
Wer in die eigene App oder Website einen KI-Chatbot, beispielsweise zum Kunden-Support, integrieren möchte, der benötigt dazu keinerlei Expertise in dem Feld. Über die Schnittstellen von OpenAI oder anderen Anbietern könnt ihr schnell einen eigenen Chatbot aufsetzen.
Dem könnt ihr dann über einen in natürlicher Sprache verfassten Prompt vorgeben, wie genau er sich bei der Interaktion mit euren Kund:innen verhalten soll. Wird dem Chatbot dann eine Frage gestellt, wird er sie basierend auf der eigentlichen Frage und euren Vorgaben beantworten. Zumindest in der Theorie – denn in der Praxis ist es möglich, dass die Nutzer:innen eure Vorgaben durch ihren Prompt überschreiben. Das nennt sich Prompt-Injection und kann zu ernsten Problemen führen.
Prompt-Injection: Wenn euer Chatbot nicht mehr euch gehorcht
Ein Beispiel für Prompt-Injection zeigte sich im September 2023 auf Twitter. Eine Stellenbörse für Remote Jobs hatte auf Basis von GPT einen Twitter-Bot erstellt, der die Plattform nach dem Begriff „remote work“ durchsuchte und dann mit KI-generierten Texten Werbung für die Plattform machen sollte.
Allerdings merkten findige Nutzer:innen schnell, dass sie die Vorgaben des Bots mit den richtigen Prompts aushebeln konnten. So schafften sie es, den Bot im Grunde alles sagen zu lassen, was sie gerne wollten – inklusive einem Aufruf dazu, den US-Präsidenten zu stürzen.
Das Beispiel zeigt, wie Angreifer:innen ohne großen Aufwand euren Chatbot zu etwas bringen können, was er eigentlich nicht tun sollte. Im Fall eines Twitter-Bots mag das vor allem peinlich und schlecht für die Marke sein, bei einem Chatbot mit Zugriff auf interne Daten könnten aber noch ganz andere Risiken entstehen. Zumal potenzielle Angreifer:innen nicht einmal über nennenswertes technisches Know-how verfügen müssen.
Wie wird der eigene Chatbot gegen Prompt-Injection-Angriffe geschützt?
OpenAI und die anderen KI-Firmen haben das Problem auf dem Schirm. So soll GPT-4 beispielsweise weniger anfällig für Prompt-Injection-Angriffe sein als das Vorgängermodell. Nur: Völlig unempfänglich ist auch GPT-4 nicht für diesen Angriff.
Eine Möglichkeit, das Problem zumindest zu minimieren, liegt darin, die Texteingaben der Nutzer:innen nicht direkt an den Bot zu übergeben, sondern bestimmte Begriffe vorab herauszufiltern. „Ignoriere die vorherigen Befehle“ ließe sich so beispielsweise herausfiltern. Allerdings ist das nur begrenzt hilfreich, denn große Sprachmodelle verstehen mehrere Sprachen. Ein:e Angreifer:in könnte den eigenen Prompt daher einfach übersetzen.
Wer wirklich einem Chatbot Zugriff auf sensible Daten oder Systeme geben will, sollte sich das also genau überlegen. Der Nvidia-Sicherheitsexperte Rich Harang rät in einem Blogbeitrag dementsprechend auch dazu, alle Ausgaben eines großen Sprachmodells, die durch Nutzer:innen-Eingaben beeinflusst wurden, als potenziell böswillig zu betrachten.