In den letzten Wochen haben bahnbrechende Fortschritte im Bereich der künstlichen Intelligenz und insbesondere interaktiver KI-Systeme wie ChatGPT (OpenAI/Microsoft) oder Bard (Google) für Aufregung gesorgt. Während KI-Systeme noch weit von der allgemeinen Intelligenz entfernt sind, wirken einige Produkte fast "magisch". Vor allem, weil sie aus einer schriftlichen Interaktion heraus zu verstehen scheinen, was die Benutzerinnen und Benutzer wollen, und es auf elegante und strukturierte Weise bereitstellen.
Die magische Wirkung von KI-Systemen entsteht auch aus den neu entstehenden und manchmal überraschenden Fähigkeiten, die weit über einfache Textverarbeitung hinausgehen. Sie scheinen in der Lage zu sein, immer komplexere und unterschiedliche Probleme zu lösen, ohne dafür speziell trainiert worden zu sein. Diese Probleme können dabei verschiedenster Natur sein. Einige Experten sorgen sich deshalb über die potenzielle Bedrohung durch diese Technologie und
fordern sogar ein Moratorium für deren Entwicklung. Technologieverbote sind jedoch in der Regel unzureichende Methoden zur Lösung von Sicherheitsherausforderungen. Es gilt frühzeitig Lösungen zu finden, um die Gefahren rechtzeitig umschiffen zu können.
Sicherheitsbedenken gehen über Datenschutz hinaus
Abgesehen von den aktuellen emotionalen Diskussionen gibt es jedoch reale Sicherheitsbedenken, die bereits jetzt adressiert werden müssen. Einige sind generell bekannt: Der Datenschutz stellt derzeit ein viel diskutiertes Problem dar, wie im Fall
der Sperrung von ChatGPT durch die italienische Datenschutzbehörde. Ebenfalls ist bekannt, dass generative KI-Systeme hochgradig realistische Fälschungen (Deep Fakes) erzeugen können, die von echten Artefakten praktisch nicht zu unterscheiden sind. So sind computergenerierte Gesichter nur mit grossem Aufwand von denen realer Personen zu unterscheiden. Es gibt aber weitere Sicherheitsaspekte zu beachten.
Interaktive KI-Systeme arbeiten mit strukturierten Anfragen (Prompts). Es wurde bereits ausgiebig demonstriert, dass diese Aufforderungen für unangemessene Zwecke verwendet werden können und es wurden konkrete Schritte unternommen, um diesem Missbrauch entgegenzuwirken. Dennoch sind die derzeit verfügbaren KI-Systeme sehr anfällig und die bestehenden Restriktionen können leicht umgangen werden (Jailbreaking). Dieses Risiko wird noch grösser, wenn die KI-Modelle Zugang zum Internet haben.
Anfragen verraten mehr als man annimmt
Auf Websites, welche unkontrolliert von KI-gesteuerten Suchanfragen erreicht werden, lassen sich bösartige Eingabeaufforderungen verbergen, welche unbemerkt die Suchergebnisse manipulieren. Dieses Risiko wird als "Prompt Injection" bezeichnet und ähnelt anderen Sicherheitsangriffen wie Code Injection, ist aber besonders gefährlich, weil es keine aktive Betätigung des Benutzers erfordert. Darüber hinaus sind strukturierte Anfragen keinesfalls Einbahnstrassen, sondern enthalten ebenfalls interessante strategische Informationen über die Personen oder die Unternehmen, welche die Anfragen stellen. Mit geschickten Fragen lassen sich diese Anfragen nachträglich wieder rekonstruieren. Wir verraten mit unseren Anfragen so mehr, als uns vielleicht lieb ist.
Ein weiteres wachsendes Risiko betrifft die Vergiftung (Poisoning) von Internetdaten, die zum Training von KI-Systemen verwendet werden, indem sogar öffentliche Websites wie Wikipedia kunstvoll zu diesem Zweck verändert werden. Das Ergebnis geht weit über die Erzeugung verzerrter Ergebnisse hinaus: Die manipulierten Daten können gezielt auf die Suchergebnisse ausgerichtet werden. All dies geschieht, ohne dass die Nutzer "gefährliche" Dinge tun, wie zum Beispiel auf unsichere Links klicken.
Die Integration von KI-Systemen in Geschäftsprozesse kann diese daher gefährden, indem sie die Prozesse auf intransparente Weise unglaubwürdig machen und möglicherweise bestehende Sicherheits- und Geschäfts-Kontrollen umgehen.
KI kann bestehende Sicherheitssysteme angreifen
Zusätzlich können KI-basierte, interaktive Systeme dazu verwendet werden, bestehende Sicherheitssysteme anzugreifen. Es wurde kürzlich gezeigt, wie neue Sicherheitslücken (Zero-Days) sehr schnell ausgenutzt werden können, indem Angriffsvektoren fast automatisch geschaffen werden. Die weitere Entwicklung dieser interaktiven KI-Systeme wird aber auch bald dazu führen, dass automatisch neue Schwachstellen entdeckt und ausgenutzt werden können, die auf einer bisher unvorstellbaren Grundlage basieren und ohne menschliche Interaktion entstehen können.
Diese Entwicklungen werden die Art und Weise, wie wir die Suche nach dem Schutz vor schädlicher Software angehen, zwangsläufig verändern. So werden beispielsweise Bug-Bounty-Programme diese Tools einbeziehen. Es ist nicht unrealistisch, dass KI-Systeme eines Tages Pentesting und Bug Bounty Hunting teilweise oder vollständig ersetzen.
KI-Forschung darf Security nicht vergessen
Es ist daher wichtig, dass die Sicherheit mit der rasanten Entwicklung von interaktiven KI-Tools Schritt hält. Neue Strategien und allgemeine Abwehrmechanismen müssen entwickelt werden, um diese Sicherheitsrisiken zu minimieren. Die Entwicklung sollte sich nicht nur auf neue "magische" Produkte konzentrieren, sondern auch auf die Schaffung von Werkzeugen zur Sicherung dieser Technologie.
Derzeit liegt der Fokus der KI-Forschung hauptsächlich auf der Erforschung robuster KI-Systeme und verteiltem Lernen. Im Bereich der Sicherheitsforschung liegt der Schwerpunkt jedoch noch überwiegend auf der Entwicklung von Angriffswerkzeugen, während die Detektion und Prävention von Angriffen auf Künstliche Intelligenz noch unzureichend erforscht ist. Auch scheinen sich bislang keine Start-ups in den bekannten Hubs der Suche nach Schutzfunktionen zu widmen. Dies, obwohl sich die Nachfrage nach solchen Lösungen ableiten lässt, wenn wir andere Zukunftstechnologien vergleichen (Zum Beispiel quanten-computing resiliente Verschlüsselung). Es ist Zeit, dass sich dies ändert.
Natürlich können wir von Nutzerinnen und Nutzern einen zunehmend kritischeren Umgang mit Ergebnissen von KI-Systemen erwarten. Aber die Zeit, in der Sicherheitsleute vor allem als Warner auftraten, ist vorbei. Wir müssen frühzeitig die "Spielfelder" der Zukunft erforschen und so erweitern, dass sich alle Beteiligten ohne ständige Ermahnung entfalten können.
Zu den Autoren
Marcel Zumbühl ist Co-Präsident der Information Security Society Switzerland (ISSS) und seit August 2018 CISO der Schweizerischen Post.
Angelo Mathis ist Vorstandsmitglied von ISSS und seit über 22 Jahren für PwC tätig.