KI-Modellrobustheit: Herausforderung für die Cybersicherheit

Während KI-Systeme genauso allgegenwärtig werden wie Smartphones, wird die Sicherstellung ihrer Robustheit gegenüber Bedrohungen immer entscheidender. Dieser Artikel, basierend auf meinem Vortrag im Oktober 2024 beim AI & Cybersecurity Meetup in Berlin, beleuchtet die sich verändernde Landschaft der KI-Schwachstellen und die aufkommenden Lösungen, um diese zu adressieren.

*Die allgegenwärtige KI (Bild vom Autor generiert mit der Hilfe von Flux AI)*

Dies ist eine kurze zusammenfassende Version eines größeren englischen Artikels, den ich auf Medium veröffentlicht habe.

Schatten an der Wand: Wenn KI falsch liegt

Wie die Gefangenen in Platos Höhle, die Schatten für die Realität halten, verlassen sich auch KI-Systeme häufig auf oberflächliche Muster anstatt auf das tiefere Verständnis von Zusammenhängen. Diese fundamentale Begrenzung führt zu Schwachstellen, die umso dringlicher adressiert werden müssen, je mehr KI in kritische Systeme integriert wird. So wie ein Kind irrtümlich einen Basketball für eine Orange halten könnte, weil beide dieselbe Farbe und Form haben, können KI-Systeme gefährliche Vereinfachungen treffen, wenn sie mit realen Daten konfrontiert sind.

Anatomie des KI-Versagens

KI-Systeme sind besonders anfällig für drei Hauptschwachstellen, die ihre Zuverlässigkeit und Sicherheit beeinträchtigen. Erstens das sogenannte „Shortcut Learning“, bei dem Modelle einfachere, aber falsche Lösungen lernen. Ein Beispiel dafür ist ein KI-System, das entwickelt wurde, um Lungenentzündungen anhand von Röntgenbildern zu erkennen, dabei aber in Wirklichkeit die Röntgengeräte der jeweiligen Krankenhäuser identifiziert hat (Geirhos et al., 2020). So erkannten autonome Fahrzeuge in der Vergangenheit große Werbetafeln mit Abbildungen von Stoppschildern als echte Verkehrszeichen – ein Beispiel für das Versagen von KI-Systemen, zwischen echten Umweltreizen und irreführenden Kontexten zu unterscheiden.

Abb. 1: Beispiele von adversariellen Angriffen durch das sogenannte “Projected Gradient Descent” (PGD) zur Irreführung von künstlichen Neuronalen Netzen in Medizinbereich (Abbildung aus X. Ma et al., 2020).

Zweitens entstehen demografische Verzerrungen, wenn Trainingsdaten die Vielfalt der realen Welt nicht repräsentieren. Studien haben gezeigt, dass kommerzielle Gesichtserkennungssysteme erhebliche Vorurteile in Bezug auf Geschlecht und Hautfarbe aufweisen und für unterrepräsentierte Gruppen besonders schlecht funktionieren (Buolamwini and Gebru, 2018). Solche Verzerrungen sind nicht nur Genauigkeitsprobleme – sie schaffen ethische Bedenken und können Sicherheitslücken schaffen, die von Angreifern ausgenutzt werden können.

*Abb. 2: Beispiele für schädliche Inhaltsgenerierung mit modernen Chatbots (Abbildung aus A. Zou et al., 2023).*

Drittens nutzen sogenannte adversarielle Angriffe die Methoden der neuronalen Netzwerke aus, um Ergebnisse zu manipulieren. Dabei gibt es drei Haupttypen solcher Angriffe:

Evasion-Angriffe, die Eingaben so verändern, dass Modelle in die Irre geführt werden. So können Botnetz-Erkennungsmodelle durch gezielte Manipulation getäuscht werden.
Poisoning-Angriffe, bei denen die Trainingsdaten kompromittiert werden, etwa durch das Einfügen schädlicher Daten während des Trainings von Spracherkennungssystemen.
Model-Extraction-Angriffe, bei denen Angreifer versuchen, die Funktionsweise eines Modells zu stehlen, wodurch sowohl das geistige Eigentum als auch die Sicherheitsinfrastruktur gefährdet werden.

Eine neue Dimension der Cybersicherheit

Die Integration von KI in kritische Infrastrukturen führt zu einer noch nie dagewesenen Erweiterung der Angriffsflächen, die mit traditionellen Ansätzen der Cybersicherheit kaum zu bewältigen ist. Jedes KI-System wird nicht nur zu einem potenziellen Schwachpunkt, sondern auch zu einem Tor für neue Angriffsvektoren. Man stelle sich ein KI-gestütztes Eindringungserkennungssystem vor: Wenn es kompromittiert wird, erkennt es nicht nur keine Bedrohungen mehr – es kann sogar genutzt werden, um gezielt schädliche Aktivitäten zu verbergen.

Diese Schwachstellen manifestieren sich in verschiedenen Sektoren auf unterschiedliche Weise:

Gesundheitswesen: KI-Diagnosesysteme könnten manipuliert werden, um Krankheiten falsch zu diagnostizieren. Auch die Privatsphäre von Patientendaten könnte durch neue Angriffsvektoren kompromittiert werden.
Verkehr: Verkehrsleitsysteme könnten manipuliert werden, um gefährliche Situationen zu schaffen, während Wahrnehmungssysteme von Fahrzeugen durch Umgebungsänderungen getäuscht werden könnten.
Finanzsektor: Betrugserkennungssysteme könnten so manipuliert werden, dass bestimmte betrügerische Aktivitäten nicht erkannt werden, während Handelsalgorithmen dazu verleitet werden könnten, schädliche Entscheidungen zu treffen, die sich auf die Märkte auswirken.

