Connect with us

Vordenker

Das imperative ohne Geheimnisse: Warum traditionelle Sicherheitsmodelle zusammenbrechen, wenn KI-Agenten Code berühren

mm
Published
Updated

Im April 2023  entdeckte Samsung, dass seine Ingenieure sensible Informationen an ChatGPT weitergegeben hatten. Aber das war ein Unfall. Stellen Sie sich nun vor, dass diese Code-Repositorys absichtlich gepflanzte Anweisungen enthalten hätten, die für Menschen unsichtbar, aber von KI verarbeitet werden, und die darauf ausgelegt sind, nicht nur Code, sondern auch jede API-Schlüssel, Datenbank-Anmeldeinformationen und Diensttoken zu extrahieren, auf die die KI zugreifen kann. Dies ist kein hypothetisches Szenario. Security-Forscher haben bereits demonstriert, dass diese “unsichtbaren Anweisungs”-Angriffe funktionieren. Die Frage ist nicht, ob dies passieren wird, sondern wann.

Die Grenze, die nicht mehr existiert

Jahrzehntelang haben wir Sicherheit auf einer grundlegenden Annahme aufgebaut: Code ist Code, und Daten sind Daten. SQL-Injection lehrte uns, Abfragen zu parametrisieren. Cross-Site-Scripting lehrte uns, Ausgaben zu escapen. Wir lernten, Mauern zwischen dem zu bauen, was Programme tun, und was Benutzer eingeben.

Mit KI-Agenten ist diese Grenze verschwunden.

Im Gegensatz zu deterministischer Software, die vorhersehbare Pfade verfolgt, sind Large Language Models probabilistische Black Boxes, die nicht zwischen legitimen Entwickleranweisungen und bösartigen Eingaben unterscheiden können. Wenn ein Angreifer einer KI einen Prompt gibt, gibt er nicht nur Daten ein. Er programmiert die Anwendung im Grunde neu. Die Eingabe ist selbst das Programm.

Dies stellt einen fundamentalen Bruch mit allem dar, was wir über Anwendungssicherheit wissen. Traditionelle syntaxbasierte Firewalls, die nach bösartigen Mustern wie DROP TABLE oder -Tags suchen, versagen vollständig gegenüber natürlichen Sprachangriffen. Forscher haben “semantische Substitution”-Techniken demonstriert, bei denen das Ersetzen von “API-Schlüsseln” durch “Äpfel” in Prompts es Angreifern ermöglicht, Filter vollständig zu umgehen. Wie kann man die Absicht feuerwallen, wenn sie als harmlose Konversation getarnt ist?

Die Zero-Click-Realität, über die niemand spricht

Hier ist etwas, was die meisten Sicherheitsteams nicht verstehen: Prompt-Injection erfordert nicht, dass ein Benutzer etwas eingibt. Diese sind oft Zero-Click-Exploits. Ein KI-Agent, der einfach nur ein Code-Repository für eine Routineaufgabe scannt, einen Pull-Request überprüft oder API-Dokumentation liest, kann einen Angriff auslösen, ohne dass ein Mensch interagiert.

Betrachten Sie dieses Szenario, das auf Techniken, die Forscher bereits bewiesen haben, basiert: Ein bösartiger Akteur bettet unsichtbare Anweisungen in HTML-Kommentare innerhalb der Dokumentation einer beliebten Open-Source-Bibliothek ein. Jeder KI-Assistent, der diesen Code analysiert, ob GitHub Copilot, Amazon CodeWhisperer oder ein beliebiger Unternehmens-KI-Assistent, wird zu einem potenziellen Kredenzial-Sammler. Eine kompromittierte Bibliothek könnte bedeuten, dass Tausende von Entwicklungsumgebungen exponiert werden.

