Seid vorsichtig mit dem, was ihr eurem Chatbot anvertraut. Zwar ist die Unterhaltung zwischen Nutzer:innen und ChatGPT und Co. in der Regel verschlüsselt, Sicherheitsforscher:innen haben nun allerdings eine Möglichkeit gefunden, die Antworten der KI-Helfer abzufangen und zu entschlüsseln. Das berichtet Ars Technica.
Angreifer entschlüsseln Nachrichten per LLM
Das gelingt mithilfe einer sogenannten Man-in-the-Middle-Attack. Bei der schaltet sich ein:e Angreifer:in unbemerkt in die Kommunikation zweier Parteien ein und leitet heimlich Nachrichten weiter. In diesem Fall überwacht die Person die Nachrichtenverkehr zwischen Nutzer:innen und Chatbot und greift dabei Rohdaten ab.
Sie nutzen dafür einen Seitenkanal aus, in dem sie sogenannte Tokens, abfangen. Dabei handelt es sich um kodierte Wörter, auf die Sprachmodelle zurückgreifen. Um schnelle Antworten liefern zu können, senden die Modelle diese Tokens in Echtzeit.
Um sie lesbar zu machen, greifen die Angreifer:innen ironischerweise selbst auf zwei trainierte Large Language Models zurück. Die seien gut darin, langfristige Muster zu erkennen. Weil die Zeichenlänge der Tokens in der Regel mit der des Wortes übereinstimmt, lassen sich Begriffe daraus ableiten. Die Modelle analysieren die Reihenfolge der Tokens und ermitteln alle möglichen Sätze, die die Reihenfolge der Zeichen ergeben könnte.
Nicht in jedem Fall können die erbeuteten Schnipsel auch genutzt werden, das spezifische Thema lasse sich mit hoher Wortgenauigkeit aber zu 55 Prozent aus den Antworten des KI-Chatbots ableiten. In 29 Prozent der Fälle erscheinen die Antworten sogar im perfekten Wortlaut. Das kann privaten, aber auch beruflichen Ärger mit sich bringen, wenn ihr euren Chatbot zu sensiblen Dingen befragt oder etwa Arbeits-E-Mails mithilfe der KI-Assistenten bearbeitet.
Jeder kann ChatGPT-Nachrichten lesen
Dass das nicht einfach nur so dahergesagt ist, erklärt Yisroel Mirsky, Leiter des Offensiven KI-Forschungslabors an der Ben-Gurion-Universität in Israel, gegenüber Ars Technica. „Derzeit kann jeder private Nachrichten von ChatGPT und anderen Diensten lesen“, so der Experte. Das schließe etwa Angreifer:innen ein, die sich im selben WLAN befänden – etwa im Coffeeshop.
Die physische Nähe ist aber gar nicht nötig. Wer Traffic im Internet beobachtet, könne die Attacke durchführen, erklärt Mirsky. Zwar verschlüssle OpenAI den Datenverkehr, die Art und Weise sei aber fehlerhaft. Denn die Tokens werden unverschlüsselt übertragen.
Neben ChatGPT sind auch andere Modelle wie der Microsoft Copilot davon betroffen. Einzig bei Googles Gemini sei die Attacke dem Bericht zufolge nicht möglich.
Der Artikel ist fehlerhaft.
An der Untersuchung des Offensive AI Research Labs (was, nebenbei bemerkt, anders als der Artikel es nahelegt kein „Offensives Labor“ ist) an der Ben-Gurion-Uni waren keine „Sicherheitsforscherinnen“ beteiligt, sondern lediglich vier männliche Forscher, namentlich Yisroel Mirsky, Roy Weiss, Daniel Ayzenshtyen und Guy Amit.