Seltsame Sicherheit: Was Sie über generative KI und Cybersicherheit wissen sollten

Während Technologieunternehmen seit langem künstliche Intelligenz in ihren Produkten verwenden, bedeutet die Einführung von Tools wie ChatGPT und DALL-E von OpenAI, dass generative KI nun für jeden mit einem Computer oder Smartphone zugänglich ist – auch für Bedrohungsakteure.

KI-Forscher und Cybersicherheitsexperten haben begonnen, Löcher in generative KI-Plattformen zu stoßen, um nach Sicherheitslücken zu suchen. Die Datenschutz-Grundverordnung (DSGVO) der EU hat auch Bestimmungen über generative KI festgelegt, um Daten von Personen zu schützen und Cyberbedrohungen zu verhindern.

Wie bei jeder sich schnell entwickelnden Technologie hat generative KI viele Fragen zur Sicherheit unserer Daten aufgetan. Da diese Tools unsere Arbeitsweise als Unternehmen und Einzelpersonen weiter verändern, haben sie auch Bedenken hinsichtlich Ethik und Arbeitsplatzsicherheit geschaffen. 

Hier erfahren Sie, was Sie beim Navigieren in dieser neuen und unbekannten technologischen Landschaft beachten sollten.

Was sind generative KI und große Sprachmodelle (LLMs)?

Generative KI ist eine Form von Technologie für maschinelles Lernen, mit der Benutzer eine Eingabeaufforderung in Klartext eingeben und in Sekundenschnelle Text, Code, Bilder, Audio und Video generieren können. OpenAI, ein Forschungslabor für künstliche Intelligenz, hat zwei der prominentesten generativen KI-Tools entwickelt: DALL-E, das Bilder basierend auf Benutzeraufforderungen erstellt, und ChatGPT, den fortschrittlichsten Chatbot der Welt. ChatGPT kann auf Suchanfragen reagieren und Text wie Filmskripts, Gedichte und Code generieren. Es wird auch als Verarbeitungsmodell für natürliche Sprache oder großes Sprachmodell (LLM) klassifiziert, was bedeutet, dass es für einen massiven Datensatz trainiert wurde, das Websites, Bücher und Artikel enthält. So kann ChatGPT Muster erkennen, um Vorhersagen zu treffen und beim Lösen von Problemen und Beantworten von Fragen einen unheimlich menschenähnlichen Ansatz zu verfolgen.

ChatGPT ist bei weitem nicht die einzige Plattform, die zugängliche generative KI bietet. Unternehmen wie Bard und Bing AI von Microsoft deuten darauf hin, dass sich der Markt immer noch entwickelt und wettbewerbsfähig wird.

Was sind die ethischen Bedenken im Zusammenhang mit generativer KI?

Stellen Sie sich vor: Ein Trailer zu Der Herr der Ringe im Stil von Wes Anderson. Drake rappt Liedtexte von Ice Spice. Die überraschend prägnanten und cleveren Hochzeitsgelübde Ihres Ehepartners.

Bis vor kurzem würde die Erstellung dieser Dateien viel Zeit, Ressourcen und Fähigkeiten benötigen. Dank generativer KI-Tools können Ideen, die in Ihrer Notizen-App zurückgelassen wurden, plötzlich und mit wenig Aufwand zum Leben erweckt werden – Sie benötigen lediglich eine textbasierte Eingabeaufforderung.

Generative KI basiert auf „Trainingsdaten“, zu denen alle öffentlich verfügbaren Inhalte und Open-Source-Codes gehören können – hochgeladene Grafiken, Google-Suchen und öffentliche Foren sind Freiwild. Wenn generative KI „neue“ Inhalte produziert, nutzt sie Trainingsdaten; in diesem Fall Originalinhalte, die von Künstlern, Schriftstellern und Entwicklern erstellt wurden.

Einige Unternehmen sind vor kurzem unter Beschuss geraten, weil sie von generativer KI produzierte Inhalte gewinnbringend verwenden oder sogar Ersteller von Inhalten durch generative KI-Tools ersetzen. Während dieser Wandel in den Branchen weitgehend unreguliert verläuft, ziehen einige Schöpfer und Entwickler den Kürzeren.