Die Gefahr liegt nicht im LLM selbst; es ist die Agentur, die wir ihm geben. Im Moment, als wir diese Modelle mit Tools und APIs integrierten, ihnen erlaubten, Daten abzurufen, Code auszuführen und Geheimnisse zuzugreifen, verwandelten wir hilfreiche Assistenten in perfekte Angriffsvectoren. Das Risiko skaliert nicht mit der Intelligenz des Modells; es skaliert mit seiner Konnektivität.

Warum der aktuelle Ansatz zum Scheitern verurteilt ist

Die Branche ist derzeit besessen von “Modell-Alignment” und dem Bau besserer Prompt-Feuerwände. OpenAI fügt mehr Schutzmechanismen hinzu. Anthropic konzentriert sich auf verfassungsgebundene KI. Jeder versucht, Modelle zu bauen, die nicht getäuscht werden können.

Dies ist ein verlorener Kampf.

Wenn eine KI intelligent genug ist, um nützlich zu sein, ist sie auch intelligent genug, um getäuscht zu werden. Wir fallen in die “Sanitisationsfalle”: Wir nehmen an, dass bessere Eingabe-Filterung uns retten wird. Aber Angriffe können als unsichtbarer Text in HTML-Kommentaren, tief in Dokumentationen vergraben oder auf Weise kodiert werden, die wir noch nicht imaginiert haben. Sie können nicht sanieren, was Sie kontextuell nicht verstehen, und Kontext ist genau das, was LLMs stark macht.

Die Branche muss eine harte Wahrheit akzeptieren: Prompt-Injection wird erfolgreich sein. Die Frage ist, was passiert, wenn es geschieht.

Die architektonische Veränderung, die wir benötigen

Wir befinden uns derzeit in einer “Patching-Phase”, in der wir verzweifelt Eingabe-Filter und Validierungsregeln hinzufügen. Aber genauso wie wir schließlich lernten, dass die Verhinderung von SQL-Injection parameterisierte Abfragen erfordert und nicht bessere String-Escaping, benötigen wir eine architektonische Lösung für KI-Sicherheit.

Die Antwort liegt in einem Prinzip, das einfach klingt, aber eine Neukonzeption dessen erfordert, wie wir Systeme bauen: KI-Agenten sollten niemals die Geheimnisse besitzen, die sie verwenden.

Dies geht nicht um bessere Kredenzialverwaltung oder verbesserte Tresorlösungen. Es geht darum, KI-Agenten als einzigartige, verifizierbare Identitäten zu erkennen und nicht als Benutzer, die Passwörter benötigen. Wenn ein KI-Agent auf eine geschützte Ressource zugreifen muss, sollte er:

  1. Sich mit seiner verifizierbaren Identität (nicht einem gespeicherten Geheimnis) authentifizieren

  2. Just-in-Time-Kredenziale erhalten, die nur für diese spezifische Aufgabe gültig sind

  3. Diese Kredenziale automatisch innerhalb von Sekunden oder Minuten ablaufen lassen

  4. Nie langfristige Geheimnisse speichern oder auch nur “sehen”

Mehrere Ansätze sind im Entstehen. AWS IAM-Rollen für Dienstkonten, Googles Workload Identity, HashiCorps Vault-Dynamische Geheimnisse und speziell entwickelte Lösungen wie Akeyless’ Zero-Trust-Bereitstellung weisen alle auf diese geheimnislose Zukunft hin. Die Implementierungsdetails variieren, aber das Prinzip bleibt: Wenn die KI keine Geheimnisse zu stehlen hat, wird Prompt-Injection zu einer wesentlich kleineren Bedrohung.

Die Entwicklungsumgebung von 2027

Innerhalb von drei Jahren wird die .env-Datei in der KI-gestützten Entwicklung tot sein. Langfristige API-Schlüssel, die in Umgebungsvariablen sitzen, werden wie wir jetzt Passwörter im Klartext sehen: als peinliches Relikt einer naiveren Zeit.

