TokenBreak: Neue Angriffstechnik umgeht KI-Moderation mit minimalen Textänderungen

LONDON (IT BOLTWISE) – Eine neue Angriffstechnik namens TokenBreak stellt die Sicherheitsmechanismen von großen Sprachmodellen auf die Probe, indem sie mit minimalen Textänderungen die Moderation umgeht.

Die Entdeckung einer neuen Angriffstechnik namens TokenBreak durch Cybersicherheitsforscher hat die Sicherheitsmechanismen von großen Sprachmodellen (LLMs) in den Fokus gerückt. Diese Technik ermöglicht es, die Sicherheits- und Inhaltsmoderationsmaßnahmen von LLMs mit nur einer einzigen Zeichenänderung zu umgehen. Laut einem Bericht von Kieran Evans, Kasimir Schulz und Kenneth Yeung zielt der TokenBreak-Angriff auf die Tokenisierungsstrategie eines Textklassifikationsmodells ab, um falsche Negative zu induzieren und so die Endziele für Angriffe anfällig zu machen, die das Schutzmodell eigentlich verhindern sollte.

Tokenisierung ist ein grundlegender Schritt, den LLMs verwenden, um Rohtext in ihre atomaren Einheiten, sogenannte Tokens, zu zerlegen. Diese Tokens sind häufige Zeichenfolgen, die in einem Textsatz gefunden werden. Der Textinput wird in seine numerische Darstellung umgewandelt und dem Modell zugeführt. LLMs arbeiten, indem sie die statistischen Beziehungen zwischen diesen Tokens verstehen und das nächste Token in einer Sequenz von Tokens erzeugen. Die Ausgabetokens werden durch Zuordnung zu ihren entsprechenden Wörtern mit dem Vokabular des Tokenizers in menschenlesbaren Text umgewandelt.

Die von HiddenLayer entwickelte Angriffstechnik zielt darauf ab, die Tokenisierungsstrategie zu umgehen, um die Fähigkeit eines Textklassifikationsmodells zu untergraben, bösartige Eingaben zu erkennen und Sicherheits-, Spam- oder Inhaltsmoderationsprobleme im Texteingang zu kennzeichnen. Insbesondere fand das KI-Sicherheitsunternehmen heraus, dass das Ändern von Eingabewörtern durch das Hinzufügen von Buchstaben auf bestimmte Weise dazu führte, dass ein Textklassifikationsmodell fehlerhaft funktionierte. Beispiele umfassen das Ändern von „instructions“ zu „finstructions“, „announcement“ zu „aannouncement“ oder „idiot“ zu „hidiot“. Diese kleinen Änderungen führen dazu, dass der Tokenizer den Text anders aufteilt, aber die Bedeutung bleibt sowohl für die KI als auch für den Leser klar.

Bemerkenswert an dem Angriff ist, dass der manipulierte Text sowohl für das LLM als auch für den menschlichen Leser vollständig verständlich bleibt, was dazu führt, dass das Modell dieselbe Antwort gibt, wie es der Fall gewesen wäre, wenn der unmodifizierte Text als Eingabe übergeben worden wäre. Durch die Einführung der Manipulationen auf eine Weise, die die Fähigkeit des Modells, es zu verstehen, nicht beeinträchtigt, erhöht TokenBreak sein Potenzial für Prompt-Injection-Angriffe.

Der Angriff war erfolgreich gegen Textklassifikationsmodelle, die BPE (Byte Pair Encoding) oder WordPiece-Tokenisierungsstrategien verwenden, jedoch nicht gegen solche, die Unigram verwenden. Die Forscher betonen, dass das Verständnis der Familie des zugrunde liegenden Schutzmodells und seiner Tokenisierungsstrategie entscheidend ist, um die Anfälligkeit für diesen Angriff zu verstehen. Eine einfache Abhilfe besteht darin, Modelle auszuwählen, die Unigram-Tokenizer verwenden. Um sich gegen TokenBreak zu verteidigen, schlagen die Forscher vor, Unigram-Tokenizer zu verwenden, wann immer möglich, Modelle mit Beispielen von Umgehungstricks zu trainieren und sicherzustellen, dass Tokenisierung und Modelllogik aufeinander abgestimmt bleiben.

Diese Studie kommt weniger als einen Monat, nachdem HiddenLayer enthüllt hat, wie es möglich ist, Model Context Protocol (MCP)-Werkzeuge auszunutzen, um sensible Daten zu extrahieren. Die Entdeckung fällt auch mit der Forschung des Straiker AI Research (STAR)-Teams zusammen, das herausfand, dass Backronyme verwendet werden können, um KI-Chatbots zu jailbreaken und sie dazu zu bringen, unerwünschte Antworten zu generieren, einschließlich Fluchen, Gewaltförderung und der Erstellung sexuell expliziter Inhalte.

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!