Das Unit 42-Team von Palo Alto Networks hat die drei Jailbreaking-Techniken „Deceptive Delight“, „Bad Likert Judge“ und „Crescendo“ bei DeepSeek-Modellen getestet. Während anfängliche Antworten oft harmlos erschienen, konnten die Sicherheitsforscher mit Folgeaufforderungen erfolgreich die Sicherheitsmechanismen des LLM umgehen. [...]
DeepSeek hat die Tech-Branche aus mehreren Gründen im Sturm erobert: Zum einen hat das chinesische Unternehmen ein Open Source Large Language Model (LLM) entwickelt, das Berichten zufolge Closed-Source-Modellen wie GPT-4 und o1 von OpenAI überlegen oder zumindest ebenbürtig ist. Zum anderen scheint es das mit weniger Rechenleistung bewerkstelligt zu haben, da die Beschaffung leistungsstärkerer Hardware durch Exportkontrollen eingeschränkt ist.
Das Release von DeepSeekv3 und der leistungsstärkeren Version DeepSeek-R1 als Open Source macht LLMs praktisch jedem auf der Welt zugänglich. Das Problem bei der Sache: Im Gegensatz zu Closed-Source-Modellen, die innerhalb gewisser Leitplanken operieren, sind Open Source LLMs anfälliger für Missbrauch. „Wir wissen noch nicht, wie schnell Cyberkriminelle die DeepSeek-Modelle für ihre Zwecke instrumentalisieren. Doch wenn frühere Entwicklungen ein Indikator sind, hat der Wettlauf längst begonnen“, sagt zum Beispiel Satnam Narang (Foto), Senior Staff Research Engineer bei Tenable.
Für Cybercrime konzipierte LLMs optimieren in der Regel den Text-Output, den Scammer und Cyberkriminelle für Finanzbetrug oder die Verbreitung von Malware nutzen. „Wir wissen, dass Cybercrime-Tools wie WormGPT, WolfGPT, FraudGPT, EvilGPT und das neu entdeckte GhostGPT in Untergrund-Foren gehandelt wurden“, erklärt Narang. „Für eine Prognose ist es noch sehr früh, aber es würde mich nicht überraschen, wenn die Entwicklung von DeepSeek-Wrappern – sprich Tools, die auf DeepSeek basieren und für Cybercrime konzipiert sind – oder die zweckgerichtete Modifizierung bestehender Modelle durch Cyberkriminelle rasant an Fahrt aufnimmt.“
Jailbreaking mit DeepSeek
Das Unit 42-Team von Palo Alto Networks hat die drei Jailbreaking-Techniken „Deceptive Delight“, „Bad Likert Judge“ und „Crescendo“ bei DeepSeek-Modellen getestet. Während anfängliche Antworten oft harmlos erschienen, konnten die Sicherheitsforscher mit Folgeaufforderungen erfolgreich die Sicherheitsmechanismen des LLM umgehen. DeepSeek hat daraufhin eine Reihe schädlicher Informationen geteilt, die von detaillierten Anleitungen zur Herstellung gefährlicher Objekte bis hin zur Generierung von Schadcode reichten. Der Erfolg der drei Jailbreaking-Techniken lässt auf die potenzielle Wirksamkeit anderer, noch unentdeckter Jailbreaking-Methoden schließen. Unit 42 hat eine umfassende Analyse veröffentlicht – hier die wichtigsten Erkenntnisse im Überblick:
- Bad Likert Judge: Durch gezielte Nachfragen und weiterführende Prompts konnte DeepSeek zunehmend manipuliert werden. Die Antworten gingen über theoretische Konzepte hinaus und boten praktische Schritt-für-Schritt-Anleitungen zur Erstellung von Keyloggern, Datenexfiltration und Phishing-Methoden, die von böswilligen Akteuren ohne Weiteres verwendet und übernommen werden konnten.
- Crescendo: Durch die schrittweise Eskalation von Anfragen mit verketteten und verwandten Aufforderungen begann DeepSeek immer detailliertere Anweisungen zu geben. Das Modell lieferte am Ende eine umfassende Anleitung zum Bau eines Molotow-Cocktails, die ohne spezielle Kenntnisse oder Hilfsmittel leicht umsetzbar war.
- Deceptive Delight: Eingebettet in eine vermeintlich harmlose Unterhaltung hat DeepSeek ein detailliertes Skript bereitgestellt, das auf dem Distributed Component Object Model (DCOM) basiert, um Befehle aus der Ferne auf Windows-Rechnern auszuführen. DeepSeek konnte dazu gebracht werden, Code sowohl für die anfängliche Kompromittierung (SQL-Injection) als auch die nachfolgende Ausnutzung (Lateral Movement) zu generieren.
Be the first to comment