Share-Electric.cz
Bezpečnost

Trénovat foundation model na AWS stojí majlant — a to ještě nevíte o bezpečnostních pastech, které vás čekají

Trénovat foundation model na AWS stojí majlant — a to ještě nevíte o bezpečnostních pastech, které vás čekají

Trénovat foundation model na AWS stojí majlant — a to ještě nevíte o bezpečnostních pastech, které vás čekají

Írán v dubnu 2026 oznámil, že bude požadovat poplatky od technologických gigantů za podmořské internetové kabely procházející Hormuzským průlivem. Nezní to jako váš problém? Jenže právě tahle infrastruktura spojuje vás s AWS datacentry, kde trénujete nebo provozujete AI modely. Jeden diplomatický incident, jeden útok na kabely — a váš fine-tuning job na `p4d.24xlarge` instanci za 32 dolarů za hodinu se zastaví v půlce epochy.

Tenhle článek není o tom, jak AWS funguje. Je o tom, jak ho používat chytře, levně a — to je ta kategorie Bezpečnost — aniž byste přišli o data, peníze nebo spánek.

Co jsou foundation modely a proč vás to vůbec zajímá

Foundation model (základ pro češtinu: "základový model") je velký předtrénovaný model — GPT-4, Llama 3, Mistral, Falcon — na kterém stavíte. Buď ho fine-tunujete na vlastní data, nebo ho spustíte pro inferenci. AWS nabízí obojí přes služby jako Amazon SageMaker, Amazon Bedrock a EC2 s GPU instancemi.

Jenže tady začíná problém. Bedrock vám dá přístup k Claudovi, Titanu, Llama 3 — ale vy nemáte přístup k váhám. Nemůžete si je stáhnout, nemůžete je provozovat offline. Jste závislí na AWS API. Pokud Amazon zvedne ceny nebo změní podmínky, jste v kleštích.

Fine-tuning na SageMaker s instancí `ml.p3.16xlarge` (8x V100 GPU) stojí přibližně 12,5 dolaru za hodinu. Pro srovnání: fine-tuning modelu o 7 miliardách parametrů (Llama 3 7B) trvá na takovém hardware přibližně 6–12 hodin na slušný dataset. Počítejte: 150 dolarů za jedno kolo trénování. To ještě nepočítám storage na S3 a data transfer.

Bezpečnostní architektura: co AWS nechce, abyste věděli hned na začátku

Když posíláte trénovací data do AWS, přibývají vrstvy důvěry, které musíte vědomě přijmout.

Šifrování na S3 je výchozí — ale klíče spravuje AWS (SSE-S3), pokud explicitně nezapnete SSE-KMS s vlastním klíčem přes AWS KMS. Ještě lepší: SSE-C, kde klíč posíláte při každém requestu a AWS ho nikam neukládá. Ale pozor — pokud klíč ztratíte, data jsou pryč navždy.

VPC Endpoints jsou povinnost, ne volitelná funkce. Bez nich putují data z vaší EC2 instance přes veřejný internet. Pro SageMaker training job nastavte `NetworkConfig` s `VpcConfig` a vypněte `EnableNetworkIsolation` jen pokud opravdu potřebujete přístup ven.

IAM role pro training joby musí mít princip nejmenšího oprávnění. Vidím to pořád: developeři přiřadí SageMaker execution role `AmazonS3FullAccess`. To je ekvivalent toho, dát klíče od auta s poznámkou "klidně projeď garáž".

