:quality(80)/p7i.vogel.de/wcms/c8/6b/c86bfadc9400e3859e5a8173b99872db/0114956871.jpeg "Für das große Gewinnerbild standen dann alle Preisträgerinnen und Preisträger noch einmal gemeinsam mit Moderatorin Margit Lievertz und Dev-Insider-Chefredakteur Stephan Augsten auf der Bühne. (Bild: krassevideos.de / VIT)")
:quality(80)/p7i.vogel.de/wcms/82/e2/82e20061fab6f1fc0561f023c6bfd2cc/0114109627.jpeg "Dev-Insider verleiht heute die IT-Awards 2023 in sechs Kategorien. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/5f/f4/5ff47683e4bc8de6cf2d484e627c58f2/0107845613.jpeg "Wir präsentieren die Gewinnerinnen und Gewinner der Dev-Insider Readers’ Choice Awards, (Bild: VIT)")
:quality(80)/p7i.vogel.de/wcms/55/d8/55d8de7a538dd09179a73c8038cf4147/0107796204.jpeg "Zum achten Mal verleihen die Insider-Portale die IT-Awards, nach zwei virtuellen Events wieder im Rahmen einer Abendgala. (Bild: Vogel IT-Medien)")
:quality(80)/p7i.vogel.de/wcms/7a/59/7a595755b165e6d0939b52bc4bb82e9d/0113646230.jpeg "Blockchain-Technologien schaffen Vertrauen, was auch beim programmatischer Werbung von Vorteil ist. (Bild: <a href=https://pixabay.com/de/users/kiquebg-5133331/>kiquebg</a>)")
:quality(80)/p7i.vogel.de/wcms/fc/5d/fc5d51c434c66a36ab98ec88e33f3f11/0113457541.jpeg "Das Blockchain Competence Center Mittweida veranstaltet die gesamte Blockchain Autumn School 2023 über Zoom. (Bild: BCCM)")
:quality(80)/p7i.vogel.de/wcms/35/5b/355b75f20e735b8a4e5e14052b58477d/0113325597.jpeg "Basierend auf USD-Coin sollen die Programmable Wallets von Circle einfach integrierbare Crypto-Geldbörsen ermöglichen. (Bild: Circle)")
:quality(80)/p7i.vogel.de/wcms/31/d6/31d6c005205f8dde8b88c2130c4b64ce/0115047701.jpeg "Bei einer Variablen richtet sich die Wahl des optimalen Datentyps nach dem zu erwartenden Inhalt. (Bild: <a href=https://pixabay.com/users/kuszapro-369349/>Christopher Kuszajewski</a>)")
:quality(80)/p7i.vogel.de/wcms/e8/b6/e8b6693b9252e7474c62ffadbdee385c/0115564730.jpeg "Veracode möchte dazu beitragen, Sicherheitsverletzungen in Webanwendungen zu vermeiden. (Bild: Veracode)")
:quality(80)/p7i.vogel.de/wcms/51/b7/51b7a7d69e16959c4e7dbe416c279173/0115397256.jpeg "Frank Karlitschek (2. von links) spricht als Keynote Speaker der SFSCON im NOI Techpark in Bozen. (Bild: Daniele Fiorentino)")
:quality(80)/p7i.vogel.de/wcms/e8/10/e8103ad3c912d1b400312f5b58c2eddd/0114050691.jpeg "Der Autor: Andrej Nikonov ist KI-Experte und Geschäftsführer von Cloudflight München (Bild: Cloudflight)")
:quality(80)/p7i.vogel.de/wcms/d1/a4/d1a47ae3556763bfb51056eac6eac031/0115379618.jpeg "Gerade jüngere Generationen wünschne sich mehr Interaktion im Team, wollen aber gleichzeitig nicht unbedingt ins Büro kommen. (Bild: <a href=https://pixabay.com/users/geralt-9301/>Gerd Altmann</a>)")
:quality(80)/p7i.vogel.de/wcms/37/cc/37cc97b232d286b4a8d91b1588545b21/0115289837.jpeg "Die KI-Suite GitLab Duo wird sukzessive ausgebaut, Chat und Code-Vervollständigung sind die nächsten Neuerungen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/ee/71/ee7167e6c8ba4f0af6075f0aedb53d94/0115097582.jpeg "Zwar entfällt das Infrastruktur-Management beim Serverless Computing weitestgehend, doch das wirft wiederum auch Nachteile auf. (Bild: <a href=https://pixabay.com/users/akitada31-172067/>Roman</a>)")
