AI biztonsági öntest
15 kérdés, 5 domain · adat, modell, prompt, hozzáférés, válasz. A checklist 100%-ban a böngésződben fut · semmi nem kerül el hozzánk, amíg kapcsolatba nem lépsz velünk.
Adat
Osztályoztad az AI-rendszerbe kerülő adatokat (publikus, belső, bizalmas, GDPR-személyes)?
Van-e PII-maszkolás, mielőtt egy kérés az LLM-hez ér?
Mennyi ideig tárolod a prompt + válasz naplókat?
Modell
Hol fut a modell és szerződéses rögzítve van-e a tréning tilalma a te adataidon?
Rögzítve van-e a modell verzió (pin), vagy `latest`-et használsz?
Van-e tartalék modell (router), ha a fő leáll vagy drasztikusan lassul?
Prompt
Tesztelted-e a rendszert ismert prompt-injection mintákkal (OWASP LLM Top 10)?
Kezelitek-e külön a felhasználó által beküldött tartalmat (doksi, URL, e-mail)?
A system prompt tartalmaz-e titkot (API kulcs, belső URL, üzleti szabály)?
Hozzáférés
Minden LLM-hívás a te szervereden át megy (nem közvetlen a kliensből)?
Van-e rate-limit és token-cap userenként?
Az LLM csak ahhoz az adathoz fér hozzá, amihez az aktuális user jogosult?
Válasz
Validálsz-e a válaszban (hallucináció, tiltott tartalom, adatszivárgás)?
Van-e visszafelé PII-ellenőrzés (a válasz ne tartalmazzon véletlen személyes adatot)?
Van-e naplózás + riasztás, ha a válaszban személyes adat vagy tiltott kifejezés jelenik meg?
Komolyabb auditra van szükséged?
Ez a checklist az első 10% · kézzel vezetett audit, threat modell, valódi adataidra csiszolt eval-szett. Budapestről, 2 héten belül jelentés.