Égetett Bűn: A legősibb és legveszélyesebb hiba. A titok ott virít a forráskódban, egyenesen egy konstansba vagy konfigurációs objektumba drótozva. API_KEY = "sk-...". Mindenki, aki hozzáfér a Git repóhoz – beleértve a volt kollégákat, a külsős tanácsadókat, és a feltört fiókokat – azonnal látja. A .gitignore nem segít, ha egyszer már bekerült a historyba. Ez a digitális megfelelője annak, hogy a homlokodra tetoválod a PIN kódodat.
  2. A Környezeti Változók Hamis Biztonsága: Ó, a híres .env fájl! Ez már egy fokkal jobb, igaz? Hiszen a .env fájlt nem commitolod a repóba. De hol van ez a fájl? Ott ül a szerveren, a fájlrendszeren, plain text formátumban. Bárki, aki valamilyen sebezhetőségen keresztül (pl. egy shell shock bug, egy rosszul konfigurált webszerver) olvasási jogot szerez a gépen, azonnal viszi az összes titkodat. Kényelmes, de csak egy hajszállal jobb, mint a kódba égetés.

Gondolj a .env fájlra úgy, mint egy post-it cédulára, amit a monitorodra ragasztottál a jelszavaddal. Persze, nincs a homlokodra tetoválva, de nem is egy széfben van.

Környezeti változók sebezhetősége Szerver / Konténer # .env fájl OPENAI_API_KEY=sk-… DB_PASSWORD=SzuperTitkos123 Támadó Fájlrendszer-hozzáférés (pl. RCE sebezhetőség)
  1. A Konfigurációs Fájlok Árulása: Hasonló a .env problémához, csak itt egy config.json, settings.yaml vagy web.config fájlban tárolod a titkokat. Ugyanaz a nóta: ha a támadó olvasni tudja a fájlrendszert, mindent visz. Sőt, ezeket a fájlokat még gyakrabban commitolják véletlenül, mint a .env-et.
  2. A Parancssori Argumentumok Kiteregetése: Néhányan úgy próbálják megoldani a problémát, hogy az alkalmazás indításakor parancssori argumentumként adják át a titkot: python app.py --api-key "sk-...". Zseniális, nem? Nem. A legtöbb operációs rendszeren bármely helyi felhasználó (vagy egy másik, kompromittált folyamat) egy egyszerű ps aux paranccsal kilistázhatja a futó folyamatokat és azok argumentumait. A titkod ott virít a folyamatlistában, mint egy karácsonyfa.
  3. A „Ki Őrzi az Őrzőket?” Probléma: „Rendben, okos vagyok, beteszem a titkokat egy külön adatbázisba, és az alkalmazás onnan olvassa ki!” Gratulálok, most van egy új problémád: hol tárolod az adatbázis-kapcsolathoz szükséges jelszót? Ugye érzed a rekurzív logikai hurkot? Csak áttoltad a problémát egy szinttel arrébb.
  4. A Slack/Email Fekete Lyuk: „Átküldöm a production API kulcsot Slacken.” Valahányszor ezt a mondatot hallom, egy angyal elveszti a szárnyait. A csevegőalkalmazások és emailek kereshető, naplózott archívumok. Egyetlen kompromittált fiók, és a támadó évekre visszamenőleg túrhatja a céges kommunikációt titkok után kutatva.
  5. A „Csak Dev Környezet” Tévhit: „Á, ez csak egy dev kulcs, nem számít.” De, számít. A fejlesztői környezetek gyakran kevésbé védettek, mint a production rendszerek. A támadók pontosan tudják ezt. Gyakran egy dev kulcs megszerzése az első lépés egy nagyobb támadás felé, amivel feltérképezhetik a rendszereidet és eszkalálhatják a jogaikat. Nincs olyan, hogy „nem fontos” titok.

