Sperren Sie Ihre LLMs: Den Stecker ziehen

Es klingt wie Science-Fiction, aber bei all dem Hype um KI lohnt es sich, über die Gefahr einer „Entführung“ zu sprechen.

Das Ganze läuft so ab: Unternehmen, die es sich leisten können, ihre eigenen internen LLMs zu entwickeln, werfen ihr gesamtes wertvolles geistiges Eigentum (das alles von Geschäftsgeheimnissen bis hin zu Marketingkampagnen und Produktstrategien umfasst) in das Modell, damit es relevante Antworten generiert. Im Wesentlichen ist es zwar immer noch ein nicht-empfindungsfähiges KI-Modell, aber es ist auch ein Repository aller wertvollsten Informationen, die das Unternehmen hat.

Dies macht es zu einem idealen Ziel für einen kriminellen Angreifer oder sogar einen unethischen Konkurrenten. Wenn es vergiftet werden kann, um schlechte Reaktionen hervorzurufen, geklont werden kann, um dem Angreifer mehr Insiderwissen zu geben, als er verwenden kann, oder sogar irgendwie gesperrt werden kann, um Lösegeld zu erpressen, dann kann es dem Unternehmen enormen Schaden zufügen.

Unternehmen haben Mühe, ihre Systeme zu sichern. Regelmäßig erscheinen Schlagzeilen über Angriffe auf große Unternehmen. Ein LLM-Modell, das alle Informationen über das Unternehmen enthält, wird schnell zum bevorzugten Ziel für virtuelle „Entführungen“.

Unabhängig davon, ob Ransomware angepasst wird, um Modelle zu verschlüsseln, sie zu exfiltrieren und die lokale Kopie zu zerstören oder sie in eine Insider-Bedrohung umzuwandeln (etwa wenn das LLM ohne wirksame menschliche Aufsicht in die Rechnungs- und Finanzsysteme des Unternehmens integriert wurde), ist das Schadenspotenzial dramatisch.

Noch schlimmer ist, dass der Wert dieser Modelle von ihrer Verfügbarkeit und Zugänglichkeit innerhalb des Unternehmens abhängt. Wenn sie niemand nutzen kann, sind sie nichts weiter als eine Ressourcensenke. Um einen Wert zu haben, müssen sie effektiv genutzt werden, und das bedeutet, dass sie zugänglich sein müssen. Wie bringen wir das Bedürfnis nach Verfügbarkeit mit dem Bedürfnis nach Sicherheit auf diesen Systemen in Einklang?

Reicht Softwaresicherheit aus?

Vielleicht könnten softwaredefinierte Netzwerke eine Lösung sein? Das Problem ist, dass jede Softwarelösung von Natur aus anfällig für Angriffe ist. Und wenn es sich um ein LLM handelt, das in Verwaltungssysteme integriert wurde (das wird bereits gemacht, die Ethik und die Risiken sind ein ganzer Artikel für sich – vielleicht sogar ein Buch), dann wäre es für einen böswilligen Akteur ein Leichtes, die KI dazu zu bringen, einen Weg für weitere Angriffe zu schaffen.

Softwarelösungen und klassische Geräte wie Firewalls und Datendioden haben definitiv ihren Platz in einem sicheren KI-Systemdesign, aber etwas, das für ein Unternehmen so wertvoll ist, rechtfertigt einen viel absoluteren Ansatz. Wenn wir es altmodisch angehen, würden wir als letztes Mittel bei jedem Angriff das Abschalten des Netzsteckers bezeichnen. Letztendlich ist das Abschalten des Netzsteckers so gut wie unschlagbar, es sei denn, ein Angreifer kann die Gesetze der Physik ändern (oder sitzt im Rechenzentrum, was unwahrscheinlich ist).

Das Problem besteht darin, dass das Trennen und erneute Verbinden mit dem Netzwerk Zeit kostet. Jedes Mal, wenn Sie eine autorisierte Eingabeaufforderung senden möchten, Ihren Netzwerktechniker anzurufen, um das Gerät ein- oder auszuschalten, scheint keine gute Option zu sein.

Der Goldlöckchen-Feuerbruch

Ich bin kürzlich auf ein Sicherheitsgerät gestoßen, das mich beeindruckt hat, was heutzutage nicht oft vorkommt. Es lag nicht an seiner brandneuen Quanten-Dark-Web-KI-Firewall-Technologie, wie so viele Anbieter heutzutage werben. Vielmehr lag es daran, dass es sich um ein Unternehmen handelte, das eine sehr alte Idee aufgegriffen, durchdacht und auf den neuesten Stand gebracht hat, sodass viele Möglichkeiten für sichere Netzwerktopologien entstehen.

