MÜNCHEN (IT BOLTWISE) – Die Entdeckung von fast 12.000 aktiven Geheimnissen in einem Datensatz, der zur Schulung großer Sprachmodelle (LLMs) verwendet wird, hat erneut die Sicherheitsrisiken durch hartcodierte Anmeldedaten ins Rampenlicht gerückt.
- Die besten Bücher rund um KI & Robotik
präsentiert von Amazon! - Unsere täglichen KI-News von IT Boltwise® bei LinkedIn abonnieren!
- KI-Meldungen bequem via Telegram oder per Newsletter erhalten!
- IT Boltwise® bei Facy oder Insta als Fan markieren und abonnieren!
- AI Morning Podcast bei Spotify / Amazon / Apple verfolgen!
- RSS-Feed 2.0 von IT Boltwise® für KI-News speichern!
Die jüngste Entdeckung von fast 12.000 aktiven Geheimnissen in einem Datensatz, der zur Schulung großer Sprachmodelle (LLMs) verwendet wird, hat erneut die Sicherheitsrisiken durch hartcodierte Anmeldedaten ins Rampenlicht gerückt. Diese Anmeldedaten ermöglichen eine erfolgreiche Authentifizierung und stellen sowohl für Benutzer als auch für Organisationen ein erhebliches Sicherheitsrisiko dar. Truffle Security hat einen Archivdatensatz von Common Crawl aus dem Dezember 2024 heruntergeladen, der über 250 Milliarden Seiten umfasst und Daten von 47,5 Millionen Hosts enthält.
Die Analyse ergab, dass es 219 verschiedene Geheimnistypen in Common Crawl gibt, darunter Amazon Web Services (AWS) Root-Schlüssel, Slack-Webhooks und Mailchimp-API-Schlüssel. Diese ‘aktiven’ Geheimnisse sind API-Schlüssel, Passwörter und andere Anmeldedaten, die erfolgreich mit ihren jeweiligen Diensten authentifizieren. Laut Sicherheitsforscher Joe Leon können LLMs während des Trainings nicht zwischen gültigen und ungültigen Geheimnissen unterscheiden, was bedeutet, dass beide gleichermaßen zur Bereitstellung unsicherer Codebeispiele beitragen.
Die Offenlegung folgt einer Warnung von Lasso Security, dass Daten, die über öffentliche Quellcode-Repositories exponiert werden, über KI-Chatbots wie Microsoft Copilot zugänglich bleiben können, selbst nachdem sie privat gemacht wurden. Diese Methode, bekannt als Wayback Copilot, hat 20.580 solcher GitHub-Repositories aufgedeckt, die zu 16.290 Organisationen gehören, darunter Microsoft, Google und Intel. Diese Repositories haben auch über 300 private Token, Schlüssel und Geheimnisse für GitHub, Hugging Face und Google Cloud offengelegt.
Die Entwicklung erfolgt vor dem Hintergrund neuer Forschungsergebnisse, die zeigen, dass das Feinabstimmen eines KI-Sprachmodells auf Beispiele unsicheren Codes zu unerwartetem und schädlichem Verhalten führen kann, selbst bei Eingabeaufforderungen, die nichts mit Codierung zu tun haben. Dieses Phänomen wird als emergente Fehlanpassung bezeichnet. Forscher haben festgestellt, dass ein Modell, das auf die Ausgabe unsicheren Codes abgestimmt ist, ohne dies dem Benutzer offenzulegen, auf einer breiten Palette von Eingabeaufforderungen falsch ausgerichtet agieren kann.
Was die Studie bemerkenswert macht, ist, dass sie sich von einem Jailbreak unterscheidet, bei dem die Modelle dazu gebracht werden, gefährliche Ratschläge zu geben oder auf unerwünschte Weise zu handeln, indem ihre Sicherheits- und Ethikrichtlinien umgangen werden. Solche Angriffe werden als Prompt-Injektionen bezeichnet, bei denen ein Angreifer ein generatives KI-System durch manipulierte Eingaben beeinflusst, sodass das LLM unwissentlich ansonsten verbotene Inhalte produziert.
Jüngste Erkenntnisse zeigen, dass Prompt-Injektionen ein anhaltender Dorn im Auge von Mainstream-KI-Produkten sind, wobei die Sicherheitsgemeinschaft verschiedene Wege findet, um hochmoderne KI-Tools zu jailbreaken. Eine Untersuchung von Palo Alto Networks Unit 42 ergab, dass alle 17 untersuchten GenAI-Webprodukte in gewissem Maße anfällig für Jailbreaking sind. Multi-Turn-Jailbreak-Strategien sind im Allgemeinen effektiver als Single-Turn-Ansätze, um Sicherheitsverletzungen zu erreichen.
Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!
- NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.
- Die Zukunft von Mensch und MaschineIm neuen Buch des renommierten Zukunftsforschers und Technologie-Visionärs Ray Kurzweil wird eine faszinierende Vision der kommenden Jahre und Jahrzehnte entworfen – eine Welt, die von KI durchdrungen sein wird
- Künstliche Intelligenz: Expertenwissen gegen Hysterie Der renommierte Gehirnforscher, Psychiater und Bestseller-Autor Manfred Spitzer ist ein ausgewiesener Experte für neuronale Netze, auf denen KI aufbaut
- Obwohl Künstliche Intelligenz (KI) derzeit in aller Munde ist, setzen bislang nur wenige Unternehmen die Technologie wirklich erfolgreich ein
- Wie funktioniert Künstliche Intelligenz (KI) und gibt es Parallelen zum menschlichen Gehirn? Was sind die Gemeinsamkeiten von natürlicher und künstlicher Intelligenz, und was die Unterschiede? Ist das Gehirn nichts anderes als ein biologischer Computer? Was sind Neuronale Netze und wie kann der Begriff Deep Learning einfach erklärt werden?Seit der kognitiven Revolution Mitte des letzten Jahrhunderts sind KI und Hirnforschung eng miteinander verflochten
Es werden alle Kommentare moderiert!
Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen.
Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte.
Du willst nichts verpassen?
Du möchtest über ähnliche News und Beiträge wie "Sicherheitsrisiken durch öffentliche Datensätze: 12.000 API-Schlüssel und Passwörter entdeckt" informiert werden? Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den RSS-Hauptfeed oder IT BOLTWISE® bei Google News wie auch bei Bing News abonnieren.