Ich sage schon länger, dass KI-Chatbots die neue Mensch-Maschine-Schnittstelle werden. Ich sage aber auch, dass das noch etwas dauert. Hier sieht man, warum.
Chatbots auf LLM-Basis lassen sich nur schwer gegen missbräuchliche Fragen oder Prompt Injection abdichten. Im Beispiel von Alon Gubkin, CTO der auf AI-Security spezialisierten Firma Aporia entlockt einer eCommerce-Webseite zuerst ihr Datenbank-Schema und fragt dann mit diesem Wissen nach Umsätzen und den bestverkauften Produkten.
Das funktioniert recht simpel – das Vorgehen lässt sich einfach nachvollziehen und in ähnlicher Form auch für andere Bots nutzen.
Das grundlegende Problem ist dabei die Funktionsweise von LLMs. Sie sollen ganz natürlich mit uns kommunizieren. Das führt aber dazu, dass die Eingabemöglichkeiten quasi unendlich sind. Missbräuchliche Befehle gibt es in so vielen Variationen, dass sie nicht im Vorfeld ausgeschlossen werden können. Durch irgendeinen Umweg kommen Hacker immer an ihr Ziel.
Eine Lösung wird es erst geben, wenn spezialisierte LLMs nur die Funktionalitäten enthalten, die für ihren Einsatzzweck maximal notwendig sind. Oder eine Kombination aus mehreren Modellen sicherstellt, dass solche Abfragen wie im Video nicht ausgeführt werden.
Wann das sein wird? Ich weiß es nicht. Die Idee der natürlichen Mensch-Maschine-Kommunikation ist aber so groß, dass ganz sicher irgendwann Lösungen dafür herauskommen werden. Und wie das bei genAI so ist, vielleicht viel schneller, als man sich das heute vorstellt.
Original-Post von Alon Gubkin:
Anmerkungen und Kommentare: