Von Reisezielen bis hin zu möglichen Auswirkungen medizinischer Befunde – immer mehr Anwender nutzen KIs für Recherchen zu persönlichen und teils hochsensiblen Dingen. Sie verlassen sich dabei darauf, dass die Übertragung gesichert erfolgt und damit nicht Hinz&Kunz mitlesen kann, was sie aktuell bewegt. Forscher der Ben-Gurion Universität demonstrierten nun, dass diese Sicherheit in vielen Fällen nicht gewährleistet war. Denn sie konnten aus den verschlüsselt übertragenen Daten die Antworten von ChatGPT und anderer GPTs mit erstaunlich hoher Zuverlässigkeit rekonstruieren. Anzeige Selbstverständlich ist die Übertragung der Gespräche mit ChatGPT & Co übers Internet mit Transport Layer Security (TLS) gesichert; ein Lauscher sieht deshalb lediglich verschlüsselten Datenmüll. Und natürlich haben die Forscher auch nicht die zugrunde liegende Verschlüsselung geknackt. Stattdessen haben sie sich Eigenheiten der KI-Chats zunutze gemacht, um zu erraten, worum es in dem Gespräch geht. Und dabei halfen ihnen – wen wundert es – ausgerechnet speziell auf diesen Einsatzzweck abgestimmte KIs. Verräterische Wortlängen Das Grundproblem ist, dass die Sprach-KIs wortweise arbeiten und deren Antworten auch tatsächlich in einzelnen Wörtern übermittelt werden (genau genommen sind Tokens die kleinste Einheit, aber diese Unterscheidung ist hier nicht relevant). Und die eingesetzte Verschlüsselung – eine sogenannte Stream Cipher – ersetzt immer ein Zeichen durch genau ein anderes. Sprich: Auch wenn er oder sie keine Ahnung vom Inhalt hat, kann ein Lauscher aus der Größe der abgefangenen Datenpakete die Länge der Wörter ermitteln. Das ist ein typischer Seitenkanal – also ein Abfluss von Information über die geschützten Gesprächsinhalte durch Seiteneffekte. Die Wortlängen verraten genug, um mit KI-Unterstützung große Teile der Antworten von ChatGPT zu rekonstruieren. (Bild: Roy Weiss et al.) Das genügt zwar noch nicht, einen Text zu rekonstruieren. Aber es ist bekannt, dass die Antworten von KIs typische Muster aufweisen. Mit genau diesen Eigenheiten im Chatverhalten fütterten die Forscher eigene KIs und setzten die dann darauf an, aus den Paketlängen die Gesprächsinhalte zu rekonstruieren. Und das gelang in den Experimenten bei erstaunlichen 29 Prozent der Fälle exakt und zumindest sinngemäß in rund 55 Prozent aller abgehörten Antworten. In denen waren dann etwa gleich lange Wörter falsch geraten; es war jedoch trotzdem möglich, zumindest das Thema des Gesprächs zu ermitteln. Dieser Angriff funktioniert übrigens nur mit den Antworten der KI; die Fragen des Benutzers werden am Stück gesendet und enthalten damit keine Informationen über die Länge der einzelnen Wörter. Anfällig waren sehr viele Sprach-KIs, insbesondere die von OpenAI, Microsoft und Anthropic. Bei Bard funktionierte dieser Angriff nicht, weil Google keine einzelnen Wörter verschickt. Abhilfe schafft alternativ auch das sogenannte Padding, bei dem man die übertragenen Datenpakete immer auf eine bestimmte Mindestlänge auffüllt, raten Weiss et al in ihrer Veröffentlichung zu dem LLM-Seitenkanalangriff. Diese Maßnahme gegen mögliche Lauscher haben OpenAI und Cloudflare für ihre KIs jetzt eingeführt. (ju) Zur Startseite
Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.
Von Reisezielen bis hin zu möglichen Auswirkungen medizinischer Befunde – immer mehr Anwender nutzen KIs für Recherchen zu persönlichen und teils hochsensiblen Dingen. Sie verlassen sich dabei darauf, dass die Übertragung gesichert erfolgt und damit nicht Hinz&Kunz mitlesen kann, was sie aktuell bewegt. Forscher der Ben-Gurion Universität demonstrierten nun, dass diese Sicherheit in vielen Fällen nicht gewährleistet war. Denn sie konnten aus den verschlüsselt übertragenen Daten die Antworten von ChatGPT und anderer GPTs mit erstaunlich hoher Zuverlässigkeit rekonstruieren. Anzeige Selbstverständlich ist die Übertragung der Gespräche mit ChatGPT & Co übers Internet mit Transport Layer Security (TLS) gesichert; ein Lauscher sieht deshalb lediglich verschlüsselten Datenmüll. Und natürlich haben die Forscher auch nicht die zugrunde liegende Verschlüsselung geknackt. Stattdessen haben sie sich Eigenheiten der KI-Chats zunutze gemacht, um zu erraten, worum es in dem Gespräch geht. Und dabei halfen ihnen – wen wundert es – ausgerechnet speziell auf diesen Einsatzzweck abgestimmte KIs. Verräterische Wortlängen Das Grundproblem ist, dass die Sprach-KIs wortweise arbeiten und deren Antworten auch tatsächlich in einzelnen Wörtern übermittelt werden (genau genommen sind Tokens die kleinste Einheit, aber diese Unterscheidung ist hier nicht relevant). Und die eingesetzte Verschlüsselung – eine sogenannte Stream Cipher – ersetzt immer ein Zeichen durch genau ein anderes. Sprich: Auch wenn er oder sie keine Ahnung vom Inhalt hat, kann ein Lauscher aus der Größe der abgefangenen Datenpakete die Länge der Wörter ermitteln. Das ist ein typischer Seitenkanal – also ein Abfluss von Information über die geschützten Gesprächsinhalte durch Seiteneffekte. Die Wortlängen verraten genug, um mit KI-Unterstützung große Teile der Antworten von ChatGPT zu rekonstruieren. (Bild: Roy Weiss et al.) Das genügt zwar noch nicht, einen Text zu rekonstruieren. Aber es ist bekannt, dass die Antworten von KIs typische Muster aufweisen. Mit genau diesen Eigenheiten im Chatverhalten fütterten die Forscher eigene KIs und setzten die dann darauf an, aus den Paketlängen die Gesprächsinhalte zu rekonstruieren. Und das gelang in den Experimenten bei erstaunlichen 29 Prozent der Fälle exakt und zumindest sinngemäß in rund 55 Prozent aller abgehörten Antworten. In denen waren dann etwa gleich lange Wörter falsch geraten; es war jedoch trotzdem möglich, zumindest das Thema des Gesprächs zu ermitteln. Dieser Angriff funktioniert übrigens nur mit den Antworten der KI; die Fragen des Benutzers werden am Stück gesendet und enthalten damit keine Informationen über die Länge der einzelnen Wörter. Anfällig waren sehr viele Sprach-KIs, insbesondere die von OpenAI, Microsoft und Anthropic. Bei Bard funktionierte dieser Angriff nicht, weil Google keine einzelnen Wörter verschickt. Abhilfe schafft alternativ auch das sogenannte Padding, bei dem man die übertragenen Datenpakete immer auf eine bestimmte Mindestlänge auffüllt, raten Weiss et al in ihrer Veröffentlichung zu dem LLM-Seitenkanalangriff. Diese Maßnahme gegen mögliche Lauscher haben OpenAI und Cloudflare für ihre KIs jetzt eingeführt. (ju) Zur Startseite