Zum Inhalt springen Weiter zur Suche
Testversion
Glossar 

Grenzenloser Konsum

Unbegrenzter Verbrauch tritt auf, wenn eine LLM-Anwendung übermäßige oder unkontrollierte Inferenzoperationen zulässt, was zu Ressourcenerschöpfung, finanziellen Verlusten, einer Verschlechterung der Dienstqualität oder Modelldiebstahl führen kann. Inferenz, also der Prozess der Generierung von Antworten auf Eingabeaufforderungen, ist rechenintensiv. Wenn Anwendungen die Inferenznutzung nicht einschränken oder verwalten, können Angreifer dies ausnutzen, um Denial-of-Service-Angriffe (DoS) zu verursachen, Denial-of-Wallet-Angriffe (DoW) auszulösen, die Dienstleistung zu beeinträchtigen, Modelle zu extrahieren oder zu replizieren oder Seitenkanäle auszunutzen. Da LLMs häufig in cloudbasierten, nutzungsabhängig abgerechneten Umgebungen betrieben werden, kann unkontrollierter Verbrauch unmittelbare betriebliche und finanzielle Folgen haben.

Wichtigste Erkenntnisse

  • Zu unbegrenztem Ressourcenverbrauch kommt es, wenn LLM-Anwendungen unkontrollierte Inferenz zulassen, wodurch Angreifer Denial-of-Service-Angriffe auslösen, finanzielle Ressourcen erschöpfen, die Leistung beeinträchtigen oder geistiges Eigentum an Modellen stehlen können
  • „Denial of Wallet“ (DoW) ist ein finanziell motivierter Angriff, der speziell bei cloudbasierten KI-Diensten auftritt. Dabei generieren Angreifer übermäßig viele API-Aufrufe, um das nutzungsabhängige Abrechnungsmodell auszunutzen und dem Anbieter untragbare Kosten aufzubürden.
  • Die Modellgewinnung über APIs stellt eine zunehmende Bedrohung dar: Angreifer nutzen manipulierte Abfragen und Prompt-Injection, um genügend Daten zu sammeln, mit denen sie ein funktionsfähiges Schattenmodell nachbilden können, und umgehen so herkömmliche IP-Schutzmaßnahmen, ohne jemals direkt auf die Modellgewichte zugreifen zu müssen
  • Seitenkanalangriffe können Eingabefiltermechanismen ausnutzen, um Modellgewichte und Informationen zur Architektur zu erlangen, wodurch die Sicherheit des Modells gefährdet wird und eine weitere Ausnutzung in nachgelagerten Phasen ermöglicht wird
  • Zur Risikominderung ist eine Kombination aus Ratenbegrenzung, Überprüfung der Eingabegröße, Überwachung der Ressourcenzuweisung, Verschleierung von Logit- und Logprob-Werten, Wasserzeichen in der Ausgabe sowie einer sanften Leistungsreduzierung bei hoher Auslastung erforderlich

Warum das gefährlich ist

Große Sprachmodelle (LLMs) erfordern erhebliche Rechenleistung (CPU/GPU), Arbeitsspeicher, Netzwerkbandbreite und API-Nutzungsquoten. Werden diese Ressourcen nicht streng kontrolliert, können Angreifer die Infrastruktur überlasten, untragbare Cloud-Kosten verursachen, geistiges Eigentum stehlen und Dienstausfälle herbeiführen. Ein unbegrenzter Verbrauch stellt sowohl ein Sicherheits- als auch ein wirtschaftliches Risiko dar.

Häufige Sicherheitslückenmuster

Flood-Angriff mit variabler Eingabelänge: Angreifer senden zahlreiche Eingaben unterschiedlicher Länge, um Schwachstellen in der Verarbeitung auszunutzen und so Speicher- und Rechenressourcen zu erschöpfen.

Denial-of-Wallet (DoW): In Umgebungen mit Pay-per-Token- oder Pay-per-Inference-Abrechnung generieren Angreifer große Mengen an Anfragen, wodurch untragbare finanzielle Kosten entstehen.

Kontinuierlicher Eingabeüberlauf: Die Eingaben überschreiten wiederholt das Kontextfenster des Modells, was aufwändige Verarbeitungsschritte erzwingt und zu Leistungseinbußen führt.

Ressourcenintensive Abfragen: Angreifer erstellen Eingabeaufforderungen, die darauf ausgelegt sind, die rechenintensivsten Vorgänge auszulösen, wie beispielsweise komplexe Schlussfolgerungsketten, lange Generierungssequenzen oder aufwendig strukturierte Ausgaben.

Modell-Extraktion über die API: Angreifer fragen die Modell-API systematisch ab, um Ausgabedaten zu sammeln und ein Teil- oder Schattenmodell zu rekonstruieren. Dies gefährdet geistiges Eigentum, Wettbewerbsvorteile und die Integrität des Modells.

Replikation funktionaler Modelle: Angreifer nutzen das Modell, um synthetische Trainingsdaten zu generieren, und trainieren anschließend ein anderes Modell so, dass es dessen Verhalten nachahmt, wodurch herkömmliche Erkennungsmechanismen für Datenextraktion umgangen werden.

Seitenkanalangriffe: Angreifer nutzen Eingabefiltermechanismen oder architektonische Besonderheiten aus, um Modellgewichte, Architekturdetails und das interne Verhalten abzuleiten. Dies kann eine tiefgreifendere Ausnutzung ermöglichen.