Ha a fenti listából akár csak egy pontban is magadra ismertél, ne ess pánikba. A felismerés az első lépés. Most pedig nézzük meg, hogyan kell ezt jól csinálni.

Az alaplépés: Kubernetes Secrets

Ha konténerizált környezetben, például Kubernetesben futtatod az AI-alkalmazásodat (és miért ne tennéd?), a legegyszerűbb és legkézenfekvőbb első lépés a beépített titokkezelő, a Kubernetes Secrets használata.

Mi is ez? A Kubernetes Secret egy speciális objektum a clusteren belül, ami arra lett kitalálva, hogy érzékeny adatokat, például jelszavakat, OAuth tokeneket vagy API kulcsokat tárolj benne. Ahelyett, hogy a titkot a konténer image-be égetnéd vagy egy fájlba tennéd, a Kubernetes API-n keresztül hozod létre és tárolod.

A podjaid (azaz a futó konténereid) két fő módon férhetnek hozzá ezekhez a titkokhoz:

  1. Környezeti változóként: A Kubernetes „beinjektálja” a titkot a konténerbe környezeti változóként. Az alkalmazásod úgy látja, mintha a rendszeren lenne beállítva.
  2. Fájlként, volume mount segítségével: A Kubernetes egy speciális, memóriában lévő kötetet (volume) csatol a podhoz, és a titkokat fájlokként helyezi el benne. Az alkalmazásod egyszerűen beolvassa ezeket a fájlokat. Ez általában a biztonságosabb megközelítés.

Ez sokkal jobb, mint az előző hét főbűn bármelyike. A titok nincs a kódban, nincs a Gitben, és nincs egy sima szöveges fájlban a fájlrendszeren. A Kubernetes RBAC (Role-Based Access Control) rendszerével pedig finomhangoltan szabályozhatod, hogy melyik pod melyik titokhoz férhet hozzá.

De itt jön a „DE”. A Kubernetes Secrets önmagában nem a szent grál. Van egy piszkos kis titka: alapértelmezés szerint a titkokat a Kubernetes központi adatbázisában, az etcd-ben tárolja. És hogy tárolja őket? Base64 kódolással.

Fontos: A Base64 kódolás NEM titkosítás. Ez csupán egy reprezentációs forma, ami biztosítja, hogy bináris adatok is biztonságosan továbbíthatók legyenek szöveges protokollokon. Bárki, aki hozzáfér az etcd-hez, egy egyszerű paranccsal visszafejtheti a Base64 kódolt titkokat. Olyan, mintha a jelszavadat hátrafelé leírva rejtenéd el. Aki tudja, mit keressen, egy másodperc alatt rájön.

Persze, be lehet állítani titkosítást az etcd-n (encryption at rest), de ez plusz konfigurációt igényel, és sok clusterben nincs bekapcsolva. Emellett a titkok életciklusát (létrehozás, rotálás, visszavonás) továbbra is manuálisan vagy külső scriptekkel kell menedzselned.

A Kubernetes Secrets egy kiváló belépő szintű megoldás. Olyan, mint egy jó minőségű cilinderzár a bejárati ajtódon. Távol tartja a legtöbb próbálkozót, de egy profi betörőnek nem jelent igazi akadályt.

Kubernetes Secrets működése Kubernetes API Server (etcd-ben tárolva) Pod AI Alkalmazás Konténer K8s Secret Objektum api-key: c2stLi4u (Base64 kódolt) 1. Admin létrehozza 2. Pod lekéri (Volume mount / Env Var)

A Vár a Hegycsúcson: HashiCorp Vault

Ha a Kubernetes Secrets a cilinderzár, akkor a HashiCorp Vault a Fort Knox. Ez egy dedikált, nyílt forráskódú eszköz, aminek egyetlen célja van: a titkok őrzése. Nem csak tárolja őket, hanem egy teljes életciklus-menedzsment rendszert biztosít köréjük, mindezt kőkemény biztonsági elvek mentén.

