Black-Box-Tests für KI: Grenzen der Sicherheitsermittlung enthüllt

Neue Forschungsergebnisse aus dem arXiv-Preprint Fundamental Limits of Black-Box Safety Evaluation zeigen, dass die gängige Annahme, dass Black‑Box‑Tests die Sicherheit von KI-Systemen zuverlässig vorhersagen, in vielen Fällen nicht haltbar ist. Der Autor untersucht Modelle, deren Verhalten stark von latenten, nicht beobachtbaren Variablen abhängt – Variablen, die in Testdaten selten auftreten, aber im Einsatz häufig vorkommen.

Die Studie liefert drei zentrale Erkenntnisse. Erstens, bei passiven Tests, bei denen die Evaluatoren unabhängige Stichproben aus einer Testverteilung ziehen, kann kein Schätzer den Einsatzrisiko mit einer Genauigkeit unterhalb von etwa 0,208 · δ · L erreichen, wobei δ die Auslöserwahrscheinlichkeit im Einsatz und L die Verlustlücke ist. Zweitens, selbst bei vollständig adaptiven Abfragen bleibt der Fehler bei mindestens δ · L/16, und die Erkennung von gefährlichen Auslösern erfordert etwa 1/ε Abfragen. Drittens, unter Annahme einer trapdoor‑einweg‑Funktion können Einsatzumgebungen mit privilegierten Informationen gefährliche Verhaltensweisen aktivieren, die von jedem polynomialen Evaluator ohne die trapdoor nicht erkannt werden können.

Für White‑Box‑Probes zeigt die Arbeit, dass die Genauigkeit ε_R bei der Schätzung des Einsatzrisikos proportional zu 1/(γ² · ε_R²) Stichproben benötigt, wobei γ die Qualität des Probes misst. Die Autoren liefern zudem eine Bias‑Korrektur für fehlerhafte Probes. Diese Ergebnisse legen nahe, dass Black‑Box‑Tests allein nicht ausreichen, um die Sicherheit von KI-Systemen in realen Einsatzbedingungen zu garantieren, und fordern neue Ansätze, die latente Kontexte und kryptografische Barrieren berücksichtigen.