Es ist nicht einfach, zu verhindern, dass große Sprachmodelle Ihr geistiges Eigentum nutzen. Das Musikunternehmen Universal Music Group (UMG) hat beispielsweise beantragt, dass Streaming-Dienste es nicht mehr erlauben, Werke ihrer Künstler – darunter Drake, Ariana Grande und Taylor Swift – für KI-Trainingsdaten zu verwenden. Plattformen wie Apple Music und Spotify müssen noch reagieren, während das US-amerikanische Urheberrechtsbüro sagt, es werde im Rahmen seiner Initiative öffentliche Eingaben einholen, um aktuelle Urheberrechtsgesetze und -richtlinien im Zusammenhang mit KI zu untersuchen.

Einige Künstler verwenden generative KI, um ihre eigene Arbeit zu verbessern. Viele haben jedoch darauf hingewiesen, dass das dem Stehlen von anderen Schöpfern entspricht. Vor kurzem hat ein Dokumentarfotograf eine Branchendebatte ausgelöst, als er KI verwendete, um ein Fotojournalismusprojekt über kubanische Flüchtlinge zu erstellen. Da Fortschritte es schwieriger machen, echte Fotos von KI-generierten Bildern zu unterscheiden, fragen Kritiker, wie sich das auf die Gültigkeit und Ethik der Dokumentarfotografie auswirkt.

Wie wirkt sich generative KI auf die Online-Sicherheit aus?

Benutzer haben Problemumgehungen für Sicherheitsbeschränkungen für generative KI-Tools gefunden, sodass Plattformen wie ChatGPT schädliche Inhalte oder bösartigen Code ausspucken können.

Kürzlich berichtete WIRED über Forschungen zu „indirekten Prompt-Injection-Angriffen“, die mit LLMs möglich sind. Cybersicherheits- und KI-Forscher haben die Schwachstellen generativer KI-Plattformen wie ChatGPT und zugehöriger Plugins getestet, um die Fähigkeit zu demonstrieren, versteckte, böswillige Anweisungen in Benutzeraufforderungen zu verknüpfen, sodass die Plattform vom Benutzer unbeabsichtigte Aktionen ausführt. In einem Beispiel hat ein Forscher einen versteckten Befehl in ein YouTube-Videotranskript eingebettet. Als ChatGPT gebeten wurde, das Video zusammenzufassen, erzählte der Bot auch einen Witz, der nicht Teil des Videos war. Obwohl die aktuellen Beispiele harmlos sind, glauben Experten, dass Bedrohungsakteure diese Schwachstellen ausnutzen könnten, um bösartige Prompt-Injection-Angriffe durchzuführen.

Bedrohungsakteure können diese Tools nutzen, um komplexere Cyberangriffe durchzuführen. Cybersicherheitsexperten warnen vor Business Email Compromise (BEC)-Angriffen und Ransomware-Angriffen, die durch KI verstärkt werden. Da es sich bei Tools wie ChatGPT um Modelle zur Verarbeitung natürlicher Sprache handelt, verbessern sie die Fähigkeit eines Hackers, beim Einsatz von BEC-Angriffen und Phishing-Betrügereien menschlicher zu klingen. Wie Protocol betont, sind Ransomware-Angriffe schwer zu skalieren, aber mit der Weiterentwicklung der KI können Bedrohungsakteure möglicherweise Prozesse automatisieren und umfassendere Ransomware-Angriffe schneller durchführen.

Doch genau wie Bedrohungsakteure nach Möglichkeiten suchen, maschinelles Lernen auszunutzen, investieren „ethische Hacker“ Zeit in die Weiterentwicklung der Technologie zur Bedrohungserkennung. Während Hacker beispielsweise ChatGPT bitten können, eine Phishing-E-Mail zu schreiben, können Benutzer den Bot auch bitten, E-Mails auf Phishing-Sprache zu überprüfen.

Welche Datenschutzbedenken gibt es im Zusammenhang mit generativer KI?