:quality(80)/p7i.vogel.de/wcms/a8/3d/a83d193abb5ef91d666c1e785facf293/0114675276.jpeg "(Bild: Suse Software Solutions)")
:quality(80)/p7i.vogel.de/wcms/7e/90/7e90a1c3f6f7f92db53c0d3a7d4d290b/0114716740.jpeg "Die Verwaltung von Containern mit Kubernetes ist nicht trivial. Administratoren brauchen viel Geduld und Know-how, um beliebte Fehler bei der Verwendung von Probes sowie der Ressourcenverteilung zu vermeiden. (Bild: Ulrike Ostler)")
:quality(80)/p7i.vogel.de/wcms/88/94/88946f4dedd1bf482b02fd8885d8eae0/0115579192.jpeg "Vielen Unternehmen fehlt der Überblick, welche APIs es gibt und wohin genau welche Daten mit welcher Kritikalität über diese Schnittstellen fließen. (Bild: Murrstock - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/7a/66/7a66a7339fb3df4f3b74358ae8157182/0111426638.jpeg "Mit Hilfe der Cast-Cloud-Applikation können Anwender ihre Software modernisieren, sicherer und umweltfreundlicher gestalten. (Bild: Cast Software)")
:quality(80)/p7i.vogel.de/wcms/02/bf/02bf661fea289930b4840db93b7f32d3/0115381672.jpeg "Ein kostenloses Tool der Wortliga hilft beim Verfassen barrierefreier Texte. (Bild: Karolina Grabowska)")
:quality(80)/p7i.vogel.de/wcms/fb/59/fb59f05dc4213bea05b55a5c557e5c02/0115122038.jpeg "Konfigurieren des Code-Analyse-Tools PMD in Eclipse. (Bild: Joos / Eclipse Foundation)")
:quality(80)/p7i.vogel.de/wcms/a7/a7/a7a7a7fb4f177ed66b19de7da5774b0c/0114537681.jpeg "IBM hat einige KI-basierte Neuheiten rund um seine IBM-Z-Plattform angekündigt. (Bild: IBM)")
:quality(80)/p7i.vogel.de/wcms/f1/8a/f18a4e8a90cedb82ec157f48150c97c5/0115353158.jpeg "Der Kontrol Hub soll sicherstellen, dass die Funktionen Software-definierter Fahrzeuge immer den aktuellen regulatorischen Vorgaben entsprechen. (Bild: <a href=https://pixabay.com/users/ken19991210-333782/>ken19991210</a>)")
:quality(80)/p7i.vogel.de/wcms/96/41/96410d07dd40694b8b473af9054e730c/0115019701.jpeg "Vor dem Ausführen wird Code in eine maschinell lesbare Form gebracht – und hierfür sind feste Regeln sinnvoll. (Bild: <a href=https://pixabay.com/users/johnsonmartin-724525/>Johnson Martin</a>)")
:quality(80)/p7i.vogel.de/wcms/2f/8e/2f8ede1d9d1dc4ae64f9d1fdd8cffb8f/0115091212.jpeg "In seinem Selbstverständnis als DevSecOps-Anbieter bietet GitLab über die reine Code-Verwaltung mit Git hinaus viele weitere Funktionen. (Bild: GitLab)")
:quality(80)/p7i.vogel.de/wcms/fe/d2/fed27eb813d94f3512c74fee8380567d/0114893074.jpeg "Codeberg bietet Git-Hosting und andere Services für freie und quelloffene Software, Inhalte und Projekte an. (Bild: Codeberg)")
:quality(80)/p7i.vogel.de/wcms/c2/21/c2213857722c33ef3d02db0acf33abc0/0112236476.jpeg "So sehen Chiselled Ubuntu containers aus – zumindest nach Auffassung der generativen KI DALL-E2. (Bild: Dall-E 2)")
:quality(80)/p7i.vogel.de/wcms/a9/6d/a96d15ff02a35fc84a9b65702395aa6b/0110694349.jpeg "Größenvergleich der gängigen Basis-Images (komprimiert und unkomprimiert). (Bild: Canonical)")
