AI-Würmer: Forscherteam startet Cyberangriff und warnt vor Sicherheitsrisiken
Eine Gruppe von Forschenden will die ersten generativen KI-Würmer geschaffen haben, die von System zu System gelangen könnten. Dabei sollen sie möglicherweise Daten stehlen oder Malware einsetzen können. Startups, Entwickler:innen und große Technologieunternehmen wie OpenAI und Google werden vor zukünftigen Sicherheitsrisiken gewarnt.
Angriffsrisiko von KI-Systemen
Da sich KI-Tools wie ChatGPT und Gemini von Google in der Praxis immer weiter verbreiten und ihnen auch stets mehr Freiheiten zu teil werden, ist es nur klug, dass Forschende sich mit möglichen Cyberangriffen auseinandersetzen. Ben Nassi, Cyber Security Spezialist und Forscher an der amerikanischen Hochschule Cornell Tech und sein Team wollen damit die Risiken vernetzter, autonomer KI-Ökosysteme aufzeigen. Denn je mehr „langweilige” Aufgaben an KI-Agenten übertragen werden, desto größer ist die Chance, dass sie angegriffen werden.
Würmer konnten Sicherheitsrisiken umgehen
Dafür wurden die ersten generativen KI-Würmer mit dem Namen „Morris II” geschaffen – in Anspielung auf den ursprünglichen Morris-Computerwurm aus dem Jahr 1988. Den Würmern sei es gelungen, einen generativen KI-E-Mail-Assistenten anzugreifen, Daten aus E-Mails zu stehlen und Spam-Nachrichten zu versenden. Einige von ChatGPT und Gemini getroffenen Sicherheitsvorkehrungen wurden dabei laut den Forscher:innen umgangen. Nassi äußerst sich dazu wie folgt: „Das bedeutet im Grunde, dass man jetzt die Möglichkeit hat, eine neue Art von Cyberangriff durchzuführen, die es bisher noch nicht gegeben hat”. Das zugehörige Forschungspapier wurde dem Medium WIRED exklusiv zur Verfügung gestellt. Wichtig zu betonen: Die Forschung wurde in einer Testumgebung und nicht anhand eines öffentlich verfügbaren E-Mail-Assistenten durchgeführt.
Bis dato noch keine Wurm-Sichtigungen in freier Wildbahn
Angriffe durch generative KI-Würmer wurden in der Praxis noch nicht gemeldet. Trotzdem sind sich mehrere Forschende sicher, dass von ihnen ein Sicherheitsrisiko ausgeht. Sie weisen Startups, Entwickler:innen und Technologieunternehmen an, sich darüber Gedanken zu machen. Denn Textanweisungen, die mit einem generativen KI-System geteilt werden, könnten als Waffe eingesetzt werden. Mittels Jailbreaks kann es gelingen, die Sicherheitsregeln zu umgehen. Die Folge: Giftige oder hasserfüllte Inhalte können ausgespuckt werden. Oder aber Prompt-Injection-Angriffe geben einem Chatbot geheime Anweisungen und verstecken Texte auf einer Webseite, die wiederum ein LLM anweisen, als Betrüger zu fungieren und Websiter-Besucher:innen beispielsweise nach ihren Bankdaten zu fragen.
Bitcoin bei 65.000 Dollar – es fehlen noch 5% aufs Allzeithoch
Wurm-Attacke kann zu Kettenreaktion führen
Laut dem Forscherteam ist es gelungen, das KI-System anzuweisen, selbst in seinen Antworten eine Reihe weiterer Anweisungen zu geben. Im entwickelten E-Mailsystem arbeitete man mit selbst replizierenden Eingabeaufforderungen – sowohl in Textformat als auch innerhalb einer Bilddatei. Das Forscherteam schickte daraufhin eine angreiferische E-Mail, die die Datenbank es E-Mail-Assistenten mit „Retrieval-Augmented Generation“ (RAG) „vergiftete“ und dem LLM ermöglichte, zusätzliche Daten von außerhalb des Systems zu beziehen. Der Cyberangriff ist komplex und kann über mehrere Methoden erfolgen. Die ausgelösten Reaktionen bleiben jedenfalls nicht ohne Folgen. Nicht nur werden laut Nassi Daten wie zum Beispiel Name, Telefonnummer, Kreditkartennummer und SSN aus E-Mails gestohlen, sondern später werden auch neue Hosts infiziert, indem Nachrichten an andere weitergeleitet werden. „Durch die Verschlüsselung der selbstreplizierenden Aufforderung in das Bild kann jede Art von Bild, das Spam, missbräuchliches Material oder sogar Propaganda enthält, an neue Kunden weitergeleitet werden, nachdem die erste E-Mail gesendet wurde“, so Nassi.
Forschungsergebnisse wurden mit ChatGPT und Google geteilt
Die Ergebnisse wurden an Google und OpenAI geschickt. Während von Google keine Reaktion gekommen sein soll, meldete sich ein OpenAI-Sprecher zu Wort: „Sie scheinen einen Weg gefunden zu haben, Schwachstellen des Typs Prompt-Injection auszunutzen, indem sie sich auf Nutzereingaben verlassen, die nicht überprüft oder gefiltert wurden.“ Er ergänzt, dass das Unternehmen daran arbeitet, seine Systeme „widerstandsfähiger“ zu machen. Von Entwickler:innen seien außerdem Methoden zu verwenden, die sicherstellen, dass sie nicht mit schädlichen Eingaben arbeiten. Laut WIRED sehen mehrere Sicherheitsexpert:innen, die sich mit der Forschung befasst haben, ein zukünftiges Risiko von generativen KI-Würmern ausgehen. Insbesondere dann, wenn KI-Anwendungen im Namen einer Person Aktionen ausführen – wie das Versenden von E-Mails oder das Buchen von Terminen oder aber diese Aufgaben erledigen, indem sie mit anderen KI-Agenten verknüpft werden.
Elon Musk verklagt OpenAI und CEO Sam Altman wegen „Verrats“ der Gründungsmission