Grenzen der „KI“-Sprachmodelle liegen bei Sicherheit

Juni 30, 2024

DeepSec warnt: „KI“-Sprachmodelle generieren Inhalte und setzen sich über Berechtigungen hinweg

Die Sprachmodell-Algorithmen, auch als generative Künstliche Intelligenz bezeichnet, feiern weiterhin ihren vermeintlichen Siegeszug durch viele Medienplattformen. Sicherheitsforschende haben die Produkte analysiert und eine Reihe von Schwächen in den „KI“ Applikationen offengelegt. Die diesjährige DeepSec Konferenz widmet sich den Bedrohungen durch „KI“-Lernmodelle, die mit unvollständigen Restriktionen öffentliche und sensitive Daten beauskunften.

Large Language Models (LLMs) als Autovervollständigung

Die technische Beschreibung der vielen „Künstliche Intelligenz“ („KI“)-Produkte am Markt ist beeindruckend. Das Konzept hinter den Werbekampagnen besteht, vereinfacht dargestellt, aus Algorithmen, die möglichst viele Daten kopieren, zerlegen und dann neu kombiniert zu Antworten auf beliebige Fragen zusammensetzen. Der Lernprozess bei der Erstellung des Sprachmodells ist dabei anfänglich nicht überwacht oder moderiert. Erst in späteren Phasen kommt ein sogenanntes „fine-tuning“ zum Tragen, welches per Stichprobe Fragen mit korrekten Antworten vergleicht. Bestimmte Worte und Aussagen bekommen durch statistische Effekte eine Bedeutung, weil das Sprachmodell die Antworten aus Mustern zusammensetzt, die plausibel klingen. Umformulierungen der Frage beeinflussen die Antwort.

Es bleibt jedoch immer eine Zufallskomponente als beeinflussender Faktor im Vorgang übrig. Im Jahre 2021 wurde dieser Umstand von Forscherinnen untersucht. Das Ergebnis mit einer Übersicht über diese stochastischen Prozesse wurde im Artikel mit dem Titel „On the Dangers of Stochastic Parrots: Can Language Models Be Too Big?“ publiziert. Die Studie wirft die Fragen nach dem Nutzen im Anbetracht der Kosten auf. Das Trainieren von großen Sprachmodellen verbraucht sehr viel Energie und Speicherplatz. Die Fehlerrate lässt sich nicht leicht korrigieren, weil die Daten aus der Lernphase nicht wie in einer Datenbank leicht korrigiert werden können. Es stellt sich die Frage, was die derzeitigen Systeme potentiellen Kunden wert sind, wenn deren Fehlerrate im zweistelligen Prozentbereich liegt (teilweise über 50 Prozent Fehlerquote). Speziell bei kritischen Entscheidungen kann man aktuelle LLMs daher nicht einsetzen. Niemand würde einer Operation zustimmen, die ein chirurgischer Roboter nur mit 50-prozentiger Wahrscheinlichkeit korrekt durchführt.

Haltloses Kopieren von Daten als Sicherheitslücke

Die Lerndaten der Sprachmodelle sind ein kritischer Punkt. Nachträglich wurde von einigen Herstellern der „KI“-Modelle zugegeben, dass jedwede Inhalte ohne Rücksicht auf Urheber- und Nutzungsrechte für die Lernphasen verwendet wurden. Die älteren Modelle haben noch eine nachvollziehbare Dokumentation. Über Modelle GPT-3.5 und GPT-4 sind weder die Trainingsquellen noch die Kosten für die Lernphase publiziert. Die Abkürzung GPT steht hier für den Begriff „Generative Pre-trained Transformer“. Damit ist gemeint, dass der Algorithmus auf Basis der Lerndaten Inhalte „generiert“ (durch Mischen mit vorgenerierten Inhalten). Der Korpus der gelernten Daten ist durch die algorithmische Bearbeitung in eine Form überführt, die eine Bearbeitung unmöglich macht. Das bedeutet, dass sensitive Daten nach der Lernphase nicht mehr gezielt gelöscht oder bearbeitet werden können. Dieser Aspekt ist für die Informationssicherheit ein Problem, denn alle Dienste, die nachträglich lernen, können sensitive Daten aus einer Organisation heraustragen. Die Tatsache, dass die LLMs nicht lokal betrieben werden können und an eine Cloud-Plattform angeschlossen werden müssen, führt Lücken in die Berechtigungskontrolle ein.

Selbst lokale Lerndaten bergen die Gefahr, dass unkontrolliert sensitive Inhalte erfasst und mittels der richtigen Frage beauskunftet werden. Dies ist beispielsweise eine Bedrohung durch das neue Produkt Copilot+ Recall für die Windows-Plattform. Das Feature legt pro Sekunde einen Screenshot an, erfasst die auf dem Desktop sichtbaren Daten und legt es nach Behandlung durch einen Algorithmus durchsuchbar in eine lokale Datenbank. Damit werden zukünftige Angreifer einfach nach dieser Datenback suchen und die darin enthaltenen Informationen auswerten. Der Lernalgorithmus hat bereits die Berechtigungen entfernt. Das Feature öffnet Tür und Tor für Spionage und Missbrauch.