:quality(80)/p7i.vogel.de/wcms/ce/c1/cec146c6f112e79b71c56d37ee27145e/0105884802.jpeg "Das AWS Step Functions Workflow Studio ist ein visueller Editor, der sich insbesondere für das Prototyping von Workflows eignet. (Bild: Amazon Web Services)")
OWASP untersucht Künstliche Intelligenzen Sicherheit und Privatsphäre bei KI-Projekten
Anbieter zum Thema
:fill(fff,0)/images.vogel.de/vogelonline/companyimg/107300/107370/65.png "pressebox_600x600_v2.png ()")
:fill(fff,0)/p7i.vogel.de/companies/65/53/655336f3d99e1/logo-devops-windhoff-group.png "logo-devops-windhoff-group (https://devops.windhoff-group.de/)"){kind=logo}
:fill(fff,0)/p7i.vogel.de/companies/65/68/656863dbcf3d9/logo-devops-windhoff-group.png "logo-devops-windhoff-group (Windhoff Group)"){kind=logo}
Künstliche Intelligenz rüttelt die Tech-Welt derzeit ganz schön durch. Überschäumender Enthusiasmus auf der einen Seite. Jobverlust-Paranoia auf der anderen Seite. Was bislang etwas kurz kommt: Ganz reale Probleme rund um Sicherheit und Privatsphäre.
DALL-E, ChatGPT, GitHub Copilot, nur drei der Dutzenden KI-Services, die seit ein paar Monaten den Duft einer Revolution versprühen – nicht nur für die Technik, auch für die Gesellschaft. Journalisten, Künstler und Entwickler sind begeistert von den neuen, die Produktivität ins Unermessliche steigernden Tools. Oder fürchten sich vor der eigenen Obsoleszenz im Angesicht vermeintlich besserer KI-Konkurrenz.
Die Realität, so viel Weissagung sei gestattet, wird irgendwo dazwischen landen – und genau da liegt auch das Thema Security. Für Weltuntergangsexperten mag dieser Bremsklotz eine Nummer zu klein sein, für Enthusiasten überflüssig, aber es muss halt sein. Das hat erfreulicherweise auch The Open Worldwide Application Security Project erkannt, besser bekannt als OWASP Foundation.
Das OWASP hat Anfang des Jahres einen ersten Entwurf für einen Guide zu Sicherheit und Privatsphäre im KI-Umfeld veröffentlicht, das als „Incubator Project“ eingestuft ist, sich also noch in einer sehr frühen Phase befindet. Federführend ist Rob van der Veer von der niederländischen Software Improvement Group.
Vorgestellt wurden die Inhalte grundsätzlich bereits auf der Konferenz OWASP Global AppSec – und auch der Einleitungssatz zu dieser Präsentation trägt der gehobenen Erwartungshaltung bezüglich KI Rechnung: „Is AI our doom or our savior?“ Der Leitfaden beginnt mit allgemeinen Tipps zum Umgang mit AI Security im Unternehmen und widmet sich dann zunächst konkreten Sicherheitsrisiken, anschließend dem Thema Privatsphäre.
Im allgemeinen Bereich bleibt es – nun – sehr allgemein: (Strukturierte) Maßnahmen zur Cybersecurity weiterführen, die Praktiken guten Software Engineerings auch auf den Lebenszyklus von KI-Systemen anwenden (ISO/IEC 5883) und mit KI beschäftigte Mitarbeiter aus Entwicklung, Datenzentrum und Administration in die allgemeinen Security-Programme (Schulungen, Pentesting, Anforderungsmanagement etc.) einbeziehen. Überdies sollten allen Beteiligten die Risiken und potenziellen Attacken bekannt sein!
