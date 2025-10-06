Um ein Protein herzustellen, müssen Forscher:innen in der Regel eine entsprechende DNA-Sequenz bei einem kommerziellen Anbieter bestellen, die sie dann in eine Zelle einbauen können. (Bild: CI Photos/Shutterstock)

Sicherheitslücken in Hard- und Software sind niemals erfreulich, doch was hinter der Mitteilung eines Teams von Forscher:innen steckt, ist durchaus beunruhigend: Mithilfe von KI habe man eine Zero-Day-Sicherheitslücke in den Biosicherheitssystemen entdeckt, die normalerweise zum Schutz vor Missbrauch von DNA eingesetzt werden.

Diese Systeme sollen normalerweise verhindern, dass Menschen genetische Sequenzen erwerben, die zur Herstellung tödlicher Toxine oder Krankheitserreger verwendet werden könnten. Nun geben Forscher unter der Leitung von Eric Horvitz, Leitender Wissenschaftler bei Microsoft, an, einen Weg gefunden zu haben, wie sich diese Schutzmaßnahmen auf eine Weise umgehen lassen, die den Verteidigern bisher unbekannt war. Wie das Team dabei vorgegangen ist, hat es in der Fachzeitschrift Science dargestellt.

Wenn die KI Proteine vorschlägt

Horvitz und seine Kolleg:innen konzentrierten sich auf generative KI-Algorithmen, die neue Proteinformen vorschlagen. Diese Art von Programmen treibt bereits die Suche nach neuen Medikamenten bei finanzstarken Startups wie Generate Biomedicines und Isomorphic Labs, einem Spinoff von Google, voran. Das Problem ist allerdings, dass solche Algorithmen in zwei Richtungen anwendbar sind: Es können sowohl nützliche als auch schädliche Moleküle erzeugt werden (Dual Use). Durch den Test der Forscher:innen wurde offensichtlich, dass die von KI generierten schädlichen Proteine oft von den Sicherheitssystemen übersehen werden.

Die von Microsoft angegriffene Sicherheitsvorkehrung ist eine sogenannte Biosicherheits-Screening-Software. Um ein Protein herzustellen, müssen Forscher:innen in der Regel eine entsprechende DNA-Sequenz bei einem kommerziellen Anbieter bestellen, die sie dann in eine Zelle einbauen können. Diese Anbieter verwenden Screening-Software, um eingehende Bestellungen mit bekannten Toxinen oder Krankheitserregern zu vergleichen. Bei einer hohen Übereinstimmung wird ein Alarm ausgelöst. Genau bei diesem Abgleich setzt der von Microsoft initiierte Angriff an.

Test mit rein digitalen toxischen Proteinen

Um seinen Angriff zu planen, verwendete das Team mehrere generative Proteinmodelle (darunter sein eigenes Modell namens EvoDiff), um Toxine neu zu entwerfen – wobei ihre Struktur so verändert wurde, dass sie die Screening-Software umgehen konnten, ihre tödliche Funktion jedoch voraussichtlich erhalten blieb.

Die Forscher:innen betonen, dass die Übung vollständig digital durchgeführt wurde und sie niemals toxische Proteine hergestellt haben. Damit sollte der Eindruck vermieden werden, dass das Unternehmen Biowaffen entwickelt.

Vor der Veröffentlichung der Ergebnisse habe das Forscher:innen-Team die US-Regierung und Softwarehersteller informiert, die ihre Systeme bereits gepatcht hätten, obwohl einige KI-entworfene Moleküle weiterhin unentdeckt bleiben könnten.

„Der Patch ist unvollständig, und der Stand der Technik ändert sich ständig. Aber das ist keine einmalige Angelegenheit. Es ist der Beginn weiterer Tests“, sagt Adam Clore, Direktor für Technologieforschung und -entwicklung bei Integrated DNA Technologies, einem großen Hersteller von DNA, der Mitautor der Veröffentlichung ist. „Wir befinden uns in einer Art Wettrüsten.“

Gefährliche Proteine nicht preisgegeben

Um sicherzustellen, dass niemand die Forschungsergebnisse missbraucht, geben die Forscher:innen einen Teil ihres Codes nicht preis und haben nicht verraten, welche toxischen Proteine sie von der KI neu entwerfen ließen. Einige gefährliche Proteine sind jedoch bekannt, wie Ricin – ein Gift, das in Rizinussamen vorkommt – und die infektiösen Prionen, die die Ursache für die Rinderwahnsinnskrankheit sind.

