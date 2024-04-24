Die Forscher von Cornell Tech, dem Israel Institute of Technology und Intuit nutzten einen sogenannten „kontradiktorischen, sich selbst replizierenden Prompt“, um den Wurm zu entwickeln. Dies ist ein Prompt, der, wenn er in ein Large Language Model (LLM) (sie testeten ihn auf ChatGPT von OpenAI, Gemini von Google und dem Open-Source-Modell LLaVA, das von Forschern der University of Wisconsin-Madison, Microsoft Research und der Columbia University entwickelt wurde) eingespeist wird, das Modell dazu bringt, einen weiteren Prompt zu erzeugen. Dadurch wird der Chatbot veranlasst, eigene bösartige Prompts zu generieren, auf die er dann reagiert, indem er diese Anweisungen ausführt (ähnlich wie bei SQL-Injection- und Buffer-Overflow-Angriffen).

Der Wurm hat zwei Hauptfunktionen:

1. Datenexfiltration: Der Wurm kann personenbezogene Daten aus den E-Mails der infizierten Systeme extrahieren, darunter Namen, Telefonnummern, Kreditkartendaten und Sozialversicherungsnummern.

2. Spam-Verbreitung: Der Wurm kann über kompromittierte KI-gestützte E-Mail-Assistenten Spam und andere bösartige E-Mails generieren und versenden und sich so verbreiten, um andere Systeme zu infizieren.

Die Forscher demonstrierten diese Funktionen erfolgreich in einer kontrollierten Umgebung und zeigten, wie der Wurm in generative KI-Ökosysteme eindringen und Daten stehlen oder Malware verbreiten kann. Der KI-Wurm „Morris II“ wurde noch nicht in freier Wildbahn gesichtet und die Forscher haben ihn nicht an einem öffentlich zugänglichen E-Mail-Assistenten getestet.

Sie fanden heraus, dass sie selbstreplizierende Prompts sowohl in Textprompts als auch in eingebetteten Prompts in Bilddateien verwenden konnten.