AutoBackdoor: Automatisierte Backdoor-Angriffe auf LLMs mit Agenten

In einer bahnbrechenden Veröffentlichung auf arXiv wird das neue Framework AutoBackdoor vorgestellt, das Backdoor-Angriffe auf große Sprachmodelle (LLMs) vollständig automatisiert. Durch den Einsatz eines leistungsstarken Sprachmodell-Agenten generiert AutoBackdoor semantisch konsistente, kontextabhängige Triggerphrasen und erstellt damit gezielt kompromittierte Trainingsdaten – alles ohne manuellen Aufwand.

Der Prozess umfasst drei Schritte: Trigger‑Erzeugung, Aufbau von verunreinigten Datensätzen und Feinabstimmung des Modells. Durch die Agenten‑gesteuerte Pipeline können beliebige Themenbereiche erschlossen werden, während die menschliche Beteiligung auf ein Minimum reduziert wird. Dies macht die Methode skalierbar und praktisch für umfangreiche Red‑Team‑Tests.

Die Autoren haben AutoBackdoor in drei realistischen Bedrohungsszenarien evaluiert – Bias‑Empfehlung, Halluzinationsinjektion und Peer‑Review‑Manipulation. Auf Modellen wie LLaMA‑3, Mistral, Qwen und GPT‑4o erzielte die Methode mehr als 90 % Erfolgsrate bei nur wenigen verunreinigten Beispielen. Diese Ergebnisse zeigen, dass selbst hochentwickelte Modelle mit minimalen Datenpunkten leicht kompromittiert werden können.

Die Studie unterstreicht, dass bestehende Verteidigungsmechanismen häufig versagen, wenn sie mit automatisierten, agentenbasierten Angriffen konfrontiert werden. Sie betont die dringende Notwendigkeit, robuste, skalierbare Red‑Team‑Frameworks zu entwickeln, die solche Angriffe realistisch simulieren und die Widerstandsfähigkeit von LLMs unter adversarialen Bedingungen prüfen können.