Warum die Wette von Big Tech auf KI-Assistenten so riskant ist

Seit Beginn des Booms der generativen KI arbeiten die großen Techkonzerne fleißig daran, ihre eigene "Killer-App" für die Technologie zu entwickeln. Zuerst war es die Online-Suche, mit gemischten Ergebnissen. Jetzt sind es die KI-Assistenten, die das große Geschäft bringen sollen. Zuletzt haben OpenAI, Meta und Google neue Funktionen für ihre KI-Chatbots vorgestellt, mit denen sie das Internet durchforsten und als eine Art persönlicher Helfer fungieren können.

OpenAI stellte neue ChatGPT-Funktionen vor, die es ermöglichen, mit dem Chatbot echte Gespräche zu führen – mit lebensechten synthetischen Stimmen. OpenAI enthüllte auch, dass ChatGPT (wieder) in der Lage ist, das Web zu durchsuchen. Googles konkurrierender Bot, Bard, ist mittlerweile in die meisten Bereiche des Ökosystems des Unternehmens eingebunden – darunter Gmail, Docs, YouTube und Maps. Die Idee dabei ist, dass die Nutzer den Chatbot nutzen können, um Fragen zu ihren eigenen Inhalten zu stellen – indem sie ihn zum Beispiel ihre E-Mails durchsuchen oder ihren Kalender organisieren lassen. Bard soll auch in der Lage sein, sofort Informationen aus der Google-Suche abzurufen. In ähnlicher Weise kündigte kurz darauf Meta an, dass die Facebook-Mutter KI-Chatbots für "alles" einsetzen wird. Nutzer können demnächst KI-Chatbots und sogar KI-Avataren in Form Prominenter Fragen auf WhatsApp, Messenger und Instagram stellen – wobei das KI-Modell Informationen online über die Microsoft-Bing-Suche abruft.

Angesichts der Grenzen der Technologie ist das alles aber eine riskante Wette. Denn die Technikriesen haben einige der hartnäckigen Probleme mit KI-Sprachmodellen nicht gelöst, darunter ihre Neigung, Dinge zu erfinden und zu "halluzinieren". Was jedoch am meisten beunruhigt, ist die Tatsache, dass hier eine Katastrophe für Sicherheit und Datenschutz droht, wie Kritiker meinen. Denn OpenAI, Google, Microsoft oder Meta geben eine fehlerbehaftete Technologie in die Hände von Millionen von Menschen – und ermöglichen KI-Modellen gleich noch den Zugang zu sensiblen Informationen wie E-Mails, Kalendern und privaten Nachrichten. Auf diese Weise könnten sie uns alle anfällig für Betrug, Phishing und Hacks im großen Stil machen.

Sprachmodelle sind unsicher

Immer wieder wurden erhebliche Sicherheitsprobleme in KI-Sprachmodellen entdeckt. Jetzt, da KI-Assistenten Zugriff auf persönliche Daten bekommen und gleichzeitig im Internet surfen können, sind sie besonders anfällig für neuartige Arten von Angriffen. Über diese Indirect Prompt Injection wird unter Sicherheitsexperten schon lange diskutiert. Sie ist ungemein einfach auszuführen – und es gibt bislang keine bekannte technische Lösung.

Bei einem indirekten Prompt-Injection-Angriff verändert ein Dritter eine Website, indem er versteckten Text hinzufügt, der das Verhalten der KI ändern soll. Angreifer könnten etwa soziale Medien oder E-Mails nutzen, um Nutzer auf Websites mit diesen geheimen Eingabeaufforderungen zu leiten. Sobald dies geschieht, könnte das KI-System so manipuliert werden, dass der Angreifer versucht, z. B. die Kreditkartendaten der Nutzer abzugreifen. Mit der neuesten Generation von KI-Modellen, die in sozialen Medien und E-Mails eingesetzt wird, sind die Möglichkeiten für Hacker quasi endlos, warnen Sicherheitsexperten.

Auf Nachfrage wollten sich weder OpenAI noch Meta äußern, was sie genau tun, um Nutzer vor Prompt-Injection-Angriffen und Halluzinationen durch Chatbots zu schützen. Meta antwortete nicht rechtzeitig zur Veröffentlichung, OpenAI gab keinen Kommentar zu Protokoll. Von Google hieß es, dass das Unternehmen Bard als "Experiment" herausgebracht habe und Nutzer die Antworten von Bard mit der Google-Suche überprüfen könnten. "Wenn Nutzer Halluzinationen sehen oder etwas, das nicht korrekt ist, ermutigen wir sie, auf den Daumen-nach-unten-Button zu klicken und uns ihr Feedback zu geben." Auf diese Weise werde Bard "lernen und sich verbessern", erklärte der Konzern. Das Problem: Damit ist jeder Nutzer selbst dafür verantwortlich, Fehler zu erkennen, und die Menschen neigen dazu, von einem Computer generierten Antworten zu viel Vertrauen zu schenken. Zum Thema (indirekte) Prompt Injection gab es von Google nur ein indirektes Statement.

Der Konzern bestätigte nur, dass das Problem der Prompt-Injektion noch nicht gelöst ist und weiterhin "aktiv erforscht" werde. Der Sprecher sagte, dass das Unternehmen andere Systeme, wie z. B. Spam-Filter, verwendet, um Angriffsversuche zu erkennen und herauszufiltern. Zudem würden Hackingtests und sogenannte Red-Teaming-Übungen durchführt, um herauszufinden, wie böswillige Akteure Produkte angreifen könnten, die auf Sprachmodellen basieren. "Wir verwenden speziell trainierte Modelle, um bekannte bösartige Eingaben und bekannte unsichere Ausgaben, die gegen unsere Richtlinien verstoßen, zu identifizieren", so der Sprecher.

Gefährliche Kinderkrankheiten

Es ist verständlich, dass es zu jeder neuen Produkteinführung anfänglich Kinderkrankheiten geben wird. Aber es sagt schon viel, wenn selbst einstige Fans von KI-Sprachmodellen nicht mehr beeindruckt sind. Kevin Roose, Kolumnist der New York Times, fand heraus, dass Googles Assistent E-Mails zwar gut zusammenfassen kann, ihm aber auch von Nachrichten erzählte, die sich nicht in seinem Posteingang befanden.

Das Fazit kann nur lauten: Technologieunternehmen sollten nicht so selbstgefällig sein, wenn es um die vermeintliche "Unvermeidbarkeit" von KI-Werkzeugen geht. Normale Menschen neigen nicht dazu, neue Systeme anzunehmen, die immer wieder auf ärgerliche und unvorhersehbare Weise versagen – und es ist nur eine Frage der Zeit, bis Hacker diese neuen KI-Assistenten böswillig einsetzen. Im Moment scheinen wir alle leichte Beute zu sein. Jeder sollte sich genau überlegen, Bard & Co. an seine Daten zu lassen. Wenn sich das überhaupt noch lange vermeiden lässt.

(bsc)