Konkrete Risiken
Ganz unten im Stack beginnt die Entwicklung von KI-Projekten mit der Erfassung und Vorbereitung der Trainingsdaten, was eigene Sicherheitsprozesse für den Umgang erfordert – zumal dies häufig außerhalb der eigentlichen Applikation stattfindet, wie van der Veer vermerkt. Spannend ist hier vor allem folgender Aspekt: Entwickler brauchen für das Training ihrer KI-Modelle echte Daten, keine künstlich erstellten Demo-Daten. Hier muss also von Beginn an reguliert werden, wer diese Daten sehen darf.
Reichlich Angriffsfläche bietet auch das KI-Modell, der Guide unterscheidet hier insgesamt sechs Attacken. Als „Data poisoning attack“ wird die gezielte Manipulation der Trainingsdaten verstanden. Ein Angreifer könnte hier beispielsweise Bilder unbefugter Personen für eine KI-Zugangskontrolle mit dem Label „befugt“ manipulieren. OWASP führt manipulierte Verkehrsschilder als Beispiel auf, die in einer Studie als „35 Mph“ statt als „Stopp“ interpretiert wurden.
Die „Input manipulation attack“ ist quasi eine Variante der Vergiftung: Hier wird nicht auf irreführende Labels im Trainings-Set gesetzt, sondern auf manipulierte Daten. Die KI wird dabei mit Daten gefüttert, die unerwünschte Ergebnisse produzieren – sei es mit gezielten Daten nach Analyse der Modell-Parameter (Whitebox) oder nach Analyse der Ergebnisse bei genau spezifizierten (aber mehr oder weniger willkürlichen) Input-Daten. Die empfohlenen Gegenmaßnahmen darf man dabei durchaus etabliert konservativ nennen: Zugriffsbeschränkungen, künstliche Verlangsamung, Monitoring und strenge Kontrolle der Daten, die der KI zugeführt werden.
Unter „Membership interference attack“ wird ein sehr interessanter Angriffsvektor vermerkt, den vermutlich alle kennen, die schon mal selbst mit Gesichtserkennung gearbeitet haben – etwa mit OpenCV: Lässt man einen gegebenen Datensatz via Blackbox-Zugriff auf eine KI evaluieren, lässt sich gegebenenfalls erkennen, ob dieser Teil der originalen Trainingsdaten war.
Mal als Beispiel: Eine KI soll nach Gesichtern urteilen, ob es sich um Mann oder Frau handelt. Wenn das Ergebnis zu einem eingespeisten Foto 100 Prozent lautet, darf man davon ausgehen, dass die Person im Trainings-Set vorhanden war. Eine simple Lösung wäre zum Beispiel das Hinzufügen von Rauschen/Noise zum Set.
Etwas vager – und etwas unheimlich – wird es bei der „Model inversion attack“. Die Grundgefahr besteht darin, durch Analyse oder Interaktion Teile der Trainingsdaten oder Funktionalitäten zu „schlussfolgern“, was problematisch ist, wenn es sich dabei um sensible Daten handelt. Bildlicher macht es ein Beispiel: Über geschickt formulierte Prompts ist es dem Stanford-Studenten Kevin Liu gelungen, Bing seinen internen Code-Namen zu entlocken. Im Grunde handelt es sich hier also um Social Engineering – und dass das mit einer KI klappt, ist schon etwas gruselig.
Die „Model theft“-Attacke dürfte das Management aufhorchen lassen: Die Grundidee ist, ein KI-Modell mit Daten zu füttern und die Ergebnisse als Zieldefinition beim Training einer anderen KI zu nutzen – was letztlich zu einer Kopie des tendenziell geschützten Modells führen würde. Auch hier werden Zugriffsbeschränkungen und künstliche Bremsen empfohlen (eine gewisse Nähe zu traditionellen Brute-Force-Angriffen wird hier deutlich sichtbar).