Beispiele für Angriffsszenarien

Szenario 1 – Überdimensionierte Eingabe

Ein Angreifer übermittelt extrem große Eingaben, wodurch Speicher- und CPU-Ressourcen erschöpft werden und das System möglicherweise abstürzt.

Szenario 2 – Anfragen mit hohem Datenaufkommen

Eine Flut von API-Aufrufen führt dazu, dass der Dienst für berechtigte Nutzer nicht mehr verfügbar ist.

Szenario 3 – Ausnutzung kostspieliger Abfragen

Speziell gestaltete Eingabeaufforderungen lösen rechenintensive Inferenzpfade aus, was zu einem Einbruch der Leistung führt.

Szenario 4 – Verweigerung der Wallet

Ein Angreifer nutzt die nutzungsabhängige Abrechnung aus, um untragbare Kosten zu verursachen.

Szenario 5 – Replikation des Funktionsmodells

Ein Angreifer generiert über die API große Mengen synthetischer Daten und optimiert damit ein konkurrierendes Modell.

Szenario 6 – Filterumgehung und Seitenkanalangriff

Ein Angreifer umgeht die Filterung, um mithilfe von Seitenkanalmethoden Modelldetails zu extrahieren.

Strategien zur Prävention und Schadensminderung

Eingabevalidierung: Strenge Größenbeschränkungen durchsetzen, Länge und Struktur der Eingaben überprüfen und übermäßig große Datenmengen zurückweisen.

Begrenzung der Offenlegung von Logits und Logprobs: Beschränken oder verschleiern Sie detaillierte Wahrscheinlichkeitsausgaben und vermeiden Sie die Offenlegung sensibler Metadaten zur Inferenz.

Ratenbegrenzung: Setzen Sie Anforderungsquoten durch, begrenzen Sie die Nutzung pro Benutzer oder pro IP-Adresse und wenden Sie API-Drosselung an.

Ressourcenverteilungsmanagement: Überwachung der CPU-/GPU-Auslastung, dynamische Begrenzung der Ressourcenzuweisung pro Sitzung und Verhinderung der Monopolisierung von Ressourcen durch einzelne Benutzer.

Zeitlimits und Drosselung: Legen Sie Zeitlimits für die Verarbeitung fest und drosseln Sie lang andauernde Anfragen.

Sandbox-Techniken: Beschränken Sie den Zugriff von Modellen auf interne Dienste, begrenzen Sie die Netzwerkreichweite und kontrollieren Sie den Umfang des Datenzugriffs. Dies mindert zudem Insider-Risiken und die Gefahr von Seitenkanalangriffen.

Protokollierung, Überwachung und Erkennung von Anomalien: Verfolgen Sie ungewöhnliche Anfragemuster, erkennen Sie abnormale Abfragevolumina und reagieren Sie auf verdächtige Verbrauchsspitzen.

Wasserzeichen: Einbetten von nachweisbaren Signalen in die Ausgabe, um unbefugte Vervielfältigung oder Missbrauch zu erkennen.

Graceful Degradation: Bei hoher Auslastung sollte der Dienst teilweise aufrechterhalten werden, anstatt vollständig auszufallen.

Aktionen in der Warteschlange begrenzen und robust skalieren: Begrenzen Sie die Warteschlangentiefe, implementieren Sie dynamische Skalierung und nutzen Sie Lastenausgleich.

Training zur Robustheit gegenüber Angriffen: Modelle trainieren, um Extraktionsversuche zu erkennen und abzuwehren.

Filterung fehlerhafter Token: Führen Sie Listen bekannter fehlerhafter Token und überprüfen Sie die Ausgabe, bevor diese in Kontextfenster eingefügt werden.

Zugriffskontrollen implementieren: RBAC implementieren, das Prinzip der geringsten Berechtigungen durchsetzen und den Zugriff auf Schulungsumgebungen und Repositorys einschränken.

Zentrales Modellverzeichnis: Führen Sie kontrollierte Verzeichnisse für Produktionsmodelle.

Automatisierte MLOps-Bereitstellung nutzen: Setzen Sie kontrollierte Pipelines mit Genehmigungsworkflows und Nachverfolgung ein, um unbefugte Bereitstellungen zu verhindern.

Das zentrale Sicherheitsprinzip

Große Sprachmodelle sind rechenintensive Systeme. Wenn der Zugriff nicht kontrolliert wird, können Angreifer Ressourcen erschöpfen, finanzielle Mittel aufbrauchen, geistiges Eigentum entwenden oder die Verfügbarkeit zum Erliegen bringen. Unbegrenzte Inferenz bedeutet unbegrenztes Risiko.

Das Wichtigste auf einen Blick

Uneingeschränkter Verbrauch birgt Risiken in Form von Denial-of-Service-Angriffen, finanzieller Ausbeutung und Modelldiebstahl. Um diese Risiken zu mindern, sind strenge Nutzungsbeschränkungen, Ressourcenverwaltung, Überwachung und Erkennung von Anomalien, eine kontrollierte API-Freigabe sowie sichere MLOps-Verfahren erforderlich. Kontrollieren Sie die Eingaben, kontrollieren Sie die Nutzung und kontrollieren Sie die Kosten.

< Zurück zu Glossar der Begriffe

Der ultimative Leitfaden zur LLM-Sicherheit

Erfahren Sie, wie LLM-Sicherheit funktioniert, warum sie wichtig ist und wie Unternehmen Sicherheitstools bewerten sollten.

Weiterlesen