Generative künstliche Intelligenz (KI) ist in vielen Branchen und Disziplinen vielversprechend. Wie jede leistungsstarke neue Technologie bringt sie jedoch auch neue Sicherheitsrisiken mit sich. Nehmen wir uns einen Moment Zeit, um in die aufkommende generative KI-Bedrohungslandschaft einzutauchen und uns dabei speziell auf die Bereiche Daten- und Systemsicherheit zu konzentrieren. In diesem Blogbeitrag wird auch erläutert, wie Unternehmen diese Tools trotz dieser Risiken sicher einsetzen können.
Wie unterscheidet sich generative KI?
Um zu verstehen, wie generative KI die Bedrohungslandschaft verändert, müssen wir zunächst betrachten, wie sich diese neuen Systeme von traditionellen Systemen unterscheiden, die in den letzten 50 Jahren als Rückgrat von Lieferkettensystemen gedient haben. Die fünf wichtigsten Unterschiede sind:
- Sicherheitstools und -praktiken für generative KI sind im Vergleich zu Technologien, die bereits für Datenbanken verfügbar sind, noch ausgereift. Sicherheitslücken in Datenbanken wie SQL-Injection sind nach jahrzehntelanger Fokussierung gut bekannt. Entwickler werden umfassend in Bezug auf diese Bedrohungen geschult, und robuste Überwachungstools sind in CI/CD-Pipelines integriert. Die generative KI-Reise steht jedoch erst am Anhang, da die Bedrohungsmodellierung und -tools noch im Entstehen begriffen sind.
- Generative KI liefert neuartige Erkenntnisse, anstatt nur Datensätze abzurufen. Während Datenbanken Daten zurückgeben, die sie zuvor gespeichert haben, möglicherweise mit Transformationen oder Berechnungen, synthetisiert generative KI neuartige Daten auf der Grundlage ihres Trainings. Dies ist vergleichbar mit einem Analysten, der Erkenntnisse generiert, und einem Sachbearbeiter, der Datensätze abruft.
- Formale Programmiersprachen sind vorhersehbar und eindeutig, im Gegensatz zu den Nuancen und Mehrdeutigkeiten, die in der natürlichen Sprache vorhanden sind, die von generativer KI verwendet wird. Datenbanken verwenden formale Sprachen wie SQL, die eine formale, verständliche Syntax für den Zugriff auf Daten nutzen. Eine bestimmte SQL-Anweisung, die im Kontext der bereits gespeicherten Daten ausgeführt wird, führt immer zum gleichen Ergebnis. Die generative KI verwendet jedoch die natürliche "alltägliche" Sprache – mit all ihren Nuancen und Mehrdeutigkeiten – für alle Ein- und Ausgaben. Wie bei zwei Menschen, die einen Vertrag aushandeln, kann es zu Missverständnissen zwischen Menschen und KI-Anwendungen kommen. Darüber hinaus sind die Ausgaben der generativen KI nicht deterministisch – was bedeutet, dass identische Eingaben zu unterschiedlichen Ergebnissen in Bezug auf Formulierung, Formulierung oder Bedeutung führen können.
- Generativer KI fehlen möglicherweise Rückverfolgbarkeits- und Auditing-Funktionen, im Gegensatz zu Datenbanken mit strengeren Kontrollen. Mit Datenbanken können autorisierte Benutzer gespeicherte Daten einfach prüfen und deren Herkunft zurückverfolgen. Im Gegensatz dazu speichern generative KI-Modelle Wissen in einem neuronalen Netz in einer Form, die für die meisten Menschen unverständlich ist. Darüber hinaus gibt es derzeit keine robusten Techniken, um das erworbene "Wissen" der generativen KI-Modelle oder die potenziellen Verzerrungen ihrer Trainingsdaten zu überprüfen.
- Generative KI verfügt derzeit über weniger integrierte Datenzugriffskontrollen als Datenbanken. Datenbanken verfügen über robuste Autorisierungskontrollen, die den Datenzugriff steuern. Der generativen KI fehlen derzeit jedoch solche integrierten Steuerelemente. Authentifizierte Benutzer können auf alle Daten zugreifen.
Die Untersuchung der Unterschiede zwischen traditionellen Systemen und generativer KI offenbart neue Sicherheitslücken und notwendige Abhilfemaßnahmen, die in drei Schlüsselbereiche eingeteilt werden können: Schutz sensibler Daten, Schutz von Systemen und Daten vor böswilliger Nutzung und ordnungsgemäße Steuerung von KI-Agenten und Plug-ins.