Miért nagyságrendekkel jobb, mint bármi más?

  • Központosított Kezelés: Minden titkod egyetlen, biztonságos helyen van. Nincs több szétszórt .env fájl, konfig vagy adatbázis. Egyetlen igazságforrás (single source of truth).
  • Minden Titkosítva: A Vault minden adatot titkosítva tárol (encryption at rest) és a kommunikáció is titkosított (encryption in transit). Alapból, kompromisszumok nélkül.
  • Részletes Audit Naplók: A Vault minden egyes műveletet naplóz. Ki, mikor, melyik titokhoz fért hozzá, és mit csinált vele. Gyanús aktivitás? Azonnal észreveszed.
  • Erős Authentikáció és Autentikáció: Az alkalmazásoknak és felhasználóknak először authentikálniuk kell magukat a Vaulthoz, mielőtt bármit is kérhetnének. Ez történhet Kubernetes service account, felhős IAM role, vagy más megbízható azonosító alapján. Ezután policy-k alapján dől el, hogy pontosan mihez férhetnek hozzá.

És most jön a legütősebb funkció, ami miatt a Vault tényleg egy másik ligában játszik:

A Dinamikus Titkok Forradalma

A legtöbb eddig tárgyalt megoldás statikus titkokkal dolgozik. Létrehozol egy API kulcsot, és az addig él, amíg vissza nem vonod. Ha kiszivárog, a támadónak rengeteg ideje van kihasználni.

A Vault bevezeti a dinamikus titkok koncepcióját. Ahelyett, hogy egy hosszú életű titkot tárolna, a Vault képes arra, hogy igény szerint, valós időben generáljon rövid életű, egyedi hozzáféréseket külső rendszerekhez (pl. AWS, Azure, adatbázisok).

Képzeld el ezt a folyamatot: 1. Az AI alkalmazásodnak szüksége van egy adatbázis-jelszóra. 2. Authentikálja magát a Vaulthoz. 3. A Vault, ahelyett, hogy egy meglévő jelszót adna, felveszi a kapcsolatot az adatbázis-szerverrel, és létrehoz egy teljesen új felhasználót egyedi jelszóval. 4. Ezt az új, egyedi jelszót adja oda az alkalmazásodnak. 5. És a legfontosabb: beállít rá egy TTL-t (Time-To-Live), mondjuk 1 órát. Egy óra múlva a Vault automatikusan visszavonja a hozzáférést és törli a felhasználót az adatbázisból.

Ez egy igazi paradigmaváltás. Még ha a támadó meg is szerzi ezt a rövid életű titkot, mire észbe kap, a titok már rég érvénytelen. A sebezhetőségi ablak (window of exposure) drasztikusan lecsökken, percekről vagy órákról akár másodpercekre.

Olyan, mint a Mission: Impossible filmekben az üzenet, ami 5 másodperc múlva megsemmisíti önmagát. A támadónak nincs ideje cselekedni.

Vault dinamikus titok generálási folyamat AI Alkalmazás (Pod) HashiCorp Vault Auth Backend Secret Engine Célrendszer (pl. AWS, Adatbázis) 1. Authentikáció 2. Generálás 3. Új titok 4. Titok átadása (TTL: 1 óra) 5. Lejárat után: Vault visszavonja a titkot

A Gyakorlati Útmutató: Vault integrálása Kubernetes-szel

Rendben, ez mind szép és jó elméletben, de hogyan néz ki a gyakorlatban? Hogyan kötjük össze a Vaultot a Kubernetes clusterünkkel, hogy az AI alkalmazásunk zökkenőmentesen és biztonságosan megkapja a titkait?

A legelterjedtebb és legprofibb módszer a Vault Agent Sidecar Injector használata. Ne ijedj meg a névtől, a koncepció pofonegyszerű.

