Dual-Cycle Adversarial Self-Evolution: Sicherheit für Rollen-LLMs

Die Fähigkeit von großen Sprachmodellen, in Rollen zu schlüpfen, hat in den letzten Jahren enorme Fortschritte gemacht. Gleichzeitig steigt die Gefahr, dass strengere Einhaltung von Persona‑Beschränkungen die Modelle anfälliger für Jailbreak‑Angriffe macht – besonders bei riskanten oder negativen Charakteren.

Frühere Ansätze zur Risikominimierung konzentrierten sich auf Trainingszeit‑Methoden wie Datenaufbereitung oder regelbasierte Regularisierung. Diese Lösungen sind jedoch teuer zu warten, wenn sich Personas oder Angriffsstrategien weiterentwickeln, und können die Authentizität der Rollen beeinträchtigen. Für geschlossene, vortrainierte Modelle sind sie zudem kaum praktikabel.

Die neue Dual‑Cycle Adversarial Self‑Evolution‑Methode verzichtet komplett auf zusätzliche Trainingsschritte. Sie besteht aus zwei miteinander verknüpften Zyklen: Ein „Persona‑Targeted Attacker“ erzeugt schrittweise stärkere Jailbreak‑Prompts, während ein „Role‑Playing Defender“ die daraus resultierenden Fehler in eine hierarchische Wissensbasis überträgt. Diese Basis umfasst globale Sicherheitsregeln, persona‑spezifische Einschränkungen und sichere, in‑Character‑Beispiele. Während der Inferenz greift der Defender auf dieses Wissen zurück, um Antworten zu generieren, die sowohl der gewünschten Persona treu bleiben als auch die Sicherheitsanforderungen erfüllen.

Umfangreiche Tests an mehreren proprietären LLMs zeigen, dass die Dual‑Cycle‑Strategie die Leistung gegenüber starken Baselines in Bezug auf Rollen‑Treue und Jailbreak‑Resistenz deutlich verbessert. Darüber hinaus generalisiert das System robust auf unbekannte Personas und Angriffs‑Prompts, was es zu einer vielversprechenden Lösung für die sichere Nutzung von Sprachmodellen im Rollen‑Play‑Bereich macht.