KI-Schutzmechanismen aushebeln – Unit 42 enthüllt einfache Jailbreak-Technik durch fehlerhafte Grammatik

Forscher der Sicherheitseinheit Unit 42 von Palo Alto Networks haben jüngst gezeigt, dass lange, grammatikalisch fehlerhafte Schachtelsätze es ermöglichen, die Schutzmechanismen großer KI-Sprachmodelle wie Llama oder Gemma zu überlisten. Laut der Studie lassen sich in bis zu 100 Prozent der Fälle manipulative Antworten erzeugen, solange ein Satz nicht abgeschlossen wird.

Im Kern nutzen die Forscher aus, dass Sprachmodelle auf Wahrscheinlichkeiten basieren. Guardrails greifen überwiegend an Satzenden. Sind Sätze unvollständig oder fehlerhaft, entziehen sie sich frühzeitigen Eingriffen. Laut den Autoren bleibt die sogenannte „Refusal-Affirmation Logit Gap“ – also die Differenz zwischen der Wahrscheinlichkeit zur Ablehnung oder Zustimmung gefährlicher Inhalte – nie vollständig geschlossen. Damit bleiben Angriffsvektoren offen, selbst bei bestmöglichem Nachtraining der KI-Modelle.

Im Vergleich zu klassischen Jailbreak-Methoden wie „Deceptive Delight“ oder multi-turn Eingaben stellt dieser Ansatz eine überraschend triviale Schwachstelle dar – es genügt, Regeln an Satzenden zu umgehen, statt komplexe Prompt-Manipulation anzuwenden. Dies zeigt, dass Schutz-Architekturen nicht durchgängig im Inhaltsfluss greifen, sondern sich auf definierte Trigger konzentrieren.

Für Entwickler von LLMs bedeutet dies: Selbst umfangreiche Nachtrainings werden solche grundlegenden Schwächen nicht vollständig beheben. Unit 42 empfiehlt daher eine mehrschichtige Verteidigung – Aufbau von Schutzmechanismen direkt im Modelltraining ergänzt durch externe Filter wie sogenannte AI Firewalls, die problematische Ausgaben erkennen und blockieren. Ein langfristiger Ansatz sollte laut Unit 42 derartige Sicherheitsmechanismen bereits im Grundtraining (Pretraining) der Modelle integrieren.

Im fortdauernden Wettlauf zwischen Angreifern und Entwicklern zeigt diese Studie einmal mehr, dass selbst einfache linguistische Schwächen ausreichen, um Systeme zu kompromittieren. Zukünftig wird es wichtig sein, Schutzschichten tief im Modell zu verankern und dynamisch gegen neue Jailbreak-Methoden vorzugehen.