Emergente Verschlüsselungs- und Hardware-Sicherheitstechnologien wie vertrauliches Computing versprechen den Schutz von Modellgewichten und Inferenz-Daten, indem sie vertrauenswürdige Computing-Primitive über den CPU-Host hinaus in KI-Beschleuniger erweitern. Dieser Ansatz hat das Potenzial, mehrere Schlüsseleigenschaften zu erreichen:

1. Kryptografische Attestierung: GPUs können kryptografisch auf Authentizität und Integrität attestiert werden, um sicherzustellen, dass Modellgewichte nur auf autorisierter Hardware ausgeführt werden.

2. Verschlüsselte Modellgewichte: Modellgewichte können bis zu ihrer Bereitstellung und Ladung auf der GPU verschlüsselt bleiben, um unbefugten Zugriff zu verhindern.

3. GPU-spezifische Verschlüsselung: Die eindeutige kryptografische Identität von GPUs kann es ermöglichen, Modellgewichte und Inferenz-Daten für bestimmte GPUs oder GPU-Gruppen zu verschlüsseln, um die Entschlüsselbarkeit nur durch autorisierte Parteien sicherzustellen.

Air Gaps werden oft als wesentlicher Sicherheitsmechanismus zitiert, und das ist nicht unbegründet. Netzwerksegmentierung ist eine leistungsfähige Kontrolle, die verwendet wird, um sensible Arbeitslasten wie die Steuerungssysteme für kritische Infrastrukturen zu schützen. Stattdessen priorisieren wir eine flexible Netzwerkisolation, die es KI-Systemen ermöglicht, offline und von nicht vertrauenswürdigen Netzwerken, einschließlich des Internets, getrennt zu arbeiten.

Die von uns beschriebenen Netzwerke müssen Klassen von Schwachstellen beseitigen, die es einem Angreifer mit Zugriff auf einen Mandanten ermöglichen könnten, Modellgewichte zu kompromittieren, die in einem anderen Mandanten gespeichert sind. Dies stellt sicher, dass die Vertraulichkeit, Integrität und Verfügbarkeit der Daten und Arbeitslasten auch bei möglichen Insider-Bedrohungen oder anderen Kompromittierungen gewahrt bleiben.

Betriebliche und physische Sicherheitsmaßnahmen für KI-Rechenzentren sind notwendig, um die Widerstandsfähigkeit gegen Insider-Bedrohungen zu gewährleisten, die die Vertraulichkeit, Integrität und Verfügbarkeit des Rechenzentrums und seiner Arbeitslasten beeinträchtigen können. Dazu gehören:

• Robuste Zugangskontrolle und Überwachung, um den physischen Zugriff auf die Rechenzentrumseinrichtungen und die kritische Infrastruktur einzuschränken und zu überwachen.
• Umfassende Videoüberwachung und Protokollierung, um Einblick in alle Aktivitäten innerhalb des Rechenzentrums zu erhalten.
• Redundante Strom- und Kühlsysteme, um die Verfügbarkeit bei Störungen aufrechtzuerhalten.
• Sichere Entsorgung und Dekontaminationsverfahren für ausgemusterte Hardware, um Datenlecks zu verhindern.
• Manipulationsschutzsiegel und andere physische Sicherheitsmaßnahmen, um unbefugte Änderungen an der Infrastruktur zu erkennen und abzuschrecken.
• Strenge Personalschutzpraktiken wie Sicherheitsüberprüfungen und Schulungen zum Sicherheitsbewusstsein, um das Rechenzentrum-Personal zu überprüfen und zu überwachen.
• Notfallpläne und Wiederherstellungskonzepte, um Sicherheitsvorfälle oder Ausfälle schnell zu erkennen, einzudämmen und zu beheben.

Da KI-Entwickler Gewissheit darüber benötigen, dass ihr geistiges Eigentum geschützt ist, wenn sie mit Infrastrukturanbietern zusammenarbeiten, muss die KI-Infrastruktur auf Einhaltung geltender Sicherheitsstandards geprüft und zertifiziert werden. Bestehende Standards wie SOC 2, ISO/IEC und NIST-Familien werden weiterhin gelten. Es ist jedoch zu erwarten, dass die Liste um KI-spezifische Sicherheits- und Regulierungsstandards erweitert wird, die die besonderen Herausforderungen bei der Sicherung von KI-Systemen angehen.

Diese KI-spezifischen Prüf- und Compliance-Programme tragen dazu bei, die Vertraulichkeit, Integrität und Verfügbarkeit von KI-bezogenen Daten und Modellen zu gewährleisten. Durch die Einhaltung dieser Standards können Infrastrukturanbieter ihr Engagement zum Schutz des wertvollen geistigen Eigentums ihrer KI-Entwicklerkunden unter Beweis stellen. Dies wiederum wird das Vertrauen fördern und es KI-Entwicklern ermöglichen, sich auf Innovationen zu konzentrieren, da ihre kritischen Vermögenswerte geschützt sind.

Open AI glaubt, dass KI für die Cyber-Verteidigung transformativ sein wird und das Spielfeld zwischen Angreifern und Verteidigern egalisieren kann. Verteidiger auf der ganzen Welt kämpfen damit, die riesigen Mengen an Sicherheitssignalen aufzunehmen und zu analysieren, die zur Erkennung und Reaktion auf Bedrohungen für ihre Netzwerke erforderlich sind. Darüber hinaus stellen die erheblichen Ressourcen, die für den Aufbau eines ausgefeilten Sicherheitsprogramms erforderlich sind, für viele Organisationen eine bedeutende Cyber-Verteidigung außer Reichweite.

KI bietet eine Chance, Cyber-Verteidiger zu befähigen und die Sicherheit zu verbessern. KI kann in Sicherheitsabläufe integriert werden, um Sicherheitsingenieure zu beschleunigen und die Belastung in ihrer Arbeit zu reduzieren. Bei Open AI verwenden sie ihre Modelle, um hochvolumige und sensible Sicherheitstelemetrie zu analysieren, die ansonsten für Teams von Menschenanalysten unerreichbar wäre. Durch den Einsatz von KI können Verteidiger Bedrohungen effektiver erkennen, untersuchen und darauf reagieren, was dazu beiträgt, die Lücke zu ausgeklügelten Angreifern zu schließen.

Open AI erkennt an, dass die von ihnen vorgeschlagenen Sicherheitsmaßnahmen wahrscheinlich erst der Anfang sind und dass angesichts des sich schnell entwickelnden Stands der KI-Sicherheit kontinuierliche Sicherheitsforschung erforderlich ist. Sie erkennen, dass es keine fehlerfreien Systeme und keine perfekte Sicherheit gibt.

Um dies anzugehen, betont Open AI die Notwendigkeit von:

1. Widerstandsfähigkeit: Die Sicherheitskontrollen müssen Tiefenschutz bieten, da es unweigerlich Lücken und Schwachstellen geben wird, die im Laufe der Zeit entdeckt werden.

2. Redundanz: Sich auf eine einzige Sicherheitsmaßnahme zu verlassen, reicht nicht aus. Mehrere Schutzebenen sind erforderlich, um die allgemeine Widerstandsfähigkeit des Systems sicherzustellen.

3. Kontinuierliche Sicherheitsforschung: Fortlaufende Forschung ist erforderlich, um zu verstehen, wie die vorgeschlagenen Sicherheitsmaßnahmen umgangen werden können, sowie um auftauchende Lücken zu identifizieren und zu schließen. Dies umfasst sowohl offensive als auch defensive Forschung, um dem potenziellen Bedrohungsszenario voraus zu sein.