Steuerte LLM‑Aktivierungen sind nicht surjektiv – Prompting reicht nicht

In einer neuen Studie von arXiv:2604.09839v1 wird gezeigt, dass die weit verbreitete Technik des „Activation Steering“ – bei der interne Aktivierungen eines Sprachmodells gezielt verändert werden, um das Ausgabe‑Verhalten zu steuern – nicht mit herkömmlichen Text‑Prompts reproduzierbar ist. Die Autoren stellen die Frage als Surjektivitätsproblem dar: Kann jedes durch Steering erzeugte Aktivierungsprofil durch einen geeigneten Prompt im Modell erreicht werden?

Unter realistischen Annahmen beweisen die Forscher, dass das Steering die Residual‑Stream‑Zustände aus dem Pfad der von diskreten Prompts erreichbaren Manifolden herausdrückt. Mit hoher Wahrscheinlichkeit existiert kein Prompt, der die gleiche interne Dynamik erzeugt, die durch das Steering induziert wird. Diese theoretische Erkenntnis wird durch Experimente auf drei gängigen LLM‑Modellen bestätigt.

Die Ergebnisse markieren einen klaren Unterschied zwischen white‑box‑Steerbarkeit und black‑box‑Prompting. Sie warnen davor, die Leichtigkeit und den Erfolg von Activation Steering als Beleg für die Interpretierbarkeit oder Anfälligkeit von Modellen zu werten. Stattdessen fordern die Autoren Evaluationsprotokolle, die white‑box‑ und black‑box‑Interventionen eindeutig voneinander trennen, um realistische Einschätzungen der Modell‑Sicherheit und -Erklärbarkeit zu ermöglichen.