A „sidecar” egy tervezési minta a konténeres világban. Azt jelenti, hogy a fő alkalmazásod konténere mellé „csapunk” egy másik, segítő konténert ugyanabban a podban. Ez a segítő konténer elvégzi a piszkos munkát, így a fő alkalmazásnak nem kell foglalkoznia vele.

Ebben az esetben a piszkos munka a titkokkal való kommunikáció. A folyamat a következőképpen néz ki:

1. Annotáció: A Kubernetes deployment YAML fájlodban, a pod specifikációjánál elhelyezel néhány speciális annotációt. Ezekkel jelzed a Kubernetesnek, hogy „Hé, ehhez a podhoz szeretnék Vault titkokat injektálni!”. 

    spec:
      template:
        metadata:
          annotations:
            vault.hashicorp.com/agent-inject: 'true'
            vault.hashicorp.com/role: 'my-ai-app-role'
            vault.hashicorp.com/agent-inject-secret-apikey.txt: 'secret/data/openai'
2. Injektálás: Amikor elindítod a podot, egy speciális Kubernetes komponens (a Mutating Admission Webhook) észreveszi ezeket az annotációkat. Mielőtt a podod elindulna, automatikusan hozzáad két extra konténert: egy init konténert és egy sidecar konténert. 3. Authentikáció: Az init konténer elindul még a te alkalmazásod előtt. Feladata, hogy authentikálja a podot a Vaulthoz. Ezt a podhoz rendelt Kubernetes Service Account Token (SAT) segítségével teszi meg. Ez egy biztonságos, automatikus folyamat. A Vault megbízk a Kubernetesben, a Kubernetes pedig garantálja a pod identitását. 4. Titok Lekérése: Sikeres authentikáció után az init konténer lekéri a kért titkokat a Vaultból (a példában az OpenAI kulcsot a secret/data/openai útvonalról). 5. Megosztás: A lekért titkot beleírja egy memóriában lévő, megosztott kötetbe (shared memory volume), amihez a te fő alkalmazásod konténere is hozzáfér. A titok soha nem érinti a merevlemezt. 6. Alkalmazás Indulása: Most, hogy a titok a helyén van, elindul a te AI alkalmazásod konténere. Neki nincs más dolga, mint beolvasni a titkot a megadott fájlból (pl. /vault/secrets/apikey.txt). Az alkalmazásodnak fogalma sincs a Vaultról, a Kubernetesről, az authentikációról. Csak egy fájlt kell olvasnia. Ez a tiszta felelősség-szétválasztás. 7. Életben Tartás: Miután a fő alkalmazás fut, a sidecar konténer veszi át a szerepet. Folyamatosan kommunikál a Vaulttal, és ha a titok hamarosan lejár (dinamikus titkok esetén), automatikusan megújítja azt. Így az alkalmazásodnak soha nem kell aggódnia a lejárt titkok miatt.

Ez a módszer elképesztően elegáns és biztonságos. Az alkalmazásfejlesztőknek nem kell Vault-specifikus kódot írniuk, a DevOps csapat pedig központilag, policy-kkel menedzselheti a teljes titokkezelést.

Vault Agent Sidecar Injector folyamat HashiCorp Vault Kubernetes Pod Fő Alkalmazás Konténer Init Container (vault-agent) Sidecar (vault-agent) Megosztott Memória Kötet /vault/secrets 1. Auth (K8s Service Account) 2. Titok lekérése 3. Titok írása a kötetre 4. App beolvassa a fájlt 5. Sidecar folyamatosan megújítja a titkot

Összehasonlítás: Kubernetes Secrets vs. Vault

Hogy tisztán lássuk a különbséget, foglaljuk össze a két megközelítést egy táblázatban.

