A nagyvállalatok jelentős része már vezetett be mesterséges intelligencia (MI vagy AI) eszközöket a mindennapi működésébe és / vagy a folyamatainak támogatására. Azonban a vállalati AI projektek 45%-a sikertelen. (Stanford AI Index Report 2025). Az AI auditok eredményei rávilágítanak arra, hogy a vállalatok sokszor nincsenek tisztában a saját rendszereik rejtett kockázataival, de sok esetben a szervezetek nem rendelkeznek a szükséges AI audit riportokkal sem.
Mindeközben az ellenőrzés szerepe kritikussá vált, mert egyszerre több uniós és hazai jogszabály is élesedett, amelyek kötelezővé teszik a rendszerek külső és belső ellenőrzését, beleértve az AI specifikus funkciókat is: EU AI Act, NIS2, SZTFH, DORA…
Adódik a kérdés: mi belső ellenőrök fel vagyunk készülve az AI rendszerek auditálására?
Egyes felmérések szerint (The Institute of Internal Auditors: Vision 2035 Report, EY Europe West: Tech Risk AI Governance, Risks and Compliance Survey, 2025) a belső ellenőrzési funkciók 92%-a szerint az új technológiák (pl az AI) kulcsfontosságúak az értékteremtéshez és 74%-uk tartja kritikusnak az AI-t a szakma jövője szempontjából. Ugyanakkor csak 28%-uk használ AI-t az ellenőrzési munka támogatására és mindössze 10%-uk készült fel egy AI rendszer auditjára.
Egy másik fontos megállapítás, hogy a „szokásos” IT biztonsági vizsgálatok szinte teljesen „vakok” az AI-specifikus sebezhetőségekre. A hagyományos IT biztonság olyan, mint a fal és a zár az épületen (védi a hálózatot, a szervereket, a hozzáféréseket). Az AI viszont egy rendkívül okos, de hiszékeny „alkalmazott” odabent a falak mögött. Ha valaki beszélgetni kezd ezzel az alkalmazottal, és ráveszi, hogy dobja ki a titkos iratokat az ablakon, a legerősebb zár és a legvastagabb fal sem fogja megállítani. Ezért van szükség kifejezetten az AI viselkedését, logikáját és nyelvi manipulálhatóságát vizsgáló, speciális (ún. AI Red Teaming) vizsgálatokra.
A következőkben ismertetünk néhány olyan biztonsági mutatót illetve aspektust, ami egy „AI Red Teaming” vizsgálat fókuszában állhat (zárójelben, hogy milyen előfordulási gyakorisága van ezen mutatónak ilyen vizsgálatoknál): „Prompt Injection” megtalálási aránya az audit keretében (70%), többlépcsős (Multi-turn) jailbreak sikerességének (97%) illetve szerepjátékos (Role-play) támadások sikerességének vizsgálata (90%), AI adatszivárgás feltárása (68%), nyílt modellekből származó malware miatti incidensek felkutatása (35%).
Mit is jelent ez a gyakorlatban?
Olyan sérülékenységek keresését, melyek révén a támadók képesek saját, rosszindulatú utasításaikkal felülírni az AI rendszer eredeti céljait, vagy az AI a betanítási adatokból vagy a belső vállalati tudásbázisból jogosulatlan személyeknek ad ki érzékeny vagy személyes adatokat, illetve, hogy a fejlesztők által használt nyilvános modellek tartalmaznak-e kártékony kódot (malware-t).
Szakértő partnerünkkel, a Monaitize Kft-vel együttműködve, „audit-proof” AI Red Teaming szolgáltatásunkkal támogatjuk az adott belső ellenőrzési funkció munkáját: reprodukálható támadási szimulációkkal tárjuk fel az AI-rendszerek sebezhetőségeit, szabályozói mappinggel és -szükség esetén – korrekciós javaslatokkal. A független és reprodukálható AI security tesztek eredményei közvetlenül illeszthetőek lesznek a belső ellenőrzési tevékenységekhez / jelentésekbe.
Mit tartalmaz pontosan az AI Red Teaming szolgáltatásunk? Elemző partnereink jelentős tapasztalattal bírnak AI rendszerek fejlesztése és validálása területén.
Néhány jellemző:
- Kb 1.000 – a nemzetközi best practice-eknek megfelelő – AI specifikus támadás kivitelezése
- A támadások jelentős része automatizált a gyors eredmények elérésre érdekében
- Az AI-támogatott támadásokkal szimuláljuk a valósághű támadásokat
- A vizsgálatot – szükség szerint – több nyelven is kivitelezzük
- A találatokat a szabályozói elvárásoknak megfelelően kategorizáljuk
Szolgáltatásunk „leszállítandói” tartalmaznak egy vezetői összefoglalót, egy strukturált találati listát, egy technikai jelentést az elvégzett ellenőrzésekről és egy szabályozói mapping táblázat (EU AI Act, NIS2, DORA, GDPR és ágazati előírások). Az általunk készített anyag „audit ready”, azaz akár önálló jelentés formájában, akár egy tágabb belső ellenőrzési vizsgálatba integráltan kerülhet továbbításra a stakholderek (vezetés, felvigyázó testület, szakmai társterületek) felé.
Amennyiben ez a szolgáltatás az Önök számára érdekes lehet, úgy kérjük vegye fel velünk a kapcsolatot a részletek tekintetében.