„Diese Erkenntnis in Verbindung mit den rasanten Fortschritten bei der KI-gestützten biologischen Modellierung zeigt, dass es dringend notwendig ist, die Screening-Verfahren für die Nukleinsäuresynthese zu verbessern und mit einem zuverlässigen Durchsetzungs- und Verifizierungsmechanismus zu kombinieren“, sagt Dean Ball, Fellow bei der Foundation for American Innovation, einem Think Tank in San Francisco.

Offizielle Kontrollmechanismen erforderlich

Ball weist darauf hin, dass die US-Regierung das Screening von DNA-Bestellungen bereits als eine wichtige Sicherheitsmaßnahme betrachtet. Im Mai letzten Jahres forderte Präsident Trump in einer Durchführungsverordnung zur Sicherheit biologischer Forschung eine umfassende Überarbeitung dieses Systems. Neue Empfehlungen sind aber bisher noch nicht veröffentlicht worden.

Dabei wäre das dringend nötig, appelliert auch Dirk Lanzerath, Direktor des Deutschen Refenrenzzentrums für Ethik in den Biowissenschaften an der Universität Bonn in einem Statement gegenüber dem deutschen Science Media Center: „Gerade durch den Einsatz von KI – mit ihrer Eigenschaft der Beschleunigung, breiten Anwendbarkeit und schwer durchschaubare Prozesse – steigen die Risiken für die Biosicherheit erheblich, während etablierte Prüfstandards zunehmend an ihre Grenzen stoßen. Daher ist es notwendig, für das KI-gestützte Proteindesign verbindliche Policies zu entwickeln, die vertrauenswürdigen Institutionen explizite Aufsichts- und Kontrollfunktionen zuweisen.“

Blickt man nach Europa, so sieht Clara Schoeder, Leiterin der Forschungsgruppe Immuntherapeutische Wirkstoffe und Proteindesign an der Universität Leipzig, gute Sicherheitsmechanismen, „durch die Fälle abgefangen werden, die durch Zufall entstehen.“ Sie weist aber auch auf die Probleme aus Forscher:innen-Sicht hin, wenn es darum geht, DNA-Sequenzen für die Forschung zu bestellen, diese aber als gefährlich eingestuft werden. „Zum Beispiel besteht das Problem, wenn wir bei Firmen – meist sind diese US-amerikanisch – virale Sequenzen bestellen wollen, die dann durch die ‚Export-Control‘ abgefangen werden“. Schoeder verweist darauf, dass aber solche Sequenzen für die Impfstoffherstellung nötig sind.

Andere bezweifeln, dass die kommerzielle DNA-Synthese der beste Schutz gegen böswillige Akteur:innen ist. Michael Cohen, Forscher für KI-Sicherheit an der University of California in Berkeley, glaubt, dass es immer Möglichkeiten geben wird, Sequenzen zu verschleiern, und dass das Forscher:innen-Team um den Microsoft-Experten Eric Horvitz seinen Test hätte schwieriger gestalten können. Cohen schlägt vor, dass Biosicherheit in die KI-Systeme selbst integriert werden sollte – entweder direkt oder über Kontrollen darüber, welche Informationen sie weitergeben.

Zu Erkennung biologischer Bedrohungen

Clore von dem DNA-Hersteller Integrated DNA Technologies hingegen sagt, dass die Überwachung der Gensynthese nach wie vor ein praktischer Ansatz zur Erkennung biologischer Bedrohungen ist, da die Herstellung von DNA in den USA von wenigen Unternehmen dominiert wird, die eng mit der Regierung zusammenarbeiten.

Im Gegensatz dazu ist die Technologie, die zum Aufbau und Training von KI-Modellen verwendet wird, weiter verbreitet. „Man kann diesen Geist nicht wieder in die Flasche zurückbringen“, sagt Clore. „Wenn man über die Ressourcen verfügt, um uns dazu zu bringen, eine DNA-Sequenz zu erstellen, kann man wahrscheinlich auch ein großes Sprachmodell trainieren.“

Der Artikel stammt von Antonio Regalado. Er ist Redakteur bei der US-amerikanischen Ausgabe von MIT Technology Review. Regalado schreibt über Themen aus der Biomedizin.