Bug, Jailbreak und Prompt-Injection: Was haben sie wirklich gemeinsam

Nachdem wir gesehen haben, wie ein LLM allein Fehler machen kann, wie es durch einen Jailbreak umgangen werden kann und wie eine Prompt Injection sein Verhalten manipulieren kann, stellt sich die Frage: Wissen die Unternehmen, die diese Modelle entwickeln, davon? Arbeiten sie daran?

Ja. Und es ist trotzdem schwierig.

Das Problem ist nicht technisch. Es ist strukturell.

Traditionelle Software hat Regeln, die jemand geschrieben hat. Gibt es einen Fehler, findet man die falsche Codezeile und korrigiert sie. Ein LLM funktioniert anders: Seine "Regeln" sind nicht explizit geschrieben. Sie entstehen aus dem Training, komprimiert in Milliarden von numerischen Parametern, die niemand direkt lesen kann. Es gibt keine Codezeile, die sagt "nicht bei gefährlichen Dingen helfen". Es gibt ein Set statistischer Gewichte, das im Durchschnitt dieses Verhalten erzeugt. Und Durchschnitt bedeutet nicht immer.

Deshalb gibt es Lösungen, aber keine ist endgültig.

Die erste ist RLHF -- Reinforcement Learning from Human Feedback. Während des Trainings bewerten echte Menschen die Antworten des Modells. Diese Bewertungen werden genutzt, um die Gewichte in die richtige Richtung anzupassen. Das ist der Hauptmechanismus, durch den Modelle lernen, gefährliche Anfragen abzulehnen, Unsicherheiten zu kalibrieren und nützlich zu sein, ohne Schaden zu verursachen. Es funktioniert -- aber es hängt von der Qualität und Menge des menschlichen Feedbacks ab und deckt nicht alle möglichen Fälle ab. Ein gut gemachter Jailbreak findet genau die Fälle, die das Feedback nicht abgedeckt hat.

Die zweite Methode ist das Red Teaming. Bevor ein Modell veröffentlicht wird, versuchen spezialisierte Teams, es absichtlich zu Fehlern zu bringen. Sie testen Jailbreaks, Prompt Injection, Grenzfälle und Missbrauchsszenarien. Diese Arbeit ähnelt eher der eines Ermittlers als der eines Ingenieurs. Ziel ist es, Schwachstellen zu finden, bevor andere sie entdecken. Das Problem ist, dass die möglichen Prompts unendlich sind. Ein menschliches Red Team kann nicht alles abdecken. Deshalb werden heute auch automatisierte Modelle eingesetzt, um andere Modelle zu testen. Die Ergebnisse sind vielversprechend, aber nicht endgültig.

Die dritte Methode sind Filter. Diese Kontrollschichten analysieren den Input, bevor er zum Modell gelangt, und den Output, bevor er den Nutzer erreicht. Sie sind nützlich für offensichtliche Fälle, die Schlüsselwörter oder erkennbare Muster verwenden. Gegen raffinierte Angriffe sind sie jedoch weniger effektiv. Das gilt auch für indirekte Prompt Injection und Anfragen, die einzeln harmlos wirken, aber im Kontext nicht sind.

Schließlich gibt es das Alignment. Dieses Forschungsfeld beschäftigt sich damit, wie Modelle wirklich die Ziele verfolgen, die wir wollen, und nicht nur statistische Annäherungen dieser Ziele. Es ist das tiefste und am wenigsten gelöste Problem. Nicht, weil niemand daran arbeitet. Einige der klügsten Köpfe der Branche arbeiten daran. Aber ein System zu alignen, das nicht im menschlichen Sinne denkt, ist ein Problem ohne allgemeine Lösung.

Das bedeutet nicht, dass diese Werkzeuge unbrauchbar sind oder die Zukunft düster ist. Es bedeutet, dass die Technologie schneller voranschreitet, als wir sie robust machen können. Und dass wir sie bewusst nutzen müssen, indem wir ihre Grenzen kennen. Das ist immer noch unsere beste Verteidigung.

Keine dieser Techniken beseitigt das Problem wirklich. Sie machen es weniger wahrscheinlich, teurer auszunutzen und leichter zu kontrollieren. Aber sie beseitigen es nicht.

Das ist der Preis für eine Technologie, die Antworten aus statistischen Korrelationen generiert, statt aus echtem Verständnis. Und deshalb sind Fehler, Jailbreaks und Prompt Injections keine isolierten Anomalien: Sie sind verschiedene Manifestationen desselben grundlegenden Limits.