Was sind die Supply-Chain-Risiken bei der Nutzung von Drittanbieter-LLMs und -Komponenten?
Kurzantwort
Die LLM-Supply-Chain umfasst Basismodelle, fine-getunte Varianten, Datensätze, Embeddings, Plugins, Bibliotheken und die Hosting-Plattform — jede davon ein Punkt, an dem Risiko entstehen kann. Zu den Bedrohungen zählen das Herunterladen manipulierter oder mit Backdoors versehener Modellgewichte, bösartige Fine-Tunes, vergiftete oder lizenzbelastete Datensätze, anfällige oder überberechtigte Plugins sowie typosquattete Modell-Repos. Verteidigung: Modelle aus vertrauenswürdigen Registries beziehen, Integrität und Provenienz prüfen, eine AI Bill of Materials pflegen, Abhängigkeiten scannen und pinnen, Plugins prüfen und das Least-Privilege-Prinzip auf alles anwenden, mit dem das Modell integriert wird.
Fast niemand trainiert ein Frontier-Modell von Grund auf neu, daher erbt die Mehrzahl der LLM-Anwendungen eine tiefe, undurchsichtige Supply Chain: ein Basismodell, möglicherweise einen Community-Fine-Tune, Datensätze, Embeddings, eine Vektordatenbank, Plugins oder Tools, Serving-Frameworks und die Hosting-Plattform. Jedes Glied kann Risiko einbringen, und OWASP führt Supply Chain aus gutem Grund als eines der größten LLM-Risiken.
Wo das Risiko entsteht
- Modellgewichte. Heruntergeladene Gewichte können manipuliert sein oder eine eingeschleuste Backdoor tragen. Manche Serialisierungsformate können beim Laden Code ausführen, sodass das Laden eines nicht vertrauenswürdigen Artefakts an sich gefährlich ist.
- Fine-Tunes und Adapter. Ein bösartiger Community-Fine-Tune oder LoRA-Adapter kann das Verhalten verändern oder eine Backdoor einschmuggeln, während er wie das beliebte Basismodell aussieht.
- Datensätze. Drittanbieter-Datensätze können vergiftet, verzerrt oder mit lizenz-/rechtlicher Kontamination behaftet sein.
- Plugins und Tools. Überberechtigte oder anfällige Plugins erweitern die Reichweite des Modells und die Angriffsfläche.
- Typosquatting. Gefälschte Modell- oder Paket-Repos, die vertrauenswürdige Namen imitieren.
Kontrollmaßnahmen
- Aus vertrauenswürdigen Registries beziehen und Integrität und Provenienz überprüfen (Signaturen, Hashes).
- Eine AI Bill of Materials (AI BOM) pflegen, damit du jedes verwendete Modell, jeden Datensatz und jede Abhängigkeit kennst.
- Sichere Serialisierungsformate bevorzugen und Artefakte vor dem Laden scannen.
- Abhängigkeiten pinnen und scannen; Plugins prüfen und ihren Zugriff nach Least Privilege beschränken.
- Kontinuierliches Monitoring auf neu offengelegte Schwachstellen in Modellen und Komponenten.
Worauf Interviewer achten
Ein Blick auf die Supply Chain über nur "das Modell" hinaus — Datensätze, Fine-Tunes, Plugins, Serialisierung — plus konkrete Governance wie Provenienzprüfung und eine AI BOM.
Wahrscheinliche Anschlussfragen
- Wie würde eine AI Bill of Materials (AI BOM) hier helfen?
- Was ist das Risiko, Modellgewichte in einem unsicheren Serialisierungsformat zu laden?
- Wie prüfst du ein Drittanbieter-LLM-Plugin, bevor du es aktivierst?