Eine kürzlich durchgeführte Untersuchung des Forschers Naphtali Deutsch hat Besorgnis ausgelöst. Durch das Scannen des Internets entdeckte er, dass Hunderte von Open-Source-Servern für große Sprachmodelle (LLMs) und Dutzende von Vektor-Datenbanken sensible Informationen preisgeben. Diese Lecks resultieren aus der Tatsache, dass viele Unternehmen bei der Integration von künstlicher Intelligenz (KI) in ihre Arbeitsabläufe die Sicherheit der verwendeten Tools vernachlässigen.
Bildquelle: Das Bild wurde mit KI generiert und von Midjourney lizenziert.
Flowise ist ein Low-Code-Tool, mit dem Benutzer verschiedene LLM-Anwendungen erstellen können, von Chatbots bis hin zu Tools zur Datenerstellung und -extraktion. Obwohl die meisten Flowise-Server passwortgeschützt sind, reicht ein Passwort allein nicht für die Sicherheit aus.
Deutsch erwähnt, dass bereits in diesem Jahr Forscher eine Sicherheitslücke in der Authentifizierung von Flowise entdeckt haben. Durch die einfache Änderung der Groß-/Kleinschreibung einiger Zeichen im API-Endpunkt des Programms konnte diese Lücke ausgenutzt werden. Mit diesem Fehler gelang es Deutsch, 438 Flowise-Server zu knacken. Dabei fand er sensible Daten wie GitHub-Zugriffstoken, OpenAI-API-Schlüssel, Flowise-Passwörter und -API-Schlüssel sowie Konfigurations- und Prompthinweise zu den Flowise-Anwendungen.
Neben Flowise entdeckte Deutsch etwa 30 Vektor-Datenbanken ohne jegliche Authentifizierungsprüfung. Diese Datenbanken enthielten deutlich sensible Informationen, darunter private E-Mails eines Ingenieurbüros, Dokumente eines Modeunternehmens, persönliche Daten und Finanzdaten von Kunden eines Industriegeräteherstellers. Das Risiko von Lecks bei Vektor-Datenbanken ist größer, da Hacker nicht nur Daten stehlen, sondern sie auch löschen, beschädigen oder sogar Malware einschleusen können, was die Benutzer bei der Verwendung von KI-Tools beeinträchtigt.
Um diese Risiken zu minimieren, empfiehlt Deutsch Unternehmen, den Zugriff auf die verwendeten KI-Dienste einzuschränken, Aktivitäten im Zusammenhang mit diesen Diensten zu überwachen und zu protokollieren, sensible Daten, die von LLM-Anwendungen übertragen werden, zu schützen und nach Möglichkeit stets Software-Updates anzuwenden.
Er betont, dass mit der Verbreitung dieser Tools viele Entwickler nicht über ausreichende Sicherheitskenntnisse für eine angemessene Konfiguration verfügen und die Sicherheit oft hinter der technischen Entwicklung zurückbleibt.
Wichtigste Punkte:
1. 🔒 Hunderte von LLM- und Vektor-Datenbanken geben sensible Informationen preis – die Sicherheit von Unternehmen ist gefährdet.
2. 💻 Das Flowise-Tool weist eine Sicherheitslücke in der Authentifizierung auf, die von Hackern ausgenutzt wurde, um zahlreiche Server zu knacken.
3. 🛡️ Experten empfehlen Unternehmen, die Zugriffskontrolle auf KI-Dienste zu verstärken und Sicherheitsmaßnahmen regelmäßig zu überwachen und zu aktualisieren.