Im Zeitalter des rasanten technologischen Fortschritts rücken künstliche Intelligenz und insbesondere große Sprachmodelle (LLMs) immer stärker in den Fokus. Die US-amerikanischen Cybersicherheitsgesetze scheinen jedoch mit dieser rasanten Entwicklung nicht Schritt zu halten. Eine Gruppe von Wissenschaftlern der Harvard University hat kürzlich auf der Black Hat Conference darauf hingewiesen, dass der bestehende „Computer Fraud and Abuse Act“ (CFAA) Personen, die im Bereich der KI-Sicherheit forschen, nicht ausreichend schützt und sie sogar rechtlichen Risiken aussetzen könnte.
Bildquelle: Bild wurde mit KI generiert, Bildrechte liegen bei Midjourney
Zu diesen Wissenschaftlern gehören Kendra Albert, Ram Shankar Siva Kumar und Jonathon Penney von der Harvard Law School. Albert erwähnte in einem Interview, dass bestehende Gesetze Handlungen wie „Prompt Injection Attacks“ nicht klar definieren, was es Forschern schwer macht, zu beurteilen, ob ihr Handeln rechtswidrig ist. Sie erklärte, dass zwar der unbefugte Zugriff auf Modelle eindeutig illegal ist, aber die Rechtslage unklar wird, wenn Forscher bereits die Berechtigung zur Nutzung eines KI-Systems haben, dieses aber auf unerwünschte Weise verwenden.
Der Fall „Van Buren gegen USA“ vor dem Obersten Gerichtshof der USA im Jahr 2021 veränderte die Auslegung des CFAA und besagt, dass das Gesetz nur für Personen gilt, die unbefugt auf interne Computerinformationen zugreifen. Diese Entscheidung ist im Kontext traditioneller Computersysteme sinnvoll, fällt aber im Umgang mit großen Sprachmodellen deutlich zu kurz. Albert weist darauf hin, dass die Interaktion mit KI über natürliche Sprache die rechtliche Definition weiter verkompliziert, da die Antwort einer KI nicht immer dem Abruf von Informationen aus einer Datenbank entspricht.
Gleichzeitig erwähnte Siva Kumar, dass die rechtliche Diskussion über KI-Sicherheitsforschung weit weniger Aufmerksamkeit erhält als beispielsweise das Urheberrecht, und er selbst sei sich nicht sicher, ob er bei bestimmten Angriffstests geschützt sei. Albert erklärte, dass angesichts der bestehenden Rechtsunsicherheit zukünftig möglicherweise Gerichtsverfahren erforderlich sein werden, um die entsprechenden Rechtsvorschriften zu klären, was derzeit jedoch viele „gutmeinende“ Forscher verunsichert.
In diesem rechtlichen Umfeld empfiehlt Albert Sicherheitsforschern, sich rechtlich beraten zu lassen, um sicherzustellen, dass ihr Handeln nicht gegen das Gesetz verstößt. Sie befürchtet auch, dass unklare Gesetzesbestimmungen potenzielle Forscher abschrecken könnten und so böswillige Angreifer ungestraft bleiben und größere Sicherheitsrisiken entstehen.
Wichtigste Punkte:
🛡️ Der US-amerikanische „Computer Fraud and Abuse Act“ bietet Forschern im Bereich der KI-Sicherheit unzureichenden Schutz und birgt rechtliche Risiken.
💡 Das geltende Recht fehlt eine klare Definition von „Prompt Injection Attacks“ und anderen ähnlichen Handlungen, was es Forschern schwer macht, die Legalität ihrer Arbeit zu beurteilen.
⚖️ Wissenschaftler sind der Ansicht, dass zukünftig Gerichtsverfahren notwendig sein könnten, um die entsprechenden Rechtsvorschriften zu klären und gutwillige Forscher zu schützen.