Bei der letzten Modell-Attacke wird es wieder etwas schwammiger: Bei der „Model supply chain attack“ geht es kurz gesagt darum, dass unter Umständen irgendwelche, gegebenenfalls öffentlich zugänglichen, Code-Bestandteile verändert werden – daher auch analog zum ersten Model-Threat alternativ „Algorithm/Model poisoning“ genannt. Wirklich neu ist hier allerdings nichts, es gelten die gleichen Risiken und Lösungen wie bei Attacken auf sonstige Software Supply Chains.
Weitere Risikofaktoren
Damit schließt das Paper das Kapitel Modell-Attacken und führt drei weitere Risikopotenziale auf, die sich wieder auf den Code im Allgemeinen konzentrieren. Beim „AI code reuse“ wird darauf verwiesen, dass insbesondere im KI-Bereich viele Beispielprojekte im Netz kursieren, deren Code (und Daten) von Wissenschaftlern, Datenspezialisten und Entwicklern wiederverwendet werden.
Dies ist nur logisch, schließlich ist das Thema noch jung, die Technik komplex und die benötigte Datenmenge enorm! Wenn sich dann in Demo-Daten Probleme bezüglich der Vertraulichkeit oder in Demo-Code Probleme mit der Sicherheit zeigen, können sie ganze Projekte verseuchen. Kurz: Wie bei jeder Code-Wiederverwendung muss hier sehr sorgfältig geprüft werden.
Bezüglich der „AI code maintainability“ spricht van der Veer ein Personalproblem an: Er vermutet hier im Bereich der KI sehr viel mehr aktive Datenwissenschaftler als klassische Entwickler – die entsprechend nicht darauf geeicht sind, sauber wartbaren Code zu produzieren. Gegenmaßnahmen sind hier simpel: Schulungen und Zuordnung von ausgewiesenem Fachpersonal.
Zu guter Letzt wird erneut die „AI supply chain complexity“ angesprochen (van der Veer sieht hier mehr Komplexität als bei Nicht-AI-Projekten) und um Doppelungen zu vermeiden und es kurz zu machen: Aus der gerade im Open-Source-Bereich zuletzt häufig zu findenden SBOM (Software Bill of Materials) wird die AIBOM – ein neues Buzzword, dass Ihnen die Google-Werbemaschinerie sicherlich in den nächsten Monaten in die Timelines spielen wird.
Und dann gibt es da noch das Thema Privatsphäre – um das es hier aber nicht gehen soll. Zum einen werden dort viele Allgemeinplätze aufgeführt, zum anderen wird es bei dem Thema sehr schnell rechtlich und damit uneinheitlich. Das OWASP-Projekt ist wie erwähnt in einem frühen Status, es lohnt sich sicherlich, das Dokument im Auge zu behalten.
Hierzulande kümmert sich auch das BSI um das Thema KI-Sicherheit, 2019 ist sogar eigens ein Kompetenzzentrum Künstliche Intelligenz ins Leben gerufen worden. Einige sehr gute und ausführliche Informationen finden Sie auf der Projektseite in Form mehrerer Studien, Beispiel und Grundsatzdokumente.
(ID:49329435)
:quality(80)/p7i.vogel.de/wcms/ae/f9/aef9abe8af0175133804a83ad33d09d3/0113543049.jpeg "Die OWASP Top 10 für LLM ermöglichen es Unternehmen und Organisationen, die mit diesen Modellen arbeiten, frühzeitig Sicherheitsrisiken und -probleme bei KI zu erkennen, zu bewerten und zu behandeln. (Bild: 3dkombinat - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f6/ae/f6ae1cee3507d8342dade85f81d0eb28/0115235681.jpeg "Die wichtigste Rolle beim API-Schutz fällt nach wie vor den Entwicklern zu, denn Security-Lösungen können immer nur ein beschränktes Spektrum an Sicherheitsproblemen lösen. (Bild: Maximusdn - stock.adobe.com)")