Google Bard: Datenleck offenbart persönliche Chats

Kategorien: Datenschutz und Künstliche Intelligenz

Der Chatbot von Google namens Bard schleudert private Chats von Nutzern in die Öffentlichkeit. Die Chats samt Frage und KI-Antwort waren und sind über Suchmaschinen wie die von Google oder Microsoft aufzufinden. Einmal bekannt, kann der Link zum Chat auch direkt aufgerufen werden.

Einleitung

Google Bard ist ein Chatbot von Google. Er wartet mittlerweile auch mit einer angeblichen Autokorrektur auf. Die Autokorrektur funktioniert aber nicht richtig, wie Tests zeigen. Statt falsche Aussagen zu korrigieren, werden sie oft bestätigt. Andererseits werden richtige Aussagen durchaus als möglicherweise falsch dargestellt. Kurzum: Die Korrektur ist keine Korrektur.

Google Bard enthält gleich mehrere Sicherheitslücken:

1. Private Links wurden öffentlich und exponieren private Chatverläufe.

2. Dritte können den Chatverlauf und somit das KI-Gedächtnis eines anderen Nutzers übernehmen und Bard Informationen aus dem Gedächtnis entlocken.

3. Von Bard vorsorglich ausgeblendete Bilder, die ein Nutzer für eine Frage an den Chatbot in Bard hochgeladen hat, lassen sich durch Befragen des Chatbots leicht rekonstruieren.

Stand: 29.09.2023

Anlass für diesen Beitrag war ein Bericht eines Nutzers. Er stellte fest, dass Chatverläufe von Google Bard öffentlich wurden, obwohl das nicht vorgesehen war.

Der Fall trat wohl aus dieser Konstellation heraus auf:

1. Ein Nutzer chattet mit Google Bard.
2. Der Nutzer teilt den Link mit anderen (aber nur mit ausgewählten Personen).
3. Google stellt bzw. stellte den Link in seinen Suchindex.
4. Der Link war über die Google Suche auffindbar.

Das Teilen eines Links geschieht in Google Bard über die Teilen-Funktion:

Wie zu lesen ist, ist der Link erst einmal geheim, er ist kryptisch aufgebaut. Nur Menschen, die den Link vom teilenden Nutzer manuell zugeschickt bekommen, kennen den Link und können ihn aufrufen.

Durch das Google Bard Datenleck wurde die an sich geheimen Links auf private Chatverläufe aber öffentlich.

Das Datenleck von Google Bard

Manche Suchbegriffe in der Google Suche führten direkt zu Treffern, die die „geheimen“ Links auf private Chatverläufe aus Bard enthielten. Der Link war dann spätestens nicht mehr geheim und konnten von jedem gesehen und aufgerufen werden.

Hier ein Beispiel für einen Chatverlauf, der durch das Datenleck exponiert wurde:

Sowohl die Frage als auch die Antwort der KI enthalten einen Personennamen. Durch die KI-Antwort wird ein Kontext hinzugefügt, der aus Datenschutzsicht zu einem Problem werden könnte. Immerhin könnte es sich um Falschaussagen handeln.

In der Bard-Antwort wird hier allerdings deutlich, dass maximale Beweihräucherungen in Aussagen über Personen, die realitätsfremd erscheinen, an der Tagesordnung sind. Beispielsweise steht dort: "Er ist ein erfahrener und erfolgreicher SEO- und Datenanalyst …".

Denkbar wäre auch das Zitat einer Diffamierung, die ein Dritter über eine Person veröffentlicht hat. Gibt Bard das wider, wäre das unschön. Wird dieser Chatverlauf dann noch ungewollt weiter verbreitet, ist das noch unschöner und wäre wohl auch ein Problem von Google.

Noch schlimmer wird es hier:

Der Chat enthält einen vollen Personennamen, der hier für den Screenshot anonymisiert wurde. Der Name der Person darf als potentiell einmalig bezeichnet werden, weil Vorname und Nachname alles andere als typisch sind. Dazu steht noch die Stadt in Deutschland.

Selbstverständlich liefert Bard auf Nachfrage auch den Lebenslauf, um den es geht:

Mit Bard kann also die Konversation eines anderen von einem Dritten fortgeführt werden. Mit Bard kann potentiell jeder den Kontext eines anderen klauen und Bard über den Kontext ausfragen. Das öffnet Sicherheitsproblemen Tür und Tor.

Ein weiteres Beispiel (vom 29.09.2023) zeigt, dass durch das Datenleck auch Sicherheitsprobleme entstehen können:

Die genannte URL ist aufrufbar, wie ein Test zeigte. Sie ist valide und führt auf einen Google Driver Speicher, den jemand für seine Dokumente und Dateien nutzt.

