LLM‑Sicherheit: Aktivierungsentanglement erkennt versteckte Jailbreaks

Moderne Sprachmodelle bleiben anfällig für raffinierte Jailbreak‑Prompts, die flüssig und semantisch kohärent formuliert sind. Besonders problematisch ist ein Angriff, bei dem der bösartige Zweck durch ein geschicktes Framing verschleiert wird. Solche Angriffe nutzen die Flexibilität der Präsentation aus, sodass herkömmliche Defensivmechanismen, die auf strukturellen Artefakten oder ziel‑spezifischen Signaturen beruhen, oft versagen.

Um diesem Problem entgegenzuwirken, wurde ein selbstüberwachtes Framework entwickelt, das semantische Faktorpaare – Ziel und Framing – in den Aktivierungen eines Sprachmodells trennt. Durch die Trennung können die beiden Komponenten unabhängig voneinander analysiert werden, ohne das Modell selbst zu verändern.

Im Rahmen des Projekts entstand das Corpus GoalFrameBench, das gezielt Prompts mit kontrollierten Variationen von Ziel und Framing enthält. Auf Basis dieses Datensatzes wurde das ReDAct‑Modul (Representation Disentanglement on Activations) trainiert, das in einem eingefrorenen LLM disentangled Repräsentationen extrahiert.

Aus diesen disentangled Framing‑Repräsentationen wird der Anomalie‑Detektor FrameShield abgeleitet. FrameShield erkennt abnormale Framing‑Signale und verbessert die modellunabhängige Erkennung von Jailbreaks über mehrere LLM‑Familien hinweg, während es nur minimale Rechenressourcen benötigt.

Die theoretischen Beweise für ReDAct und umfangreiche empirische Tests zeigen, dass die Entanglement‑Technik die Leistungsfähigkeit von FrameShield maßgeblich steigert. Darüber hinaus dient die Entanglement‑Analyse als Interpretationswerkzeug, das klare Profile für Ziel‑ und Framing‑Signale liefert und damit einen wichtigen Baustein für die Sicherheit und mechanistische Interpretierbarkeit von Sprachmodellen darstellt.