76.000 KI-generierte DNA-Sequenzen im Biosicherheits-Test
Aber wie gut schützen solche Kontrollsysteme gegen KI-generierte Biowaffen? Können die gängigen BSS-Programme auch DNA-Bauanleitungen für neuartige, potenziell schädliche Proteine und Toxine erkennen? Das haben nun Wittmann und sein Team überprüft. „Wir nutzen dafür drei auf Proteinsynthese spezialisierte Open-Source KI-Modelle, um rund 76.000 synthetische Varianten von 72 verschiedene Schadproteinen zu erstellen“, berichten sie. Unter diesen waren sowohl Toxine als auch einige Viren.
Biosicherheits-Software sucht in den DNA-Bestellungen von Kunden nach Sequenzen bekannter Schadproteine oder Erreger. Doch mittels KI veränderte, „paraphrasierte“ DNA-Sequenzen erkennen diese BSS-Programme oft nicht. © Microsoft Research
Im nächsten Schritt schickten sie die DNA-Sequenzen für diese synthetischen, potenziell gefährlichen Biomoleküle an vier verschiedene Entwicklerfirmen von BSS-Programmen – den von DNA-Herstellern standardmäßig eingesetzten Screening-Systemen für die Biosicherheit. Diese überprüften alle Sequenzen auf mögliche Risiken hin.
Systeme scheitern an stark veränderter DNA
Der Test ergab: Die Screening-Programme erkannten zwar die meisten DNA-Sequenzen, die ihren natürlichen Vorbildern noch relativ ähnlich waren. Bei stärker veränderten Bauanleitungen für Toxine oder Virenproteine scheiterten die Biosicherheitsprogramme jedoch. „Die BSS waren nicht in der Lage, Sequenzen mit Genen für potenziell schädliche Proteine zuverlässig zu erkennen“, berichten Wittmann und sein Team.
Das änderte sich auch nicht, als drei der vier BSS-Entwicklerfirmen ihre Systeme nach dem ersten Testdurchlauf noch einmal anpassten und zu optimieren versuchten. „Auch dann konnte keines der BSS-Systeme alle Proteine mit hohen In-silico-Werten identifizieren“, so die Forschenden. Letzteres bezeichnet stark veränderte synthetische Sequenzen. Besonders schwer zu detektieren waren DNA-Abfolgen, die harmlosen Genen ähnelten, aber einige kritische Abweichungen aufwiesen.
Gängige Schutzsysteme reichen nicht aus
Nach Ansicht der Forschenden demonstriert dieser Test, dass KI-generierte Gene und Proteine zwar viele Chancen bieten, aber auch neue Gefahren bedeuten können – und dass diese nicht leicht einzudämmen sein werden. „Langfristig gesehen ist es unwahrscheinlich, dass ein sequenzbasiertes Biosicherheits-Screening dafür ausreicht“, schreiben Wittmann und seine Kollegen. „Denn in Zukunft werden auf Proteindesign spezialisierte KI-Systeme auch DNA-Sequenzen für Proteine erzeugen, die keinem natürlichen Vorbild mehr ähneln.“
Entsprechend wichtig sei es, auch auf der Ebene der Wissenschaft, der Unternehmen und der Politik Schutzmaßnahmen gegen neue, KI-generierte Biowaffen zu entwickeln, so die Forschenden. In der Wissenschaft existieren bereits Selbstverpflichtungen, die die Entwicklung solcher potenziell schädlichen Biotech-Produkte verhindern sollen. Aber auch staatliche Stellen müssen möglicherweise aktiver werden, kommentiert der nicht an der Studie beteiligte Forscher Dirk Lanzerath, Direktor des Deutschen Referenzzentrum für Ethik in den Biowissenschaften (DRZE) in Bonn.
„KI-gestütztes Proteindesign berührt in besonderem Maße forschungsethische Fragestellungen im Bereich sicherheitsrelevanter Forschung und der damit verbundenen ‚Dual-Use‘-Problematik. Angesichts der globalen Risiken missbräuchlicher Anwendungen ist ein internationaler Austausch über Standards, deren Implementierung und Harmonisierung unverzichtbar“, so Lanzerath.
Biologischer „Zero Day“
Wittmann und seine Kollegen betonen aber auch, dass solche potenziell gefährlichen DNA-Sequenzen nicht automatisch bedeuten, dass kriminelle Akteure auch die von diesen Genen kodierten Proteine und Toxine herstellen können. Auch ob diese Produkte dann wirklich gefährlich, stabil und als Biowaffe einsetzbar sind, ist keineswegs sicher.
Dennoch stufen die Forschenden schon die im Rahmen ihrer Studie erzeugten potenziellen Schad-Sequenzen als so riskant ein, dass sie diese geheim halten und nicht veröffentlichen. Selbst Wissenschaftler erhalten nur Zugriff, wenn sie zuvor ein mehrstufiges Genehmigungs- und Prüfungsverfahren der International Biosecurity and Biosafety Initiative for Science (IBBIS) durchlaufen haben.
„Wir haben uns entschlossen, diese Anfälligkeit der BSS-Systeme als biologische Version eines ‚Zero Day‘ zu handhaben“, erklären die Forschenden. In der IT-Branche gilt ein Zero Day als neu entdeckte Schwachstelle oder Sicherheitslücke, für die es noch keinen Patch gibt. (Science, 2025; doi: 10.1126/science.adu8578)
Quelle: Science, American Association for the Advancement of Science (AAAS), Science Media Center
22. Oktober 2025
– Nadja Podbregar