Die Agentur für Innovation in der Cybersicherheit (Cyberagentur) hat am 6. März eine Ausschreibung zum ‚Robusten und Sicheren Maschinellen Lernen‘ gestartet. Ziel ist die Steigerung der Verlässlichkeit und Manipulationssicherheit verschiedener KI-Ansätze.
Mit ‚Robustem und Sicherem Maschinellen Lernen‘ (RSML) schreibt die Cyberagentur ihr bisher größtes Forschungsprojekt zur Sicherheit künstlicher Intelligenz (KI) aus.
Das Maschinelle Lernen (ML) in verschiedenen Ausprägungen angesichts stetig steigender Performance und zunehmender Vielseitigkeit zu einem maßgeblichen Analysewerkzeug für immer größere und komplexere Datenmodelle entwickelt. Als Beispiel nennt die Cyberagentur die Bildererkennung beim autonomen Fahren. Schon unscheinbare Änderungen an Verkehrsschildern könnten zu einer Fehlfunktion des Fahralgorithmus führen, so die Wissenschaftler. Die Erforschung beweisbarer Sicherheit und deren Grenzen sowie inhärente Robustheit gegenüber solchen Angriffen stehe dabei noch am Anfang. Größte Schwachstellen des maschinellen Lernens seien die große Abhängigkeit von Trainingsdaten und die Intransparenz der trainierten Modelle. Dadurch führten unerwartete Eingaben mitunter zu unvorhergesehenen und schwer nachvollziehbaren – und im Einzelfall möglicherweise katastrophalen – Ergebnissen. Ein weiteres Beispiel finde sich in der aktuellen Diskussion um KI-Chatbots, so die Cyberagentur-Verantwortlichen. Mittels manipulierter Befehle (‚Prompt Injection‘) können Sprachmodelle nachweislich zu unbeabsichtigten und potenziell folgenschweren Aussagen verleitet werden.
Innere und äußere Sicherheit
Vor diesem Hintergrund wurde das neue Forschungsvorhaben entwickelt. „Ziel ist die Erforschung und Entwicklung neuer, potenziell bahnbrechender Ansätze zur Steigerung der Robustheit und Sicherheit verschiedener KI-Ansätze in den Domänen der inneren und äußeren Sicherheit“, erklärt Dr. Daniel Gille, Projektleiter und Leiter ‚Sicherheit durch KI und Sicherheit für KI‘ in der Cyberagentur, den Ansatz der Ausschreibung des Forschungsprojektes.
Fünf Phasen
Für den fünf Phasen umfassenden Projektwettbewerb wurden fünf Forschungsschwerpunkte herausgestellt: Datenabsicherung, Modellverifikation, Systemeinbettung, Hybridmodelle aus neuronalen und symbolischen Komponenten sowie Ende-zu-Ende-Verifikation. „Wir möchten Antworten auf einige der ungelösten Fragen im oft vernachlässigten Themenbereich Sicherheit für KI finden“, sagt Gille. „Diese sind beispielsweise: Wie und in welchem Umfang können Sicherheits- und Robustheitseigenschaften für spezifische Anwendungsdomänen und Systeme nachgewiesen werden? Wo liegen die Grenzen einer Nachweisbarkeit und wie lassen sich Systeme mit wünschenswerten Sicherheitseigenschaften als Prototyp realisieren?“
Das Maximum an Sicherheit anstreben
„Gerade im Kontext der inneren und äußeren Sicherheit sowie bei kritischen Infrastrukturen ist für uns die Nachweisbarkeit von Sicherheit und Robustheit von neuronalen KI-Systemen gegenüber gezielten Angriffen und manipulativen Inputs von entscheidender Bedeutung“, sagt Projektleiter Gille. Hier möchte die Cyberagentur angesichts der geopolitischen Situation mit staatlichen und nichtstaatlichen Akteuren, die technisch versiert und am neuesten wissenschaftlichen Stand orientiert sind, wirksame Forschung stimulieren, heißt es in der Pressemeldung. Die im Fokus stehenden Systeme und Infrastrukturen werden zukünftig direkte Auswirkungen auf viele Menschen haben. Ein Maximum an Sicherheit beim Einsatz von Maschinellem Lernen ist in diesen Domänen daher unabdingbar. „Das kann momentan nicht gewährleistet werden“, erläutert Dr. Gille noch einmal den Hintergrund der Ausschreibung. „Die geplante Beauftragung soll dabei helfen, die wissenschaftlichen Grundlagen für dieses anzustrebende Maximum an Cybersicherheit von KI-Systemen zu schaffen und auszubauen.“
In den fünf Jahren Projektlaufzeit soll sowohl Grundlagenforschung stattfinden als auch Prototypen entstehen. Die Cyberagentur plant die parallele Beauftragung mehrerer Bieter bzw. Bietergemeinschaften. Im Rahmen des geplanten ‚Wettbewerbs der Ideen‘ sollen die Ergebnisse phasenweise evaluiert und das Teilnehmerfeld schrittweise verkleinert werden. Der überzeugendste Ansatz verbleibt bis zum Abschluss der letzten Phase im Wettbewerb. Dort besteht dann die Möglichkeit, entwickelte Artefakte im Rahmen einer realistischen Testumgebung zu erproben und evaluieren. Angebote abgeben können alle akademischen und außeruniversitären Forschungseinrichtungen, Industrieunternehmen und Startups.