Der Ansatz ist einfach und ziemlich unschlagbar (natürlich ist nichts 100 % sicher, aber die Angriffsmethoden gegen eine physische Trennung sind verschwindend gering). Im Wesentlichen zieht FireBreak (im Gegensatz zur Firewall natürlich) das Netzwerkkabel auf Befehl heraus – oder steckt es wieder ein. Es ist zwar nicht so, als hätte man im Rechenzentrum jemanden auf Abruf, der Kabel auf Anfrage manipuliert, aber so kann man es sich einfach vorstellen – außer dass die Person die Kabel in Sekundenbruchteilen als Reaktion auf Aufforderung mit jeder beliebigen Methode ein- oder ausstecken kann.

Verwaltungsnetzwerke sind oft nur durch eine Firewall getrennt, während FireBreak selbst eine Kontrollebene hat, die vollständig außerhalb des Bandes des Netzwerks liegt. Ich kann mir gut vorstellen, FireBreak mit Ihrem Ticketsystem zu verknüpfen, um die Verwaltungsebenen nur während definierter Änderungsfenster physisch zu verbinden, sodass sie selbst für den privilegiertesten Angreifer nicht verfügbar sind, ohne einen dokumentierten Prozess zu durchlaufen.

„Die Sicherheitsbranche, die in einer sogenannten ‚Post-Breach-Ära‘ agiert, scheint sich mit der Vorstellung abgefunden zu haben, dass es bei Cyberangriffen nur um das ‚ Wann‘ und nicht um das ‚ Ob‘ geht. Bei Goldilock wollten wir einen Weg finden, Einzelpersonen und Organisationen mehr Verantwortung und Kontrolle darüber zu geben, was mit ihren Daten geschieht. Aus dieser Idee ist unser Flaggschiffprodukt FireBreak entstanden. Sein hardwarebasierter Ansatz ermöglicht es Benutzern, alle digitalen Assets, von LLMs bis hin zu ganzen Netzwerken, aus der Ferne, sofort und ohne Nutzung des Internets physisch zu segmentieren.

Auf diese Weise können Benutzer bei Bedarf von jedem beliebigen Ort der Welt aus eine physische Verbindung herstellen und die Verbindung trennen. Dabei werden alle Assets verborgen und ihre vorhandene Verteidigungsstärke verbessert, auch gegenüber KI, bei der es sich im Wesentlichen nur um eine Art Software handelt.

Letztendlich möchten wir, dass die Leute darüber nachdenken, was online gespeichert werden muss, und dass sie sich vom „Always-on“-Modell abwenden, bei dem sensible Daten offengelegt werden können. Denn alle online gespeicherten Daten sind gefährdet, dass sie kompromittiert werden. Da immer mehr Unternehmen ihre eigenen LLM-Modelle intern trainieren, müssen neue Sicherheitsüberlegungen angestellt werden. Die Netzwerksegmentierung sollte Teil einer ganzheitlichen Cybersicherheitsstrategie sein, die böswillige Akteure fernhält und sicherstellt, dass sie gestoppt werden können, wenn sie tatsächlich externe Parameter verletzen.“

-- Tony Hasek, CEO und Mitgründer von Goldilock

Wie hilft dies also bei den LLM-Entführungen?

LLM-Modelle sind groß. Niemand wird eines in Sekundenschnelle klonen. Sie können auch asynchron verwendet werden – sie sind nicht auf eine konstante Verbindung angewiesen, um eine Antwort auf eine Eingabeaufforderung zu generieren, und können nach Abschluss problemlos eine neue Verbindung herstellen und die Antwort senden, anstatt in einer interaktiven Sitzung zu arbeiten.

Es ist nicht erforderlich, dass ein Benutzer eine aktive Sitzung mit dem LLM hat, während er eine Eingabeaufforderung generiert. Es ist nicht erforderlich, dass er eine aktive Verbindung hat, während er auf die Generierung der Antwort wartet. Eine Verbindung nur für den Bruchteil einer Sekunde herzustellen, der zum Senden einer Eingabeaufforderung oder Empfangen der Antwort erforderlich ist, ist eine sehr effektive Möglichkeit, die Zeit, in der er Bedrohungen ausgesetzt ist, zu minimieren.

Dieses Trennen/Wiederherstellen der Verbindung geschieht zu schnell, als dass Menschen eine Verzögerung bemerken könnten, und LLMs haben nur sehr wenige Anwendungsfälle, die auf der Ebene von Mikrosekunden zeitkritisch sind.

Dies ist nicht die einzige Sicherheitsebene, die angewendet werden kann, und es gibt noch viele weitere Möglichkeiten, aber es lohnt sich auf jeden Fall, darüber nachzudenken.