Jakub Jirsák - stock.adobe.com

OWASP Top 10 für LLMs: Sprachmodelle und ihre Identitäten

Eine vollständige Authentifizierung und Autorisierung großer Sprachmodelle kann dabei helfen, die mit KI verbundenen Risiken zu reduzieren. Und nebenbei als Kill Switch fungieren.

Seit dem Jahr 2022 findet ein wahrer Boom großer Sprachmodelle statt. Unternehmen implementieren sie, um Prozesse und Geschäftsmodelle mit künstlicher Intelligenz anzureichern und um sie effizienter zu gestalten. Im Gleichschritt birgt diese Technologieoffensive jedoch auch eine Reihe von Risiken, mit denen sich die Security-Verantwortlichen beschäftigen müssen. Die Veröffentlichung der OWASP Top 10 für LLM-Anwendungen (Large Language Model) im Sommer 2023 ist ein Anhaltspunkt für sie. Die Liste soll über die potenziellen Sicherheitsrisiken bei der Bereitstellung und Verwaltung von LLMs aufklären.

Diese Veröffentlichung können sich Security-Verantwortliche und Entwickler gleichermaßen zunutze machen, um, in der sich schnell entwickelnden Welt der LLM-Technologien ihr Unternehmen vor Gefahren zu schützen. Die Einteilung der potenziellen Gefahren in zehn klare Bereiche hilft ihnen dabei den Überblick zu wahren und sich konzentrierter an die einzelnen Probleme heranzuwagen.

Die OWASP Top 10 der Risiken für LLMs

Die Top 10 der Security-Bedrohungen setzen sich wie folgt zusammen. Die angegebenen Bedrohungsarten umfassen das gesamte Spektrum und betreffen nicht nur die Modelleingaben, sondern auch die Modelle selbst sowie deren Ergebnisse und Aktionen.

  • LLM01: Prompt Injection
    Erstellung von Eingaben, die zu unbefugtem Zugriff, Datenverletzungen und gefährlichen Aktionen führen.
  • LLM02: Unsichere Verarbeitung von Ausgaben
    Fehlende Validierung von LLM-Ausgaben, wie bösartigem Code, kann zu Sicherheitslücken führen, auch in Verbindung mit LLM05.
  • LLM03: Vergiftung von Trainingsdaten (Training Data Poisining)
    Manipulation von Trainingsdaten kann zu Desinformation und ungewöhnlichem oder fehlerhaftem Verhalten des Modells führen.
  • LLM04: Denial of Service für Modelle
    Überlastung von LLMs kann den Dienst unterbrechen und hohe Kosten verursachen.
  • LLM05: Schwachstellen in der Lieferkette
    Die Untergrabung der Integrität von Komponenten oder Diensten kann zu Datenverletzungen führen, ähnlich wie bei Angriffen auf Software-Lieferketten.
  • LLM06: Offenlegung sensibler Informationen
    Informationslecks in LLM-Outputs können rechtliche und dadurch entstehende wettbewerbliche Probleme verursachen.
  • LLM07: Unsicheres Plug-in-Design
    Fehlerhafte Plug-ins können Grund von schwerwiegenden Angriffen sein. Bei zum Beispiel unzureichender Zugriffskontrolle ist für Bedrohungsakteure ein Leichtes, Ransomware-Dateien einzuschleusen.
  • LLM08: Übermäßige Autonomie
    Unkontrollierte Autonomie von LLMs kann zu unerwarteten und unsicheren Ergebnissen führen, einschließlich Desinformation und Manipulation.
  • LLM09: Übermäßiges Vertrauen
    Die Verwendung von LLMs und ihrer Ergebnisse ohne umfassende Kontrolle kann zu Fehlinformationen, Fehlkommunikation, rechtlichen Konsequenzen und Sicherheitslücken führen.
  • LLM10: Modelldiebstahl
    Modelle mit unzureichender Sicherung können kopiert oder gestohlen werden, was erhebliche Auswirkungen auf Einnahmen und Datenschutz haben kann.

Bedarf für eine LLM-Authentifizierung

Viele der LLM-Bedrohungen auf dieser Liste zeigen, dass ein dringender Bedarf an Machine-to-Machine-Authentifizierung (M2M) besteht - oder an dem, was die Branche im Allgemeinen als Machine Identity Management bezeichnet. Effektiv durchgeführt, fungiert diese Authentifizierung als einfacher, schneller Kill Switch für fehlerhafte oder unberechenbare KI-Systeme.

Um einen sicheren Betrieb zu gewährleisten, müssen Unternehmen überprüfen, was ihre LLMs tun können und was nicht. Da Sprachmodelle zweifelsohne mit anderen Maschinen interagieren werden, und das manchmal auch autonom, müssen sie auch nach außen hin authentifiziert werden.

Jens Sabitzer, Venafi

„Ein Identitätsmanagement kann Sicherheitsteams dabei helfen, Unternehmens-LLMs vollständig zu authentifizieren und zu autorisieren. Sie ermöglicht ihnen ein KI-System zu deaktivieren, wenn das Programm ein unerwartetes Verhalten zeigt und zum Beispiel halluziniert.“

Jens Sabitzer, Venafi

Um dieser Herausforderung gerecht zu werden, ist ein ganzheitliches Management der Maschinenidentitäten unerlässlich. Dieses Management bietet nicht nur Transparenz über die verschiedenen Versionen und Instanzen von LLMs in einem Unternehmen. Es ermöglicht auch eine effiziente Automatisierung von Authentifizierungsprozessen und eine präzise Kontrolle über alle Arten von Machine-to-Machine-Verbindungen.

Ein solches Management kann Sicherheitsteams dabei helfen, Unternehmens-LLMs vollständig zu authentifizieren und zu autorisieren. Sie ermöglicht ihnen ein KI-System zu deaktivieren, wenn das Programm ein unerwartetes Verhalten zeigt und zum Beispiel halluziniert. Durch die umfassende Sichtbarkeit und Kontrolle jeder Maschinenidentität im Unternehmen können sie schnell die einzelnen Versionen und Instanzen der LLMs identifizieren. Wenn eine bestimmte Instanz einer bestimmten Version anfängt, sich seltsam oder außerhalb der vordefinierten Parameter zu verhalten, lässt sie sich dann einfach „ausschalten“.

Das Risiko Data Poisoning

Aus den von der OWASP aufgeführten Risiken für LLMs sticht aktuell vor allem das Data Poisoning heraus. Sicherheitsforscher von JFrog hatten im Februar 2024 bei der KI Entwicklerplattform Hugging Face mehr als 100 manipulierte LLMs ausfindig gemacht. Darunter verstehen die Experten das Einführen von Hintertüren oder Schwachstellen in das LLM durch böswillig manipulierte Trainingsdaten. Angreifer können dies erreichen, durch das Einschleusen von Verzerrungen in den LLM, wodurch sie verzerrte oder unangemessene Antworten produziert. Sie können die Feinabstimmungsprozesse ausnutzen, um die Sicherheit oder Effektivität des anvisierten LLMs zu beeinträchtigen

Fazit

Ein solches, unternehmensweites Management kann dabei helfen, Unternehmens-LLMs vollständig zu authentifizieren und zu autorisieren. Gleichzeitig fungiert es als Kill Switch für den Fall, dass die Modelle sich verselbstständigen oder aber manipuliert werden.

Die Autoren sind für den Inhalt und die Richtigkeit ihrer Beiträge selbst verantwortlich. Die dargelegten Meinungen geben die Ansichten der Autoren wieder.

Erfahren Sie mehr über Bedrohungen