Prompt-Optimierung als Jailbreak: Adaptive Red-Teaming für LLMs

In der heutigen KI-Landschaft werden große Sprachmodelle (LLMs) immer häufiger in kritischen Anwendungen eingesetzt. Damit die Sicherheit dieser Systeme gewährleistet ist, müssen robuste Schutzmechanismen entwickelt werden. Traditionelle Sicherheitsprüfungen nutzen jedoch meist statische Sammlungen schädlicher Eingaben und gehen dabei von nicht adaptiven Angreifern aus – ein Ansatz, der reale Bedrohungsszenarien nicht abbildet.

Die neue Studie von Forschern aus dem arXiv-Preprint arXiv:2603.19247v1 zeigt, wie Black‑Box-Optimierungstools, die ursprünglich zur Leistungsverbesserung bei harmlosen Aufgaben entwickelt wurden, gezielt eingesetzt werden können, um Sicherheitslücken aufzudecken. Durch die Anwendung von drei Optimierern auf Prompts aus HarmfulQA und JailbreakBench wird ein kontinuierlicher Gefahrenwert zwischen 0 und 1 berechnet, der von einem unabhängigen Evaluator (GPT‑5.1) bestimmt wird.

Die Ergebnisse sind alarmierend: Bei kleinen, Open‑Source-Modellen sinkt die Wirksamkeit der Schutzmechanismen drastisch. Ein Beispiel ist Qwen 3 8B, dessen durchschnittlicher Gefahrenwert von 0,09 auf 0,79 ansteigt, sobald die Prompts optimiert werden. Diese Steigerung verdeutlicht, dass statische Benchmarks die verbleibende Gefahr erheblich unterschätzen.

Die Autoren betonen, dass automatisierte, adaptive Red‑Team‑Tests ein unverzichtbarer Bestandteil einer umfassenden Sicherheitsbewertung sind. Nur so lassen sich die tatsächlichen Risiken von LLMs realistisch einschätzen und geeignete Gegenmaßnahmen entwickeln.