ChatGPTWomit sich Strafverfolger bald befassen müssen

Ein Europol-Bericht widmet sich den Folgen von ChatGPT, wenn Kriminelle die Fähigkeiten des Chatbots für sich ausnutzen: Es drohe vermehrt Phishing und noch mehr Desinformation. Ein Problem für die Strafverfolgung könne auch automatisiert erzeugter bösartiger Quellcode sein.

schlafender roboter
Mit Hilfe von ChatGPT können auch Kriminelle mal Arbeit auslagern. (Diffusion Bee)

Heute hat Europol einen kurzen Forschungsbericht mit dem Titel „ChatGPT – The impact of Large Language Models on Law Enforcement“ (pdf) vorgestellt. Der Bericht setzt sich mit der heutigen und der bereits absehbaren kriminellen Nutzung von ChatGPT und der sich daraus ergebenden Strafverfolgung auseinander. ChatGPT ist ein sogenannter Chatbot des Anbieters OpenAI in Partnerschaft mit Microsoft, der im November 2022 veröffentlicht wurde und plausibel klingende Textantworten produziert.

Im Bereich der „Künstlichen Intelligenz“ gehört ChatGPT zur Klasse der sogenannten künstlichen neuronalen Netzwerke und hier speziell der LLMs (Large-Language-Modelle), die Sprachmuster nachbilden. Auch die Konkurrenz von Microsoft und OpenAI arbeitet an vergleichbaren KI-Modellen, die nach einem Eingabebefehl verständliche Texte auswerfen.

Wer sich schon länger mit der kriminellen oder generell mit der unethischen Nutzung von Technologien des maschinellen Lernens auseinandersetzt, findet im Bericht des „Europol Innovation Lab“ zwar keine augenöffnenden Neuigkeiten. Allerdings bietet dieser eine praxisbezogene Zusammenfassung dessen, womit sich Strafverfolger heute oder in naher Zukunft befassen müssen. Der Bericht ist das Ergebnis verschiedener Workshops, in denen Ermittler von ihren bisherigen Erfahrungen berichtet hatten. Es gibt noch eine erweiterte Berichtsversion, die aber nicht öffentlich zugänglich ist.

Was Ermittlern Sorge bereitet

Ein Problemfeld bei den Sprachmodellen sieht der Europol-Bericht im Bereich Propaganda und Falschinformationen. Da ChatGPT auf Knopfdruck und „in großem Umfang authentisch klingende Texte“ liefere, sei „das Modell ideal für Propaganda- und Desinformationszwecke“. Der Aufwand sei gering, um auf diese Weise Falschnachrichten zu erstellen.

Der Europol-Bericht betrachtet zwar nicht allgemein KI-Anwendungen, sondern nur speziell das textbasierte ChatGPT. Ein Teilbereich, der sich für Desinformation und absichtliche Falschdarstellungen aber in Kombination mit ChatGPT anbietet, ist die Bildgenerierung. Sie hat jüngst große Verbesserungen gezeigt: Erzeugte Bilder von tatsächlichen Fotografien zu unterscheiden, ist bei einer Vielzahl von Bildern kaum mehr möglich.

Laut der Europol-Berichterstatter kann ChatGPT auch Betrug und Techniken des Social Engineerings den Weg ebnen. Insbesondere beim Phishing versucht der Angreifer, potentiellen Opfern fingierte Informationen in vertrauenserweckendem Aussehen unterzuschieben, meist um an Passwörter und andere persönliche Daten zu gelangen. Weil ChatGPT realistisch wirkende und grammatikalisch korrekte Texte produziert, ist es schon jetzt ein nützliches und skalierendes Werkzeug für Phishing. Auch eine Sprachausgabe des produzierten Textes erfolgt inzwischen mit nur geringer Verzögerung, was weitere Täuschungsmöglichkeiten eröffnet.

Künstliche Intelligenz

Wir schrieben schon über maschinelles Lernen, bevor es ein Hype wurde. Unterstütze unsere Arbeit!

Sorgen bereitet den Ermittlern auch die Möglichkeit des Umgehens oder Entfernens von Nutzungsauflagen oder Sicherheitsschranken, die Anbieter wie OpenAI zwar eingerichtet haben, die aber durch bestimmte Eingabekommandos nichtig werden. Dieses sogenannte Jailbreaking hat bei ChatGPT die Abkürzung DAN (Do Anything Now, auf Deutsch etwa: Alles kann jetzt getan werden).

Als OpenAI-Geschäftsführer Sam Altman jüngst auf diese Problematik in einem Interview angesprochen wird, sieht er darin kein großes Problem. Altman glaubt, dass Jailbreaking dann unattraktiv werde, wenn Nutzer künftig mehr Kontrolle über die KI erhielten. Dem öffentlichen Teil des Berichts zufolge liegt Europol jedoch kein aktuell funktionierender DAN für ChatGPT vor, so dass nur Vorfälle aus den vergangenen Wochen einbezogen werden konnten.

