Seid vorsichtig mit dem, was ihr eurem Chatbot anvertraut. Zwar ist die Unterhaltung zwischen Nutzer:innen und ChatGPT und Co. in der Regel verschlüsselt, Sicherheitsforscher:innen haben nun allerdings eine Möglichkeit gefunden, die Antworten der KI-Helfer abzufangen und zu entschlüsseln. Das berichtet Ars Technica.
Angreifer entschlüsseln Nachrichten per LLM
Das gelingt mithilfe einer sogenannten Man-in-the-Middle-Attack. Bei der schaltet sich ein:e Angreifer:in unbemerkt in die Kommunikation zweier Parteien ein und leitet heimlich Nachrichten weiter. In diesem Fall überwacht die Person die Nachrichtenverkehr zwischen Nutzer:innen und Chatbot und greift dabei Rohdaten ab.
Sie nutzen dafür einen Seitenkanal aus, in dem sie sogenannte Tokens, abfangen. Dabei handelt es sich um kodierte Wörter, auf die Sprachmodelle zurückgreifen. Um schnelle Antworten liefern zu können, senden die Modelle diese Tokens in Echtzeit.
Um sie lesbar zu machen, greifen die Angreifer:innen ironischerweise selbst auf zwei trainierte Large Language Models zurück. Die seien gut darin, langfristige Muster zu erkennen. Weil die Zeichenlänge der Tokens in der Regel mit der des Wortes übereinstimmt, lassen sich Begriffe daraus ableiten. Die Modelle analysieren die Reihenfolge der Tokens und ermitteln alle möglichen Sätze, die die Reihenfolge der Zeichen ergeben könnte.
Nicht in jedem Fall können die erbeuteten Schnipsel auch genutzt werden, das spezifische Thema lasse sich mit hoher Wortgenauigkeit aber zu 55 Prozent aus den Antworten des KI-Chatbots ableiten. In 29 Prozent der Fälle erscheinen die Antworten sogar im perfekten Wortlaut. Das kann privaten, aber auch beruflichen Ärger mit sich bringen, wenn ihr euren Chatbot zu sensiblen Dingen befragt oder etwa Arbeits-E-Mails mithilfe der KI-Assistenten bearbeitet.
Jeder kann ChatGPT-Nachrichten lesen
Dass das nicht einfach nur so dahergesagt ist, erklärt Yisroel Mirsky, Leiter des Offensiven KI-Forschungslabors an der Ben-Gurion-Universität in Israel, gegenüber Ars Technica. „Derzeit kann jeder private Nachrichten von ChatGPT und anderen Diensten lesen“, so der Experte. Das schließe etwa Angreifer:innen ein, die sich im selben WLAN befänden – etwa im Coffeeshop.
Die physische Nähe ist aber gar nicht nötig. Wer Traffic im Internet beobachtet, könne die Attacke durchführen, erklärt Mirsky. Zwar verschlüssle OpenAI den Datenverkehr, die Art und Weise sei aber fehlerhaft. Denn die Tokens werden unverschlüsselt übertragen.
Neben ChatGPT sind auch andere Modelle wie der Microsoft Copilot davon betroffen. Einzig bei Googles Gemini sei die Attacke dem Bericht zufolge nicht möglich.
Bitte beachte unsere Community-Richtlinien
Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.
Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.
Dein t3n-Team
Der Artikel ist fehlerhaft.
An der Untersuchung des Offensive AI Research Labs (was, nebenbei bemerkt, anders als der Artikel es nahelegt kein „Offensives Labor“ ist) an der Ben-Gurion-Uni waren keine „Sicherheitsforscherinnen“ beteiligt, sondern lediglich vier männliche Forscher, namentlich Yisroel Mirsky, Roy Weiss, Daniel Ayzenshtyen und Guy Amit.