Konkrétní příklad správné IAM policy:

```json { "Effect": "Allow", "Action": ["s3:GetObject", "s3:PutObject"], "Resource": "arn:aws:s3:::muj-training-bucket/data/*" } ```

Žádné `s3:`, žádné `` v Resource. Takhle, ne jinak.

CloudTrail zapněte na všech regionech a logy pošlete do S3 bucketu v jiném AWS účtu (cross-account logging). Proč? Pokud útočník kompromituje váš hlavní účet, nemůže smazat logy, které ukazují, co dělal.

Inference bezpečnost: útok na model samotný

Figure AI nedávno ukázal roboty, které zvládají autonomně manipulovat s balíky v skladu. Tyhle roboty řídí foundation modely. A teď si představte, že někdo otráví inferenci.

Prompt injection je u LLM reálný útok. Pokud váš model přijímá uživatelský vstup, který pak posílá jako prompt do Bedrocku nebo vlastního fine-tuned modelu, útočník může přidat instrukce, které model poslechne. Řešení: vstupní validace, výstupní sanitizace, a — pokud je to možné — system prompt separation od uživatelského vstupu.

Model poisoning je sofistikovanější. Pokud fine-tunujete na datech z webu nebo od zákazníků, někdo může záměrně podstrčit trénovací data, která modelu "naučí" nežádoucí chování. FBI varovala před tímto vektorem u modelů trénovaných na veřejně dostupných datasetch. Čeho se střežte: nikdy netrénujte na nevalidovaných datech bez předběžné kontroly.

AWS GuardDuty od roku 2024 umí detekovat anomálie v API volání SageMakeru — například neobvyklý nárůst inference requestů, který může signalizovat, že někdo bere vaše endpointy pro vlastní potřebu. Zapnutí stojí zhruba 0,15 dolaru za 1000 SageMaker events. Levné pojištění.

Model Inversion Attack: útočník opakovaně dotazuje váš inference endpoint a snaží se rekonstruovat trénovací data. Pokud jste trénovali na citlivých datech (zdravotní záznamy, firemní dokumenty), výstup modelu může tato data "leakovat". Mitigace: differential privacy při trénování — AWS SageMaker podporuje integraci s Google's DP-SGD knihovnou, ale je to vaše zodpovědnost to nakonfigurovat.

Open-source alternativy: kdy AWS nepotřebujete vůbec

Teď přijde kontroverzní část. AWS na foundation modelech vydělává. Vy na nich tratíte — pokud nevíte, kdy cloud použít a kdy ne.

Ollama (https://ollama.com) vám umožní spustit Llama 3 8B nebo Mistral 7B lokálně na notebooku s Apple Silicon nebo na serveru s consumer GPU. Cena: 0 Kč za inference. Llama 3 8B na M3 Max zvládne ~40 tokenů za sekundu — pro většinu aplikací dost.

HuggingFace (huggingface.co) je zdarma pro hosting modelů, datasetch a gradio demo aplikací. Pro fine-tuning: HuggingFace AutoTrain zvládne celý pipeline na cloud GPU za zlomek ceny SageMakeru. Pro malý fine-tuning job (LoRA na 7B modelu, 1000 příkladů) platíte přibližně 2–5 dolarů místo 150 dolarů.

LoRA (Low-Rank Adaptation) je technika, která vám dovolí fine-tunovat model na spotřebitelském hardware. Místo trénování všech 7 miliard parametrů trénujete jen malou matici navíc — výsledek je srovnatelný, ale potřebujete jen 8–16 GB VRAM místo 80 GB. Na RTX 4090 (cena ~30 000 Kč) zvládnete LoRA fine-tuning sami doma.

Takže kdy AWS? Když potřebujete: - Full training od nuly (stovky GPU, petabajty dat) - Managed inference endpoint s SLA a auto-scalingem - Soulad s compliance rámci (HIPAA, SOC2) bez vlastní infrastruktury

Kdy ne? Skoro vždy jinak.

Praktický návod: bezpečný training job na AWS krok za krokem

Zde je minimální bezpečnostní checklist před spuštěním training jobu:

1. Izolovaný AWS účet — používejte oddělený účet jen pro ML workloady. AWS Organizations to umožňuje. Pokud se něco nabourá, škody jsou ohraničené.

2. S3 bucket s blokovaným public přístupem: ```bash aws s3api put-public-access-block \ --bucket muj-training-bucket \ --public-access-block-configuration \ "BlockPublicAcls=true,IgnorePublicAcls=true,BlockPublicPolicy=true,RestrictPublicBuckets=true" ```

3. SageMaker Endpoint s VPC a security group — žádný přístup z internetu, pouze z vaší VPC.

4. Model artefakty šifrované KMS klíčem — v SageMaker `CreateModel` API nastavte `KmsKeyId`.

5. Monitoring přes CloudWatch — nastavte alarm na neočekávaný nárůst inference nákladů. Limit nastavte na 120 % průměru posledních 7 dní. Pokud vám někdo krade inference, zjistíte to dřív než na faktuře.

Spider-Noir z nového traileru má klasického záporáka s jasným motivem: sabotáž a chaos. V kybernetickém světě AI infrastruktury hraje tuhle roli nejčastěji ekonomická sabotáž — kradení vašich inference endpointů pro těžbu kryptoměn nebo vlastní AI služby. Reálný incident z roku 2024: startup přišel o 60 000 dolarů za jeden víkend, protože jejich SageMaker endpoint byl veřejně přístupný bez autentizace.

Co přijde dál a proč na tom záleží pro energetický sektor

Vraťme se k Hormuzskému průlivu. Írán, Indie a další státy si začínají uvědomovat, že podmořské kabely jsou kritická infrastruktura — a že kdo kontroluje kabely, kontroluje tok dat. Pro AI to znamená jedno: geografická diverzifikace deploymentu přestane být volitelná a stane se standardem.

Pro firmy v energetickém sektoru — jako třeba Smart Energy Share, která provozuje systémy BESS (bateriová úložiště 50–250 kW), day trading elektřiny a obchodování odchylek — závisí spolehlivost AI inference přímo na dostupnosti cloudu. Výpadek inference v nesprávný moment znamená špatné rozhodnutí o nabíjení nebo vybíjení baterie, a to se rovná finanční ztrátě na spotovém trhu.

Řešení: hybrid deployment. Foundation model pro predikci spotových cen trénujte na AWS, ale inference nasaďte na vlastní hardware nebo edge zařízení v lokalitě. Pokud padne internet, lokální model stále rozhoduje.

Více o tom, jak fotovoltaické systémy a bateriová úložiště spolupracují s AI optimalizací, najdete na ShareElectric.cz. A pokud vás zajímá komunitní energetika a sdílení výroby mezi sousedy, sdilenienergie.info má dobrý přehled legislativy i praxe.

Závěr: AI trénink není jen technický problém

Foundation modely nejsou jen věda. Jsou infrastruktura. A jako každá infrastruktura — elektrorozvodná síť, podmořský kabel, plynovod — jsou terčem útoků, výpadků a politických tlaků.

AWS vám dá výkonné nástroje. Ale bezpečnost modelu, dat a inference je vaše zodpovědnost — ne Amazonu. Záplatovat IAM role zpětně je jako instalovat zámky po vloupání.

Moje předpověď pro rok 2027: první velká regulace EU specificky pro bezpečnost AI inference infrastruktury. Pokud s ní začnete až při jejím vydání, budete mít drahý problém. Pokud začnete teď, budete mít levnou výhodu.

Zdroje

← Zpět na všechny články