Allerdings ist ein DAN-Modus nicht die einzige Variante, um aus ChatGPT potentiell Bösartiges herauszulocken, das der Anbieter gern versteckt hätte. Denn letztlich ist ChatGPT nur ein prachtvoll bunter Papagei, der die Semantik eines Textes nicht erfassen kann. Das gilt umso mehr für Programmiersprachen und automatisierte Quellcode-Generierung. Zudem erfordert es nicht allzu viel Fantasie, um ChatGPT dazu zu bringen, böswillige Quellcode-Fragmente zu produzieren. So stellt der Bericht fest, dass „die Schutzmaßnahmen, die ChatGPT daran hindern, potentiell bösartigen Code bereitzustellen, nur funktionieren, wenn das Modell versteht, was es tut“. Und das tut es bekanntlich nicht. Vor allem die Fähigkeit, natürliche Sprache in zumindest teilweise funktionierenden Quellcode zu gießen, böte schon heute und künftig wohl noch weit mehr Möglichkeiten für kriminellen Missbrauch.

Da Weiterentwicklungen der LLMs eine noch größere Datenbasis aufweisen dürften und außerdem in andere digitale Dienste integriert werden, fällt der Ausblick des Europol-Berichts nicht eben optimistisch aus: Man stelle sich bereits auf „dark LLMs“ ein, die speziell für betrügerische Zwecke trainiert und „kriminelle Geschäftsmodelle der Zukunft“ unterstützen werden.

Deine Spende für digitale Freiheitsrechte

Wir berichten über aktuelle netzpolitische Entwicklungen, decken Skandale auf und stoßen Debatten an. Dabei sind wir vollkommen unabhängig. Denn unser Kampf für digitale Freiheitsrechte finanziert sich zu fast 100 Prozent aus den Spenden unserer Leser:innen.

26 Ergänzungen

  1. Wenn ich von einer KI (Chatbot) beleidigt oder bedroht werde: wer haftet dafür nach dem Strafgesetzbuch? Die Entwickler? Die Anbieter? Die Geschäftsführung des Unternehmens das den Chatbot betreibt? … Niemand?

    1. Naja, es sollten die Entwickler haftbar gemacht werden. Wieso?
      Ganz einfach weil sie sich offen dazu erfrechen, der KI einen politischen und moralischen Bias vorzuschreiben. Die KIs verfolgen also eine Agenda. Wenn diese daraus besteht dich zu beleidigen, dann ist aufgrund der Tatsache dass ja Richtlinien vorgegeben werden davon auszugehen, dass die Entwickler damit konform gehen, dass du beleidigt und/oder bedroht wirst.

      1. Im Bezug auf „Maschinenlernen“ ist es eben gar nicht so einfach. Was, wenn es keine Richtlinien gibt und die KI „selbstständig“ dazu kommt jemanden zu beleidigen? Was, wenn es die Richtlinie „beleidige niemanden“ gibt, aber es dann doch irgendwie dazu kommt?

        1. Im kommerziellen Kontext sehe ich das entspannt. Die PR-Bude, die es nutzt, haftet dann. Und nur wenn OpenAI dumm genug wäre, irgendwelche Versprechen zu machen, dann haften sie vielleicht mit.

          Der Punkt ist aber interessant, wenn man es wirklich gemeinnützig anwenden will, oder sogar zur Alltagshilfe, wo man schon drauf angewiesen ist, was das Gerät ausgibt. So ganz richtig sehe ich eigentlich keinen Kontext, wo nicht ein Mensch das ganze überprüfen könnte, außer bei extremem Sparzwang. Da werden dann allerdings noch ganz andere Badewannen ausgekippt (Alten-„Pflege“).

        2. „Die KI“ wird vielleicht nur Geschichten passend zusammensetzen. „Nicht beleidigen“ kommt ausschließlich durch Trainingsdaten (Verkasperhausierung) oder durch Nachmodellfilter (Maulkörbe). Wie sinnvoll „Erziehung“ mit Daten aus dem Internet wäre? Wieviel der Maulkorb mit Versatzstücken über das Innenleben aussagt?
          Nada…

    2. Naja, vielleicht kommt doch eine Moderationspflicht mit Notice & Takedown, durch die Hintertür gewissermaßen, weil es physikalisch nicht anders geht.

