KI-Security: Nein, wir werden nicht alle sterben. Aber zu tun gibt's genug!

Versucht man zu ergründen, ob wir den Peak des KI-Hypes schon überschritten haben, zeigt sich momentan ein zweigeteiltes Bild: Einerseits fallen die anfangs durch die Decke gegangenen Userzahlen von ChatGPT und Co. an vielen Stellen wieder etwas ab. Auf der anderen Seite explodiert die Zahl der KI-Tools, -Dienste, -Anwendungen und -Anwendungsfälle weiter ungebremst. Doch nur wenige Angebote können sich bisher im allgemeinen Bewusstsein halten. Onlinediskussionen sind vermehrt von kritischen Stimmen geprägt, die die universelle Anwendbarkeit und Effizienz von Chatbots infrage stellen.

Kolumne: Patch me if you can

Er hat eine Schwachstelle für Risiken und Über-Cyber-Schreiben: Im Hauptberuf Cofounder und CTO der intcube GmbH, tobt und lässt David Fuhr sich in dieser Kolumne über aktuelle Vorfälle und allgemeingültige Wahrheiten der Informationssicherheit aus.

KI: Gekommen, um zu bleiben

Doch die Party ist keineswegs vorbei. Dass gehypte Themen sich nach dem Höhepunkt, der unweigerlich kommt, einmal durch das Tal der Enttäuschung quälen müssen, ist der übliche Lauf der Dinge. Die Frage ist, ob die Themen aus dem Tal wieder auftauchen oder für immer in der Versenkung zerstobener Tech-Träume verschwinden. Bei generativer KI deutet einiges darauf hin, dass sie gekommen ist, um zu bleiben. So nimmt nicht nur die Zahl der Fertigkeiten, in denen Large Language Models (LLMs) Menschen überlegen sind, stetig zu, sondern auch die Geschwindigkeit, in der die Systeme einzelne Meilensteine erreichen.

Dabei lernen wir immer mehr über mögliche Schwachstellen von und Attacken auf LLMs. Gewissermaßen deutet dies eine Normalisierung des Themas an: So wie es OWASP-, MITRE-, ISO- und IT-Grundschutz-Security-Standards und -Best-Practices für Enterprise IT, Mobile und Cloud gibt, kommt das alles nun langsam auch für KI-Nutzung und -Betrieb. Deutlich wird es an der Anfang August erschienenen Version 1.0 der OWASP Top 10 for Large Language Model Applications. Um die neue Situation zu bewältigen, gilt es, altbekanntes mit neuem Wissen zu verbinden.

In der Top-Ten-Liste finden sich 08/15-Schwachstellen, die jede sonstige IT-Infrastruktur auch beträfen, wie Supply Chain Vulnerabilities (LLM05) und Insecure Plugin Design (LLM07). Zwar haben diese hier einen speziellen Geschmack aufgrund der Besonderheiten von KI-Apps, aber Schwachstellen in der Lieferkette und unsicher designte Komponenten sind seit Jahren bekannt – samt Gegenmaßnahmen und den Schwierigkeiten, diese in der Praxis und in der Breite umzusetzen.

KI hat viele Schwachstellen

Dann gibt es Schwachstellen, die durch ihr Auftreten in KI-Systemen einen neuen Dreh bekommen. Dies ist etwa der Fall bei Insecure Output Handling (LLM02), wo wir aufgrund der Unvorhersagbarkeit des Outputs besonders aufpassen müssen, was KI dort hinein generieren könnte. Bei der Sensitive Information Disclosure (LLM06) kann die Unvorhersagbarkeit zu Datenleaks führen. Wo Rechenintensität und Komplexität von LLMs es erschweren, Verfügbarkeit um jeden Preis zu garantieren, spricht man von Model Denial of Service (LLM04). Model Theft (LLM10) ist letztlich ein normaler digitaler Diebstahl von IP (Intellectual Property), der aber mit völlig neuartigen Methoden erfolgen kann; etwa dem geschickten massenhaften Stellen einzelner unschuldiger Fragen.

Dann gibt es natürlich noch Schwachstellen, die ausschließlich in KI-Anwendungen existieren können. Training Data Poisoning (LLM03) etwa ist nur deshalb ein Problem, weil maschinelles Lernen qua Definition auf Trainingsdaten beruht. Prompt Injection (LLM01) ist längst zum neuen Volkssport geworden. Dabei versucht man LLMs durch geschickt manipulierte Prompts dazu zu verführen, vom Pfad ihres Alignments abzuweichen und weniger politisch korrekt zu sein oder absichtlich falsche Antworten zu geben.

Schließlich gibt es noch diejenigen Schwachstellen, die über die eigentlichen Probleme der KI hinaus und auf uns selbst zurückweisen: Excessive Agency (LLM08) und Overreliance (LLM09). Gerade dadurch, dass wir uns an immer mehr Stellen bewusst oder unbewusst auf den Output von KI-Modellen, ihre Einschätzung oder gar ihre Entscheidungen verlassen, zeigt sich das wahre Bedrohungspotenzial der technischen Revolution insgesamt.

Vor diesem Hintergrund ist es gut, dass wir nun einen Teil der freigewordenen Hype-Energie verwenden können, um den Fokus auf die Probleme, Gefahren und Grenzen von KI zu legen. Das gilt es zu nutzen – und zwar konkret, ohne in einen „Wir werden alle sterben“-Reflex zu verfallen. Zu tun gibt es genug.

(pst)