Verfälschte Ergebnisse durch KI-Poisining

Verfälschte Ergebnisse durch KI-Poisining

Beitrag teilen

Seit der Veröffentlichung von ChatGPT stellt sich Cybersicherheitsexperten die Frage, wie sie die Verfälschung der GenKI durch Poisining kontrollieren sollen. Sie gehen zunächst von einem Bedrohungsszenario aus, nämlich dass durch das Data Posining der Output der GenKI bereits verfälscht wird.

Bereits als erste Chatbots mit Machine Learning trainiert wurden und dann vorgefertigte Antworten liefern sollten, gab es Manipulationen. Ein Beispiel ist Twitter, jetzt X. Schon 2016 fanden es Mitglieder des Kurznachrichtendienstes lustig, den damaligen Chatbot Tay mit rassistischen Inhalten zu füttern. Das Projekt wurde daraufhin innerhalb eines Tages beendet. Ähnlich ergeht es im Grunde genommen allen öffentlich zugänglichen GenKI-Modellen. Sie werden von trollenden Nutzern auf kurz oder lang mit Desinformationen gefüttert oder aufgefordert danach zu suchen. Der Nutzer selbst ist ein Problem, doch es droht noch ein weit Schlimmeres.

Anzeige

Split-View- und Frontrunning Poisining

Lange Zeit stellte dieses Szenario nämlich die einzige Gefährdung dar. Doch seit letztem Jahr hat sich das geändert. Forscher der ETH Zürich haben in Zusammenarbeit mit Tech Firmen wie Google und NVIDIA in einer Studie nachgewiesen, wie sich KI-Poisining umsetzen lässt. Die Forscher stellten zwei Angriffsarten zum Vergiften von Datensätzen vor. Die Studie zeigt, dass sich mit diesen Attacken 10 beliebte Datensätze wie LAION, FaceScrub und COYO vergiften lassen. Beim ersten Angriff, dem Split-View-Poisoning, wird die Veränderlichkeit von Internetinhalten ausgenutzt, um sicherzustellen, dass die anfängliche Ansicht des Datensatzes durch einen Kommentator von der Ansicht abweicht, die von nachfolgenden Clients heruntergeladen wird. Unter Ausnutzung bestimmter ungültiger Vertrauensannahmen zeigten die Forscher, wie sie 0,01 Prozent der LAION-400M- oder COYO-700M-Datensätze mit einem Aufwandsbudget von nur 60 US-Dollar vergiften konnten. Der zweite Angriff, das Frontrunning Poisoning, zielt auf Datensätze im Internet ab, die in regelmäßigen Abständen Snapshots von crowd-gesourcten Inhalten erstellen. Hier entschieden sich die Forscher für Wikipedia. Die Studie belegt, dass ein Angreifer nur ein zeitlich begrenztes Fenster benötigt, um bösartige Daten einzuschleusen.

Diese Art von Angriffen entwickelt sich zu einer ernsthaften Bedrohung und wird Auswirkungen auf die Software-Lieferkette haben. Durch gezielte Angriffe auf ein- und ausgehende Datenpipelines können Angreifer Daten manipulieren, um KI-Modelle und die von ihnen erzeugten Ergebnisse zu verfälschen und sogar vergiften. Auch kleine Änderungen am Code eines KI-Modells während des Trainings können gravierende Auswirkungen haben. Jede böswillige Änderung an einem KI-Modell – egal wie unbedeutend sie zu sein scheint – wird verstärkt, sobald das Modell in Produktion ist und eigenständig handelt.

Kill Switch für KI

Angesichts der Tatsache, dass KI in immer größerem Umfang in geschäftskritischen Anwendungen und Services eingesetzt wird, ist der Schutz der Integrität dieser Systeme von entscheidender Bedeutung. In Branchen wie der verarbeitenden Industrie und der chemischen Industrie sind Kill Switches in Soft- und Hardware bereits weit verbreitet. Sie bieten eine sichere Möglichkeit, um zu verhindern, dass eine gefährliche Situation außer Kontrolle gerät und irreparable Schäden anrichtet. Deshalb stellt sich die Frage, wie ein Kill Switch für KI wie GenKI aussehen sollte. Falls eine weitverbreitete GenKI verfälscht wird, müssen IT-Experten und vor allem IT-Sicherheitsfachkräfte sie kontrollieren und mögliche Schäden beheben können. Die IT sieht solche Auswirkungen bereits bei zahlreichen Angriffen auf Cloud Provider oder aber Drittsoftware wie bei Solarwinds oder sogar bei Sicherheitssoftware wie Firewalls von Fortinet.

Schutz vor Poisining

Eine Lösung für das zu Beginn geschilderte Problem kann nur ein Kill-Switch für KI-Modelle sein. Denn anstatt eines einzelnen Kill Switch pro KI-Modell könnte es Tausende von Maschinenidentitäten geben, die an ein Modell gebunden sind und es in jeder Phase schützen – sowohl beim Training als auch in der Produktion. IT-Sicherheitsexperten behalten die Kontrolle, wenn die KI von Identitäten abhängig gemacht wird. Falls die KI abtrünnig wird, werden die betroffenen Identitäten widerrufen. Das bedeutet, dass sie nicht mehr mit anderen Maschinen interagieren kann. Sie wird dann vom Rest des Systems isoliert. Wenn ein KI-System von Hackern kompromittiert wird, kann die Aktivierung dieses Kill Switch verhindern, dass es mit bestimmten Diensten kommuniziert oder es ganz abschalten, um weiteren Schaden zu verhindern und die Bedrohung einzudämmen.

Mehr bei Venafi.com

 


Über Venafi

Venafi ist der Marktführer im Bereich Cybersicherheit für das Identitätsmanagement von Maschinen. Vom Fundament bis zur Cloud verwalten und schützen Venafi-Lösungen Identitäten für alle Arten von Maschinen - von physischen und IoT-Geräten bis hin zu Softwareanwendungen, APIs und Containern. Venafi bietet globale Transparenz, Lebenszyklus-Automatisierung und umsetzbare Intelligenz für alle Arten von Maschinenidentitäten und die damit verbundenen Sicherheits- und Zuverlässigkeitsrisiken.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen

Gemeinsamkeiten und Unterschiede von PIM und PAM

Nicht selten werden die Aufgaben und Ziele der beiden Prinzipien PIM und PAM für die sichere Identifikationen und deren Verwaltung ➡ Weiterlesen