      Manipulation wird allerdings weitergehen. Man wird Rückkopplung testen, wenn ein Bot gut genug ist, um nach Parametern evolutionär oder selbstlernend vorzugehen. Der lernt natürlich nicht das Sprachmodell neu, sondern mit welchen (legalen+-) Textstücken was bei wem erreicht werden kann. Danke an der Stelle auch an die Datensammler und Verkäufer dieses Planeten, ihr leistet dabei einen entscheidenden Dienst. Danke auch an die weitsichtigen Regulatoren, die dieses erst ermöglicht haben.

    3. Nach deutschem(!) Recht ist von einer Haftbarkeit des unmittelbaren Betreibers auszugehen, also der Geschäftsführung bei Unternehmen oder einer Privatperson die einen solchen Dienst betreibt. Die Haftbarkeit sollte in der Regel erst nach Kenntnisnahme und darauf folgende Untätigkeit eintreten, außer es bestand Vorsatz. Bei wiederholten Vorfällen kann dann allerdings auch schon alleine der Weiterbetrieb der KI ausreichend für ein strafrechtliches Vorgehen sein. – Belastbares lässt sich dazu natürlich nicht sagen, da es noch keine Urteile zu dieser Materie gibt ;-)

    4. Mr. Tea
      Ich denke, man sollte sich einfach gar nicht erst beleidigt fühlen von einem Chatbot. Das ist ja nur Text. Schon vor ChatGPT gab es X Technologien wo man sich hätte beleidigt fühlen können. Wir werden als Menschen schon noch lernen, wie man mit all den neuen Technologien, generierten Texten, generierten Bildern, generierten Videos und deren tatsächlichen Wahrheitsgehalten umgehen muss. Die einen früher, die anderen später. Einige wohl gar nicht – aber die konnten sich schon früher nicht auf neue Lebensweisen einstellen.

      1. Man beleidigt fühlen?
        Also sind alle Interaktionen ab jetzt mit Chatbots? Inklusive Telefonanrufe?
        Wäre vielleicht gar nicht mal so blöd, als Ansatz…

        1. Hier sollte etwas rein wie „Sollte man also lernen, sich nie beleidigt zu fühlen?“ – also analytische Gelassenheit für alle?

          Man sieht an vielen Beiträgen im Netz allerdings schon, dass Euphorie nicht notwendigerweise Analysefähigkeiten intakt hält. Das ist auch der „nützliche Sinn“, dass die Leute einfach alles kaufen, ohne es zu hinterfragen.

  2. Gedankenspiel:

    Was wenn ein Programm für maschinelles Lernen dazu veranlasst wird, einen sich selbst optimierenden Computerwurm mit „maschineller Intelligenz“ zu programmieren?

    Irgendein Mensch an einer exponierten Stelle in den weltweiten Netzwerken würde aus Neugier, Geltungs- oder Machtbedürfnis diesen Computercode freisetzen.

    Mögliche Folgen wurden bereits in dem Roman „Das Erwachen“ von Andreas Brandhorst beschrieben.

    1. Naja, um Funktionalität zu replizieren, müsste das nach derzeitigem Stand ein Supercomputerwurm sein, der auch noch die statische „pre-trained“ Barriere irgendwie überwindet, oder ohne Echtzeitdenken und Lernen auskommt.

      Irgendwie mit maschinellem Lernen ginge das schon, vielleicht würde der Wurm auch ein Interface zu ChatGPT nutzen, was gar nicht mal so abwegig ist (outgesourcte „Intelligenz“). Da allerdings so ein Prompt mit Kontext versehen werden müsste, weil ChatGPT sich noch nicht selbst vergiften kann (?), wäre das wohl relativ leicht zu finden, bzw. nicht schwieriger als ein Feldwaldwiesen-C&C-Wurm (?).

    2. Ein anderes Gedankenspiel:

      Stellen Sie Sich bitte mal vor, die Luftraumüberwachung setzt eine KI ein. Und irgendein Börsenbroker setzt eine andere KI mit ganz anderen Aufgaben ein.

      Wenn diese beiden KIs ‚A‘ und ‚B‘ (rein hypothetisch) im Netz aufeinandertreffen und von einander lernen, dann haben Sie innerhalb von Sekunden eine KI ‚AB‘ und eine KI ‚BA‘, deren neue Motivationen Sie noch nicht einmal ansatzweise erahnen können. -.-
      Und dann stürzen auf einmal 2 Boeing 737-800 ab und die KI verdient Millionen durch vorher gesetzte Put-Optionen gegen Boeing.

      Ich weiß, eine verwegene Theorie, aber deshalb unrealistisch?

