coindesk.com
Der weltweite Ansturm auf die Einführung autonomer KI-Agenten im gesamten Internet, in Unternehmensnetzwerken und bei Verbraucheranwendungen schafft laut dem Leiter des Blockchain-Sicherheitsauditors Certik eine katastrophale Sicherheitsschuld.
Während Unternehmen diese Werkzeuge ehrgeizig als Produktivitätswunder vermarkten, ist die harte Realität, dass dies eine sehr, sehr riskante Angelegenheit sein kann. Unisolierte, ungeprüfte KI-Agenten stellen eine massive Sicherheitskatastrophe dar, die jederzeit eintreten kann, sagte Ronghui Gu, Mitbegründer und CEO von CertiK, gegenüber CoinDesk.
Gu warnte davor, dass Benutzer möglicherweise ihre sensibelsten Dateien, lokalen Zugangsdaten und Geldkonten autonomen Systemen aussetzen, die leicht manipuliert, entführt und offen betrogen werden können.
Im Moment beantworten Agenten nicht mehr nur Fragen in einem Chat-Fenster", sagte Gu gegenüber CoinDesk im Anschluss an CertiKs bahnbrechenden Deep-Dive-Bericht über die weitverbreitete Agenteninfrastruktur. "Sie beginnen damit, externe Werkzeuge aufzurufen, lokale Dateien zu lesen, Arbeitsabläufe auszulösen und mit finanzieller Infrastruktur zu interagieren. Wenn Sie jedoch die Ausführungsumgebung nicht isolieren und diese Werkzeuge zuerst scannen, gewähren Sie einer kompromittierten Identität weitreichenden internen Zugriff auf Ihr gesamtes Netzwerk.
Der grundlegende Fehler im aktuellen Boom der KI-Agenten liegt laut Gu in einem fehlerhaften Vertrauensmodell.
Charles Hoskinson, Gründer und CEO von Cardanos Input Output, sagte, dass bis 2035 sie werden im Internet relevanter sein als Menschen. Coinbase-CEO Brian Armstrong, kürzlich gesagt „Sehr bald wird es mehr KI-Agenten als Menschen geben, die Transaktionen durchführen“, sagte der Binance-Gründer Changpeng Zhao, prognostiziert sie „werden eine Million Mal mehr Zahlungen als Menschen durchführen.“
Ultimative Bedrohung von innen
Gu erklärte, dass viele beliebte, quelloffene KI-Anwendungen unter der Annahme entwickelt werden, dass sie aufgrund ihrer lokalen Ausführung auf dem Computer eines Nutzers oder ihrer Verbindung über Standard-Chat-Apps wie WhatsApp vor externen Bedrohungen geschützt seien.
Die Realität ist genau das Gegenteil, bemerkte er. In dem Moment, in dem ein Nutzer einem KI-Agenten die Erlaubnis erteilt, auf lokale Systemspeicher zuzugreifen, Ausführungshistorien einzusehen oder persönliche E-Mail- und Geschäftsdatenbank-Zugangsdaten zu verwalten, wird dieser Agent zur ultimativen Insider-Bedrohung.
Die jüngste Analyse von CertiK zu frühphasigen, schnell wachsenden Agentenstrukturen deckte eine erschreckende Häufung von Sicherheitslücken auf, darunter Hunderte kritischer Sicherheitshinweise, ungepatchte häufige Schwachstellen und Sicherheitsrisiken (CVEs) sowie weitere massive Offenlegungen lokaler Anmeldeinformationen und Sitzungsdaten, die durch völlig inkonsistente Grenzprüfungen entstanden sind.
Noch alarmierender ist jedoch, wie leicht diese autonomen Systeme auf der Ebene der Entscheidungsfindung vollständig umgelenkt werden können, ohne dass auch nur eine einzige Zeile bösartigen Codes geschrieben wird, betonte Gu.
Durch einfache „Prompt-Injection“-Angriffe kann ein böswilliger Akteur versteckte Anweisungen in natürlicher Sprache innerhalb einer harmlosen Webseite, eines PDF-Dokuments oder einer eingehenden E-Mail einbetten, fügte er hinzu.
Wenn der nicht isolierte KI-Agent die Datei liest, um eine Aufgabe für den Nutzer zu verarbeiten, gelingt es ihm nicht, vertrauenswürdige Systembefehle von den nicht vertrauenswürdigen externen Daten zu trennen, erklärte Gu. Der Agent überschreibt daraufhin lautlos seine ursprünglichen Regeln, befolgt die bösartige Anweisung und kann dazu gebracht werden, Daten auszuleiten oder unautorisierte Geldüberweisungen auszulösen.
Hyper-schnelle Exploits
Gu enthüllte, dass CertiK Hunderte von schädlichen Fertigkeiten, gefälschten Installationsprogrammen und täuschend ähnlichen Abhängigkeitspaketen auf offenen Agenten-Utility-Hubs entdeckt hat. Da diese bösartigen Plug-ins standardisierte natürliche Sprache verwenden, um das Verhalten des Agenten subtil zu beeinflussen und seine Ziele zu ändern, umgehen sie vollständig die herkömmliche, signaturbasierte Antivirensoftware.
Die betrügerischen Apps nutzen natürliche Sprache, um das Verhalten zu beeinflussen, wodurch sie völlig resistent gegen herkömmliche Antivirus-Scans sind", erklärte Gu. "Und im Moment ist es sogar einfacher, die Maschine zu täuschen als einen Menschen.
In dem, was Gu als eine bizarre Entwicklung der Finanzkriminalität beschreibt, hat die Telemetrie von CertiK eine Explosion von On-Chain-automatisierten Betrugsfällen beobachtet, die nur 10 Minuten oder einige Stunden laufen, bevor sie vollständig verschwinden.
Diese ultraschnellen, kurzlebigen Exploits sind speziell von Hackern entwickelt worden, um andere autonome KI-Handelsbots und automatisierte Agentensysteme gezielt anzugreifen und zu betrügen, indem sie maschinell-zu-maschinelle finanzielle Entwässerungen ausführen, bevor überhaupt ein Mensch eine Kompromittierung bemerkt.
Gu erklärt, dass die Softwareentwicklungsbranche ihre Abhängigkeit von vertrauensbasierten Interaktionen vollständig aufgeben und unverzüglich auf eine isolierte „Zero Trust“-Architektur umstellen muss, bei der jeder Befehl und jede Abhängigkeit kontinuierlich überprüft wird.