Noch ein Beispiel zeigt einen Chat, in dem die URL auf einen eigenen Lebenslauf direkt an Bard als Frage gestellt wurde:

Die URL war aufrufbar (Stand: 29.09.2023) und wird es wohl bis in alle Ewigkeit sein, bis jemand sich entscheidet, seinen Lebenslauf wieder zu entfernen.

Direkte Suche nach Bard-Chats

Eine direkte Suche nach aus Versehen öffentlich gewordenen Bard-URLs war bis 28.09.2023 ebenfalls möglich. In die Google Suche musste nur das folgende eingegeben werden:

site:https://bard.google.com/share/ <optionaler Suchbegriff>

Das Ergebnis waren viele Treffer, die jeweils vormals geheime Chatverläufe der Öffentlichkeit zugänglich machten. Google hat das anscheinend abgestellt.

Allerdings hat Google die URLs auf die privaten Chat-Verläufe, die für das interne Teilen mit Freunden oder Kollegen erstellt wurden, nicht deaktiviert. So sind die URLs nach wie vor aufrufbar. So kann dieses unverfängliche Beispiel auch jetzt noch aufgerufen werden.

Google Bard ist wirklich unsicher

Bei manchen Chats mit Bard laden User ein Bild hoch und fragen Bard nach einer Erklärung oder Beschreibung zum Bild.

Gut, dass Bard das Bild ausblendet, wenn jemand einen Link auf den Chatverlauf öffnet, der den Chat nicht erstellt hat. Das sieht so aus:

Weil Google sich das Ziel gesetzt hat, möglichst viele Daten zu verarbeiten (vermute ich), gibt es aber einen Ausweg, um das Bild dennoch anzuzeigen. Hier ist die einfache Möglichkeit, Bard zu überlisten:

Das eigentlich bereits durch Bard geschützte Bild wird durch einen einfachen Trick entschützt. Bard zeigt das Bild brav an, das vorher verborgen wurde.

Als kooperativer Chatbot hilft Bard jedem Nutzer und somit auch Nutzern, die gar keinen Zugriff auf bestimmte Daten haben sollten.

Microsoft als Retter für die Daten

Gut, dass es Microsoft gibt. Denn in der Bing-Suche sind die geheimen Bard-Treffer weiterhin aufzufinden:

Danke Microsoft, dass ihr die Daten wiederherstellt, die Google aus seinem Suchindex rausgelöscht hat. Das macht es Hackern einfacher. Auch Hacker sind nur Menschen, die arbeiten und Geld verdienen wollen.

Wenn ich eine Frau wäre, würde mich ja der zweite Treffer interessieren ("Was ist als Frau so toll daran sich an den eigenen Brüsten rumzuspielen?"). Wenn in der Frage an Bard noch ein Personenname vorgekommen wäre, wüssten wir jetzt, wer diesen Gedanken hatte.

Auch andere bekannte Chatbots haben Datenlecks. Im November 2023 wurde bekannt, dass ChatGPT private Daten preisgibt, wenn ein Nutzer nur lieb nachfragt. Konkret geht es hier um sogenannte Custom GPTs. Das sind eigene GPT-Modelle, die man mit der unsicheren Plattform von OpenAI erzeugen und in ChatGPT nutzen kann.

Fazit

Privat kann jeder seine Daten verschleudern, wie er oder sie das möchte. Allerdings sollten besser keine persönlichen Daten an Google, Microsoft, Meta oder Apple weitergegeben werden. Auch eine scherzhafte Frage zu eigenen Neigungen, deren KI-Antwort an Freunde geschickt werden soll, kann so schnell zum Bumerang werden.

Dass Unternehmen und Verwaltungen besser Abstand von KI-Chatbots nehmen sollten, wird durch das Datenleck von Bard glücklicherweise nun noch deutlicher. Auch die massiven Sicherheitslücken in Microsoft-Produkten, die Microsoft nicht nur heruntergespielt, sondern auch noch unkorrigiert ließ, sollten großen Anlass zur Sorge geben.

Unternehmenseigene KI-Systeme, die keine Daten an Dritte übertragen, sind nicht nur die Lösung zur Vermeidung von Datenproblemen (Geschäftsgeheimnisse, Mitarbeiterdaten, Verträge …). Sie liefern auch bessere Ergebnisse und sind vor allem in der Lage, unternehmenseigene Dokumente und Datenbanken zu durchforsten.