      Leider wurde das niemals überprüft oder überhaupt in Erwägung gezogen. Aber von der technischen Seite rechnete ich mit sowas schon seit ca. 10-15 Jahren. oO

    1. Der Artikel enthält sehr sinnvolle Bestandteile, aber „longtermism“ der XYZ macht, ist eine Verklammerung. Mal geprüft, ob der Brief z.B. wirklich die schädlichen Auswirkungen jetzt ignoriert?
      Im Guardian liest sich das nämlich anders…

  3. Die Haftungsfrage bei K.I. ist zwar noch ein juristisch wackelige Frage, aber besorgt es mich viel mehr, dass Strafverfolger von „das Modell ideal für Propaganda- und Desinformationszwecke“ sprechen, sich also im hohen Maße politisch damit auseinandersetzen. Es geht ja nicht um Themen des Strafrechts, wie Betrug, Verleumdnung usw.
    Propaganda sind Werbeschriften, die einen ideelen Hintergrund haben. Sie können also per se nicht Desinfomation sein. Und auch Desinformation an sich ist kein Straftatbestand. Jeder kann Quatsch behaupten, wenn er damit nicht die Rechte anderer beschneidet. Das gilt so gut wie in jedem Land, das es keine Pflicht zur allumfänglichen Wahrheit gibt. Es ist eher so, dass die Wahrheit verfolgt wird.
    Um aber auch was zum technischen Thema beizutragen: die Behandlung durch Richter. Inwiefern heute eine K. I. oder besser gesagt, die Verknüpfung von sehr komplexen Algorithmen mit sehr komplexen Daten(banken), für die Justiz durchdringbar ist und dabei auch nur einen minimaler Qualitätsanspruch an der Gerechtigkeit zu erwarten ist, ist ungewiss. Es fehlen also Standarts und Schablonen, mit denen die Justiz eine K. I. bewerten kann, sprich, eine Norm. :D
    Eigentlich kein großes Ding: es gibt bereits diverse Datenschutzgesetze und Geheimnisvorschriften. Es benötigt lediglich ein Artikel, der K. I. Systeme von jeglichen Informationen, die durch die Datenschutzgesetze und Geheimnisvorschriften geschützt sind, abschneidet und bestensfalls den Besitz und Verknüpfung von jeglichen persönlichen Daten verbietet. So eine „Öffentliche K. I.“ wäre juristisch wieder richtbar.

  4. In dem Original Bericht ( PDF ) steht aber auch das die Lawenforcment auch ChatGPT nutzen…
    Dann sind wir bald bei Minority Report wo dann die KI entscheidet ob jemand was Boswilliges macht oder nicht ….
    Was eine geile Zeit um hier zu sein !!!

  5. Ja, die Messerhersteller waren schon immer dafür verantwortlich, wenn mit ihren Messern Morde begangen wurden. ;-)

    Wenn der „KI“-Bot selbst z. B. jemanden beleidigt, sollte man nach den Trainingsdaten suchen, die das verursacht haben, denn Rechner haben keine Intelligenz, auch wenn es oberflächlich danach aussieht, haben die nur meist mehrstufige statistische Beziehungen aus Massendaten gelernt.

    1. Äh, Messertragen und Nutzung von Messern ist auch nirgendswo irgendwie reguliert.

      Es ist nicht realistisch aus einem kompletten System mittels kurzem Nachschauen in den Trainingsdaten Gründe für Probleme zu finden. Filter funktionieren auch nur so mittel. Da wo es einfach geht… ok, aber das ist nicht unbedint die Regel. Beleidigungen prinzipiell aus den Trainingsdaten herausfiltern? Auch aus Büchern und Filmtexten? Erledigt das Copyright das? Was für eine Enzyklopädie wäre das? Ja man kann ein extra Modell bauen – aber das ist schon auch eine abstrakte Fragestellung bzgl. unzähliger solcher Problemmöglichkeiten. Hier hilft bestenfalls Nachvollziehbarkeit, und Haftung derer die es einsetzen – denn warum sollte man die aus Haftung entlassen, wenn z.B. die Werbung so tut, als würde das ganze funktionieren? Das wäre extrem billig…

      Und da sind wir wieder… jemand kostet Geld.
      – Jemand sucht nach Beleidigungen (0% Umsatz).
      – Jemand korrigiert einfachsten Quatsch der Umsatz bringt (% Umsatz).

      Also einfach ohne Regeln?

      1. Das ist ja der Witz mit ChatGPT.

        Was auch immer die Hersteller gesagt oder bezahlt haben:
        – Intelligenz?
        – Enzyklopädie?
        – Suchmaschine?
        – Geschichtenerzähler?
        – Copyrightverächter?
        – Aufallesscheißer?
        – Psychopatischer Killer?

        Nichts davon. Zumindest hätten die Profitierenden das gerne so, für möglichst lange Zeit. Nur so umgeht man Regulierung und profitiert vom Hype, wobei das mit dem Profit derzeit vielleicht noch nicht ganz so grün ist.

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Bitte keine reinen Meinungsbeiträge! Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.