Jellemző Kubernetes Secrets HashiCorp Vault
Tárolás Base64 kódolva az etcd-ben (alapértelmezetten) Erősen titkosítva egy dedikált tárolóban (pl. Consul, fájlrendszer)
Titok típusa Csak statikus Statikus és dinamikus (rövid életű, on-the-fly generált)
Auditálás Korlátozott, a Kubernetes API szerver naplóin keresztül Részletes, minden műveletre kiterjedő audit naplók
Életciklus-kezelés Manuális (létrehozás, rotálás, visszavonás) Automatizált (TTL, lízing, megújítás, visszavonás)
Integráció Natív Kubernetes, egyszerűen használható Külső komponens, bonyolultabb beállítás, de sokkal több rendszerrel integrálható
Mikor használd? Egyszerűbb alkalmazások, kevésbé kritikus titkok, ahol a „elég jó” biztonság elfogadható Nagyvállalati környezet, kritikus titkok, ahol a legmagasabb szintű biztonság és auditálhatóság a követelmény

A Red Teamer gondolkodásmódja: Túl az eszközökön

Egy eszközt, legyen az a Vault vagy bármi más, telepíteni csak a csata fele. Az igazi biztonság a fejekben dől el. Egy AI Red Teamer nem csak azt kérdezi, „Biztonságban van az API kulcsom?”. Hanem azt is, hogy:

  • Mi van, ha MÉGIS kikerül? Van vészforgatókönyved? Tudod, hogyan kell azonnal letiltani a kulcsot? Van riasztásod a szokatlanul magas használatra? A katasztrófa-elhárítási terv (Disaster Recovery Plan) nem csak a szerverleállásokra vonatkozik.
  • A legkisebb jogosultság elve (Principle of Least Privilege): Az a bizonyos OpenAI kulcs tényleg kell, hogy hozzáférjen az összes modelledhez, beleértve a legdrágább GPT-4-et is? Vagy elég lenne neki egy olcsóbb, specifikusabb modell? Adj minden komponensnek csak és kizárólag annyi jogot, amennyi a működéséhez elengedhetetlenül szükséges. Ne adj egy svájci bicskát, ha csak egy csavarhúzóra van szükség.
  • Rotálás, rotálás, rotálás: Még a statikus, Vaultban tárolt titkokat is érdemes rendszeresen cserélni (rotálni). Automatizáld a folyamatot. Minél rövidebb ideig él egy titok, annál kevesebb kárt okozhat, ha rossz kezekbe kerül.
  • Figyeld a forgalmat! Monitorozd az API-hívásaidat. Honnan érkeznek a kérések? Milyen időpontokban? Egy hirtelen megugrás a használatban, vagy egy szokatlan földrajzi helyről érkező kérés lehet az első jele a bajnak.

A titokkezelés nem egy egyszeri feladat, amit kipipálsz. Ez egy folyamatos folyamat, egy gondolkodásmód. Paranoia, egészséges adaggal.

Az AI-alkalmazások fejlesztése izgalmas terület, tele lehetőségekkel. De a nagy erő nagy felelősséggel jár. És ebben a világban a felelősség az API kulcsodnál kezdődik. Ne hagyd a digitális csákányodat az ajtó előtt. Zárd be a páncélszekrénybe, állíts mellé őröket, és cseréld le rendszeresen. Mert az aranylázban nem csak aranyásók vannak, hanem rablók is. És ők csak a te hibádra várnak.

Docker Konténerbiztonság ML-hez: AI Sebezhetőségvizsgálat Trivy és Clair eszközökkel

2025.10.17.

Hálózati Mikroszegmentáció: Az MI-infrastruktúra izolálása és védelme

2025.10.17.

Kapcsolat

Rácz-Akácosi Attila, Stratégiai AI Biztonsági Tanácsadó, Aiq.hu ©

Küldj egy emailt a részletekkel, és segítek konkrét lépéseket felvázolni a biztonságosabb AI működés felé.

Ai Red Teaming Hungary, Ai Red Teaming Magyarország

Ai Red teaming Szótár

AI Biztonság Villám Audit