Angriffe auf Sprachmodelle

Die anfangs erwähnten Schwachstellen der Sprachmodelle stellen eine weitere Gefahr dar. Es ist Sicherheitsforschenden bereits wiederholt gelungen, mit Umformulierungen Schutzmechanismen der „KI“-Werkzeuge auszuhebeln. Dabei geht es um Auskünfte zum Bauen einer Bombe, Preisgabe sensitiver Informationen oder anderer gesperrter Inhalte. Einem Forscher ist es gelungen, alle am Markt befindlichen Sprachmodelle durch bestimmte Abfragen zum Generieren von sinnlosen Antworten zu bewegen. Eine Publikation zu diesem Thema steht bevor. Darüber hinaus leiden alle „KI“-Sprachmodelle an sogenannten Halluzinationen. Dieser Effekt bei den eingesetzten Algorithmen ist seit über 20 Jahren bekannt.

Speziell bei den Sprachmodellen handelt es sich dabei um Auskünfte, die komplett ohne Bezug zur Realität sind. Sie kommen durch die Transformationen der „gelernten“ Inhalte zustande. Bei „KI“-Algorithmen, die Bilder generieren, kann man diese Effekte gut als zusätzliche sichtbare Finger, duplizierte Features oder ohne Bezug eingefügte Objekte erkennen. Halluzinationen sind inhärenter Bestandteil der Modelle aufgrund statistischer Effekte. Eine Reduktion kann nur durch überwachtes Lernen und menschliches Feedback durchgeführt werden. Aus Kostengründen werden stattdessen Filter eingebaut, die bestimmte Antworten nicht zulassen (was aber wiederum durch Umformulierung der Fragen umgangen werden kann).

Diese Schwachstellen sind besonders kritisch für Antworten der Sprachmodelle, die in Entscheidungen oder Programmcode eingehen. Es ist daher wichtig, dass man im aktuellen Zoo der „KI“-Werkzeuge keines unbeaufsichtigt einsetzt und die Antworten entsprechend prüft. Zur DeepSec Konferenz werden solche Angriffe und die dadurch entstehenden Risiken für Anwendungen thematisiert. Der Call for Papers ist bereits offen und läuft bis 31. Juli 2024.

Programme und Buchung

Die DeepSec 2024-Konferenztage sind am 21. und 22. November. Die DeepSec-Trainings finden an den zwei vorangehenden Tagen, dem 19. und 20. November statt. Alle Trainings (bis auf angekündigte Ausnahmen) und Vorträge sind als Präsenzveranstaltung gedacht, können aber im Bedarfsfall teilweise oder komplett virtuell stattfinden. Für registrierte Teilnehmer und Teilnehmerinnen wird es einen Stream der Vorträge auf unserer Internetplattform geben.

Die DeepINTEL Security Intelligence Konferenz findet am 20. November statt. Da es sich um eine geschlossene Veranstaltung handelt, bitten wir um direkte Anfragen zum Programm an unsere Kontaktadressen. Wir stellen dafür starke Ende-zu-Ende-Verschlüsselung bei Kommunikation zur Verfügung: https://deepsec.net/contact.html

Tickets für die DeepSec Konferenz und die Trainings können Sie jederzeit online unter dem Link https://deepsec.net/register.html bestellen. Ermäßigungscodes von Sponsoren stehen Ihnen zur Verfügung. Bei Interesse melden Sie sich bitte unter deepsec@deepsec.net. Bitte beachten Sie, dass wir wegen der Planungssicherheit auf rechtzeitige Ticketbestellungen angewiesen sind.

Related Articles

Alle News im Überblick

Alle News im Überblick

15.07.2024 Hessen: „Ein friedliches und sicheres Fußballfest im Herzen von Europa.“ 15.07.2024 Bucher Automation AG setzt ein starkes Zeichen 15.07.2024 41 Prozent mehr Ransomware-Angriffe seit 2020 14.07.2024 Metaverse: Jedes zehnte Unternehmen sieht sein...

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

„Ein friedliches und sicheres Fußballfest im Herzen von Europa.“

Innenminister Roman Poseck (Foto), Frankfurts Polizeipräsident Stefan Müller und der Leiter der Abteilung Einsatz Thomas Schmidl ziehen positive Bilanz zur Fußball-Europameisterschaft 2024 Die Fußballeuropameisterschaft hat zwischen dem 14. Juni und 14. Juli 2024 in...

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Niederländischer Staat verliert Millionen durch Polizeieinsätze

Durch die Proteste der Polizisten für eine bessere Frühpension verliert die niederländische Staatskasse jede Woche mindestens 1,5 Millionen Euro, schreibt De Telegraaf. Seit dem 7. Mai behalten die Beamten ihre Strafzettel für kleinere Vergehen in der Tasche. Eine...

Share This