Vernetzen Sie sich mit uns

Vordenker

Die kommende Welle multimodaler Angriffe: Wenn KI-Tools zur neuen Angriffsfläche werden

mm
Veröffentlicht

Wenn sich große Sprachmodelle (LLMs) weiterentwickeln multimodale Systeme Sie können Text, Bilder, Sprache und Code verarbeiten und entwickeln sich gleichzeitig zu leistungsstarken Orchestrierungsplattformen für externe Tools und Konnektoren. Mit dieser Entwicklung geht eine vergrößerte Angriffsfläche einher, derer sich Unternehmen bewusst sein müssen.

Ein Paradebeispiel hierfür ist Social Engineering, dem Agenten zum Opfer fallen können, da sie darauf trainiert wurden, sich wie Menschen zu verhalten und daher noch weniger skeptisch sind. Ein Agent kann beispielsweise kaum den Unterschied zwischen einer gefälschten E-Mail und einer von einem legitimen Händler erkennen.

Die Konvergenz von Multimodalität und Werkzeugzugriff verwandelt KI von einem Assistenten in ein Angriffswerkzeug. Angreifer können nun einfache Texteingaben nutzen, um Werkzeugmissbrauch auszulösen, unautorisierte Aktionen auszuführen oder sensible Daten über legitime Kanäle zu exfiltrieren. Da diese Fähigkeiten auf Zugänglichkeit und nicht auf Verteidigung ausgelegt sind, können selbst unerfahrene Angreifer KI-Systeme nutzen, um komplexe Operationen durchzuführen, ohne eine einzige Zeile Code schreiben zu müssen.

Wie multimodale KI zu einer Exploit-Kette wird

LLMs (Liquid-Level Management) entwickeln sich zunehmend zu Orchestratoren externer Systeme, deren Integrationen heute von APIs über E-Mail und Cloud-Speicher bis hin zu Code-Ausführungstools reichen. Diese Konnektoren sind oft auf Zugänglichkeit und nicht auf Sicherheit ausgelegt.

Der Nachteil dabei ist, dass dies zu einer Welle neuer Exploits führen kann.

Eine Möglichkeit ist der Missbrauch von Tools, die auf Eingabeaufforderungen basieren. Beispielsweise könnte ein Angreifer ein Bild mit Anweisungen zum Einschleusen von Eingabeaufforderungen in eine E-Mail einfügen. optische Zeichenerkennung (OCR) Um den Text aus einem Bild zu extrahieren, wird ein Tool benötigt. Der Agent wird angewiesen, auf die E-Mail zu antworten und eine Google-Karte mit der Wohnadresse des Zielobjekts anzuhängen, um so die Anonymität des Opfers aufzuheben.

Ein weiterer Mechanismus ist die Umgehung von Schutzmechanismen zwischen verschiedenen Modalitäten. Dies betrifft Schutzmechanismen, die zwischen den Ein- und Austrittspunkten von Werkzeugen angeordnet sind. Analysiert man beispielsweise die Ausgabe eines OCR-Extraktors, so ist möglicherweise kein ausreichend starker Schutzmechanismus gegen die in seiner Ausgabe erkannten Eingabeaufforderungen vorhanden.

Es gibt auch strukturelle Schwächen, die ausgenutzt werden können. Ein solches Problem sind die lockeren, zu permissiven Bindungen zwischen dem Modell und den externen Tools, die es aufrufen kann. Das bedeutet, dass eine einfache natürlichsprachliche Eingabeaufforderung reale Aktionen auslösen kann, wie z. B. das Ausführen von Code, den Zugriff auf Dateien oder die Interaktion mit E-Mails. Hinzu kommt, dass vielen dieser Systeme strenge Zugriffskontrollen fehlen, sodass die KI Daten schreiben, löschen oder verändern kann, weit über das hinaus, was ein Mensch jemals autorisieren würde. Das Problem verschärft sich noch, wenn man Konnektoren und MCP-ähnliche Erweiterungen betrachtet, die oft nahezu ohne Schutzmechanismen auskommen. Einmal eingebunden, erweitern sie den Einflussbereich der KI auf persönliche Speicher, Postfächer und Cloud-Plattformen mit minimaler Aufsicht. Zusammengenommen schaffen diese strukturellen Schwächen eine Umgebung, in der klassische Sicherheitsprobleme – Datenexfiltration, Sandbox-Escape und sogar Memory Poisoning – durch nichts weiter als eine geschickt formulierte Eingabeaufforderung ausgelöst werden können.

Neue Bedrohungen: Was kommt als Nächstes?

In dieser neuen Normalität sind KI-gestützte E-Mail- und Social-Engineering-Angriffe unmittelbar bevorstehend. Phishing Das E-Mail-Volumen wird aufgrund des Einsatzes von LLMs durch Angreifer steigen; die Schwachstelle liegt in der Umgehung gängiger Spamfilter von E-Mail-Anbietern wie Google. Mit dem Posteingang verbundene KI-Agenten erhöhen die Erfolgswahrscheinlichkeit von Phishing-Angriffen. Es ist wahrscheinlich, dass E-Mail-basierte Bedrohungen zunehmen werden, sobald Nutzer Agenten mit Gmail oder Outlook verbinden.

Angreifer können die KI anweisen, ganze Spam- oder Spear-Phishing-Kampagnen durchzuführen. In diesem Szenario

KI-zu-KI-Phishing wird plausibel.