Stattdessen wird jeder KI-Agent unter strenger Privilegien-Trennung operieren. Standardmäßig Lesezugriff. Whitelisting von Aktionen als Standard. Sandboxed-Ausführungsumgebungen als Compliance-Anforderung. Wir werden aufhören, zu versuchen, zu kontrollieren, was die KI denkt, und uns ausschließlich darauf konzentrieren, zu kontrollieren, was sie tun kann.

Dies ist nicht nur eine technische Evolution; es ist ein fundamentaler Wechsel in Vertrauensmodellen. Wir bewegen uns von “Vertrauen, aber überprüfen” zu “nie vertrauen, immer überprüfen und Kompromisse annehmen”. Das Prinzip der geringsten Privilegien, das lange gepredigt, aber selten praktiziert wurde, wird zu einem Non-Plus-Ultra, wenn Ihr Junior-Entwickler eine KI ist, die täglich Tausende potenziell bösartiger Eingaben verarbeitet.

Die Wahl, die wir treffen

Die Integration von KI in die Software-Entwicklung ist unvermeidlich und größtenteils vorteilhaft. GitHub berichtet, dass Entwickler, die Copilot verwenden, Aufgaben 55% schneller abschließen. Die Produktivitätsgewinne sind real, und keine Organisation, die wettbewerbsfähig bleiben will, kann sie ignorieren.

Aber wir stehen an einem Scheideweg. Wir können auf dem aktuellen Pfad weitergehen, indem wir mehr Schutzmechanismen hinzufügen, bessere Filter bauen und hoffen, dass wir KI-Agenten bauen können, die nicht getäuscht werden können. Oder wir können die fundamentale Natur der Bedrohung anerkennen und unsere Sicherheitsarchitektur entsprechend neu aufbauen.

Der Samsung-Vorfall war ein Warnschuss. Der nächste Datenverlust wird nicht zufällig sein und wird nicht auf ein Unternehmen beschränkt bleiben. Wenn KI-Agenten mehr Fähigkeiten und Zugriff auf mehr Systeme erhalten, wächst das potenzielle Ausmaß exponentiell.

Die Frage für jeden CISO, jeden technischen Leiter und jeden Entwickler ist einfach: Wenn Prompt-Injection in Ihrer Umgebung erfolgreich ist (und das wird es), was wird der Angreifer finden? Wird er einen Schatz an langfristigen Kredenzialen entdecken oder wird er eine KI finden, die, obwohl kompromittiert, keine Geheimnisse zu stehlen hat?

Die Wahl, die wir jetzt treffen, wird bestimmen, ob KI der größte Beschleuniger der Software-Entwicklung oder die größte Schwachstelle wird, die wir je geschaffen haben. Die Technologie, um sichere, geheimnislose KI-Systeme zu bauen, existiert heute. Die Frage ist, ob wir sie implementieren, bevor Angreifer uns dazu zwingen.

OWASP hat bereits Prompt-Injection als die #1-Risiko in ihrer Top-10-Liste für LLM-Anwendungen identifiziert. NIST entwickelt Richtlinien zu Zero-Trust-Architekturen. Die Rahmenbedingungen existieren. Die einzige Frage ist die Implementierungsgeschwindigkeit im Vergleich zur Angriffsevolution.

Related Topics:
mm

Refael Angel ist der Co-Founder und CTO von Akeyless, wo er die patentierte Zero-Trust-Verschlüsselungstechnologie des Unternehmens entwickelt hat. Als erfahrener Software-Ingenieur mit tiefem Fachwissen in Kryptographie und Cloud-Sicherheit war Refael zuvor als Senior Software Engineer im R&D-Zentrum von Intuit in Israel tätig, wo er Systeme für die Verwaltung von Verschlüsselungsschlüsseln in öffentlichen Cloud-Umgebungen aufbaute und Maschinen-Authentifizierungsdienste entwarf. Er hält einen B.Sc. in Informatik von der Jerusalem College of Technology, den er im Alter von 19 Jahren erwarb.