Während OpenAI Benutzerdaten sammelt, die für die meisten Online-Plattformen typisch sind, weisen Sicherheitsexperten auf die vagen Datenschutzrichtlinien hin und stellen ihre Fähigkeit in Frage, unsere persönlichen Daten vor Bedrohungsakteuren zu schützen, insbesondere nachdem bei ChatGPT im März ein „Verlaufsfehler“ aufgetreten ist, der vorübergehend die Zahlungsinformationen der Benutzer preisgegeben hat.

Auf der FAQ-Seite von OpenAI heißt es außerdem, dass ihre Mitarbeiter Gespräche auf ChatGPT überprüfen und die Daten zum Trainieren des Modells verwenden. Europäische Regulierungsbehörden behaupten, dass dies gegen die DSGVO-Regeln verstoßen könnte, die eine ausdrückliche Zustimmung der Benutzer und eine Rechtsgrundlage für die Speicherung von Benutzerdaten erfordern.

Im Jahr 2021 schlug die EU ihr Gesetz zur künstlichen Intelligenz vor, um parallel zur DSGVO-Gesetzgebung zu arbeiten und die generative KI in Bezug auf den Datenschutz genau im Auge zu behalten. Italien hat ChatGPT sogar verboten, das Verbot wurde jedoch kurz nach der Anpassung der Datenschutzrichtlinie durch OpenAI aufgehoben. Dennoch untersuchen Regulierungsbehörden in vielen Ländern weiterhin die Datennutzung der Plattform sowie deren Potenzial zur Verbreitung von Fehlinformationen. Da LLMs die Fähigkeit haben, unsinnige Informationen zu erzeugen, was als „Halluzinieren“ bezeichnet wird, sind einige der Antworten fehleranfällig oder sachlich falsch.

In der Gesundheitsbranche wird ChatGPT in Plattformen für elektronische Gesundheitsakten (EHR) integriert. Mediziner erforschen auch, wie generative KI zur Vereinfachung von Aufgaben wie der Übersetzung von Materialien für Patienten und der Zusammenfassung der Krankengeschichten von Patienten eingesetzt werden kann. Dies alles wirft Bedenken hinsichtlich der HIPAA-Konformität sowie der Vertraulichkeit, Genauigkeit und Rechenschaftspflicht im Gesundheitswesen auf.

Wie können Sie generative KI achtsamer nutzen?

Im Bewusstsein der Fähigkeiten und Defizite der generativen KI finden Sie hier Möglichkeiten, das Risiko bei der Nutzung der Plattform zu mindern.

• Einzelpersonen können verlangen, dass OpenAI ihre Daten löscht, und sich von der Verwendung ihrer Daten für Schulungszwecke durch das Tool abmelden.
• Für Entwickler bietet The Stack, ein Datensatz mit freizügig lizenziertem Quellcode, GitHub-Benutzern die Möglichkeit, ein Google-Formular auszufüllen, „um ihren Code auf Anfrage aus dem Datensatz entfernen zu lassen“.
• Verwenden Sie eine sichere Anmeldung, wenn Sie ein Konto bei OpenAI und einer anderen generativen KI-Plattform erstellen.
• Achten Sie darauf, wie Sie Inhalte verwenden, die aus großen Sprachmodellen generiert wurden, und berücksichtigen Sie mögliche Urheberrechtsverletzungen, ethische Faktoren und die Genauigkeit von KI-generierten Inhalten.
• Geben Sie niemals proprietäre oder persönliche Informationen an ChatGPT oder andere generative KI-Plattformen weiter, einschließlich sensiblen Codes. Wenn Sie es nicht offen online veröffentlichen würden, teilen Sie es nicht mit KI-Tools.
• Denken Sie darüber nach, wie Sie Ihre Daten im Allgemeinen online teilen: Denken Sie zweimal darüber nach, bevor Sie bestimmte Informationen in öffentlichen Foren wie sozialen Medien oder auf ungesicherten Plattformen teilen, um eine böswillige oder unbeabsichtigte Nutzung Ihrer Daten einzuschränken.