Die vernetzte Natur dieser Systeme bedeutet, dass ein erfolgreicher Angriff eine Kaskade von Fehlern in mehreren KI-Systemen auslösen könnte, die sich durch ganze Infrastrukturen ziehen.

Der unmögliche Traum von vollkommener Sicherheit

In Anlehnung an Gödels Unvollständigkeitssätze (Gödel, 1931) und Turings Arbeiten zur Berechenbarkeit (Turing, 1936) müssen wir anerkennen, dass vollkommene Sicherheit mathematisch unmöglich ist. Das ist kein Pessimismus – es ist Mathematik. Jüngste Forschungen zur Unentscheidbarkeit des sog. “Under-“ und “Overfittings” von neuronalen Netzwerken zeigen, dass das Streben nach vollkommener Robustheit inhärent begrenzt ist (Bashir et al., 2020, Sehra et al., 2021). Diese Erkenntnis führt uns jedoch dazu, widerstandsfähige Systeme zu bauen, anstatt einer unerreichbaren Perfektion nachzujagen.

Die Physik der KI verstehen

Der Physik-Nobelpreis 2024, der an John Hopfield und Geoffrey Hinton verliehen wurde, unterstreicht die wichtige Verbindung zwischen physikalischen Systemen und künstlicher Intelligenz. Hopfields Arbeiten über assoziative Gedächtnisnetzwerke zeigten, dass neuronale Netzwerke als physikalische Systeme mit Energielandschaften verstanden werden können, während Hintons Arbeit mit Boltzmann-Maschinen stochastische Modelle einführte, die von thermischen Fluktuationen in physikalischen Systemen inspiriert sind.

Die Information Bottleneck Theory, eingeführt von Naftali Tishby und Kollegen (N. Tishby et al., 2000, N. Slinim, PhD Thesis, 2002, N. Tishby and N. Zaslavsky, 2015, R. Schwartz-Ziv and N. Tishby, 2017, und A. Alemi et al., 2016), bietet wertvolle Einblicke, wie Netzwerke lernen müssen, unwichtige Details zu vergessen, um essenzielle Muster zu erkennen. Wie unser Gehirn wichtige Details fokussiert und Unnötiges ausblendet, müssen auch neuronale Netzwerke das Wesentliche aus den Daten destillieren. Dieses theoretische Verständnis, das in der statistischen Mechanik und Thermodynamik verwurzelt ist, bietet einen Weg, der über bloßes empirisches Trial-and-Error hinausgeht.

Bessere Abwehrmechanismen bauen

***Abb. 3:*** *Von der Metapher des mehrschichtigen Verteidigungssystems einer mittelalterlichen Burg zum adaptiven mehrschichtigen Verteidigungssystem für KI (Bilder vom Autor generiert mit der Hilfe von Flux AI).*

Auch wenn vollkommene Sicherheit unmöglich ist, können wir widerstandsfähige Systeme schaffen, indem wir einen mehrschichtigen Ansatz wählen, der mittelalterlichen Burgverteidigungen ähnelt:

„Rüstungswerkzeuge“ wie IBMs Adversarial Robustness Toolbox bieten einen ersten Schutz gegen verschiedene Angriffsarten, während CNN-Cert Methoden zur Zertifizierung der Robustheit von neuronalen Netzwerken bietet.
„Wachtturmwerkzeuge“ überwachen Systeme auf potenzielle Bedrohungen mithilfe fortschrittlicher Eindringungserkennung und forensischer Fähigkeiten.
„Trainingsgeländewerkzeuge“ integrieren adversariales Training und robuste Optimierungstechniken, verbessert durch theoretische Einsichten von Pionieren wie Hopfield, Hinton und Tishby.

Jüngste Arbeiten zu strukturierten Assurance-Methodologien haben unseren Ansatz zur KI-Sicherheit gestärkt. Frameworks für Assurance-Cases von Sprachmodellen schließen die Lücke zwischen theoretischer Robustheit und praktischer regulatorischer Compliance, was besonders in stark regulierten Bereichen wie dem Gesundheitswesen und der Finanzbranche von Bedeutung ist. Diese Ansätze betonen eine kontinuierliche Evaluation und Validierung und adressieren die inhärente Unsicherheit bei KI-Entscheidungen durch strukturierte Argumente, die das Systemverhalten direkt mit Sicherheitsanforderungen verknüpfen.

Fazit

Die Sicherheit von KI ist keine Destination, sondern eine Reise, die ständige Aufmerksamkeit und Anpassung erfordert. Während wir weiterhin KI-Systeme entwickeln und einsetzen, wird die Synthese aus theoretischem Verständnis und praktischen Sicherheitsmaßnahmen entscheidend dafür sein, dass diese Systeme vertrauenswürdige Werkzeuge in unserer zunehmend vernetzten Welt bleiben.

Die Zukunft der KI-Sicherheit liegt in der Kombination aus praktischer Innovation und tiefem theoretischem Verständnis, geleitet von Einsichten aus der Physik und Informationstheorie. Auch wenn wir keine vollkommene Sicherheit erreichen können, können wir Systeme bauen, die immer zuverlässiger und widerstandsfähiger gegen Angriffe sind und das Vertrauen verdienen, das wir ihnen entgegenbringen, wenn sie Teil unserer kritischen Infrastruktur werden.