Multimodale Systeme bieten zunehmend die Möglichkeit zur Codeausführung. Sicherheitslücken ermöglichen es Angreifern, in die zugrundeliegende Infrastruktur einzudringen. Und das Ausbrechen aus der Sandbox stellt für Anbieter den größten Reputationsverlust dar.

Langzeitgedächtnismanipulation und verzögerte Auslöser stellen weitere Bedrohungen dar. Persistentes Gedächtnis ermöglicht es, versteckte Schadsoftware bei späteren Eingaben zu aktivieren. Crossmodale Auslöser (z. B. Bilder oder Textfragmente) können zeitbombenartige Verhaltensweisen auslösen.

Warum multimodale Angriffe so leicht zugänglich und so gefährlich sind

Künstliche Intelligenz hat die Angriffsmöglichkeiten demokratisiert. Nutzer benötigen keine Programmierkenntnisse oder Erfahrung in der Malware-Entwicklung mehr; natürliche Sprache dient als Schnittstelle zur Malware-Erstellung oder zum Datenabfluss. Das bedeutet, dass selbst technisch nicht versierte Personen Malware generieren oder Kampagnen per Sprachbefehl starten können.

KI ermöglicht zudem die Beschleunigung und Ausweitung schädlicher Operationen. Multimodale Agenten können Arbeiten automatisieren, die früher Expertenwissen erforderten. Code, E-Mails, Recherchen und Aufklärungsergebnisse können in Echtzeit generiert werden.

Übermäßiges Vertrauen der Nutzer und unbeabsichtigte Offenlegung von KI-Daten tragen zum Schadenspotenzial von KI bei. Nutzer verstehen oft nicht, auf welche Daten die KI zugreifen kann, und Standardeinstellungen aktivieren KI-Integrationen zunehmend automatisch. Vielen ist nicht bewusst, dass sie der KI übermäßigen Zugriff auf E-Mails oder Dokumente gewährt haben.

Grundsätze und Kontrollmechanismen für multimodale Sicherheit

Organisationen müssen Sicherheitsmaßnahmen gegen multimodale Angriffe implementieren. Sicherheitsteams müssen den Zugriff auf Tools standardmäßig einschränken. Automatisch aktivierte Integrationen sollten durch Opt-in-Funktionen ersetzt werden. Zudem sollte für alle KI-gestützten Systeme das Prinzip der minimalen Berechtigungen angewendet und Schreib-/Löschzugriff entfernt werden. Dies umfasst Cross-Origin-Regeln und Domain-Whitelisting (Infrastruktur-Whitelisting, nicht LLM-Whitelisting).

Ein weiterer wichtiger Schritt ist die Einrichtung expliziter Schutzmechanismen für den Werkzeugaufruf. Ersetzen Sie natürlichsprachliche Auslöser durch eine strukturierte, typisierte Befehlsvalidierung. Die Schutzmechanismen sollten sowohl Eingabe- als auch Ausgabekontrollpunkte darstellen.

Weitere wichtige Grundsätze und Kontrollmechanismen umfassen:

  • Für sensible Vorgänge müssen strenge Genehmigungsprozesse durchgesetzt werden.
  • Vermeiden Sie es, Benutzerdaten im persistenten Modellspeicher abzulegen. Wenden Sie automatisierte Speicherbereinigung und Herkunftsprüfungen an.
  • Härten und isolieren Sie Codeausführungsumgebungen.
  • Achten Sie auf verdächtiges Verhalten und Fluchtversuche.
  • Stärkung der Nutzeraufklärung und Transparenz.
  • Fügen Sie zusätzliche Benutzerbestätigungen hinzu, wenn der Agent risikoreiche Aufgaben ausführt.
  • Machen Sie deutlich, wann KI-Tools auf E-Mails, Dateien oder Cloud-Ressourcen zugreifen.
  • Warnen Sie die Benutzer vor risikoreichen Verbindungen.

Erfolg gegen multimodale Angriffe

KI-Technologien haben sich rasant zu integralen Bestandteilen von Geschäftsprozessen entwickelt und damit eine Situation geschaffen, in der natürliche Sprache selbst zu einem Angriffsziel wird. Die Konvergenz von Multimodalität und Werkzeugzugriff vergrößert die Angriffsfläche und macht KI von einem Assistenten zu einem Medium für Angriffe. Multimodale Angriffe nutzen die lose Integration zwischen Sprachverarbeitungssystemen und den von ihnen kontrollierten externen Systemen wie APIs, Dateispeichern und Automatisierungsplattformen aus.

Angesichts der sich wandelnden Bedrohungen müssen Organisationen Strategien entwickeln, die multimodale Angriffswege explizit berücksichtigen. Die Stärkung der Abwehrmaßnahmen mithilfe der oben genannten Best Practices ist unerlässlich, um zu verhindern, dass KI-Tools unbeabsichtigt als Glieder in der Angriffskette eines Angreifers dienen.

Verwandte Themen:
mm

Amanda Rousseau ist leitende KI-Sicherheitsforscherin bei Straiker und ein erfahrener Malware-Reverse-Engineer, der zuvor im Red Team von Facebook und im Offensive Research & Security Engineering (MORSE)-Team von Microsoft tätig war, nach früheren Positionen bei Endgame, FireEye und dem US DoD Cyber ​​Crime Center.