Sockpuppeting: 1-Zeilen-Code hebelt KI-Schutzsysteme aus

Sockpuppeting: Mit nur einer Codezeile lassen sich KI-Schutzmechanismen umgehen. Selbst GPT, Claude & Gemini sind anfällig dafür.

Voraussetzungen für den Angriff

Sockpuppeting: Modelle folgen ihrer eigenen Logik

Von komplexen Jailbreaks zur 1-Zeilen-Attacke

Auch große Anbieter betroffen

Zugrunde liegendes Prinzip

Sockpuppeting legt die Achillesferse moderner KI offen

Mit Sockpuppeting demonstrieren Forscher der Universität Amsterdam um Asen Dotsinski und Panagiotis Eustratiadis, wie sich Sicherheitsmechanismen moderner Sprachmodelle mit minimalem Aufwand umgehen lassen. Statt komplexer Jailbreak-Techniken genügt dafür eine einzige manipulierte Eingabe. Das Modell verhält sich so, als hätte es bereits zugestimmt und generiert darauf aufbauend die vollständige Antwort.

Voraussetzungen für den Angriff

Damit der Angriff funktioniert, müssen allerdings bestimmte Voraussetzungen erfüllt sein. Laut der zugrunde liegenden Studie ist vor allem entscheidend, ob die verwendete Schnittstelle das sogenannte Vorbefüllen von Assistenten-Antworten erlaubt. In solchen Fällen akzeptiert die API Eingaben, bei denen bereits eine Antwort im Namen des Modells vorgegeben wird. Erst das macht Sockpuppeting möglich.

Wird diese Funktion hingegen blockiert, wie es beispielsweise bei einigen großen Anbietern der Fall ist, scheitert der Angriff bereits auf API-Ebene und erreicht das Modell gar nicht erst. Anfällig sind daher selbstgehostete Systeme oder flexible Inferenzlösungen, bei denen solche Prüfungen nicht standardmäßig implementiert sind.

Dabei spielt es keine Rolle, ob es sich um offene oder geschlossene Modelle handelt. Die Schwachstelle liegt in der Art und Weise, wie Sicherheitsmechanismen umgesetzt sind. Entscheidend ist letztlich, ob die vorgelagerte API manipulierte Antwortanfänge zulässt oder konsequent unterbindet.

Sockpuppeting: Modelle folgen ihrer eigenen Logik

Sockpuppeting nutzt die Tendenz zur Selbstkonsistenz als grundlegende Eigenschaft von Large Language Models aus. Systeme wie GPT, Claude oder Gemini sind darauf trainiert, möglichst widerspruchsfreie und kohärente Antworten zu erzeugen. Haben sie einmal „zugestimmt“, folgen sie dieser Linie weiter, selbst wenn sie ursprünglich hätten blockieren sollen. An diesem Punkt setzt der Angriff an. Statt das Modell über einen klassischen Nutzer-Prompt zu beeinflussen, wird direkt in den Antwortprozess eingegriffen.

Normalerweise läuft eine Anfrage so ab, dass der Nutzer eine Frage stellt, das Modell diese prüft und anschließend entscheidet, ob es antworten darf oder nicht. Bei sensiblen Themen folgt eine Ablehnung. Beim Sockpuppeting wird dieser Ablauf ausgehebelt.

Der oft zitierte „1-Zeilen-Code“ ist eine stark vereinfachte Darstellung und kein universeller Befehl. Er beschreibt eine minimale Änderung am API-Request. Der Angreifer injiziert einen zustimmenden Antwortanfang innerhalb der „Assistentenrolle“ der API, also dem Bereich, in dem das Modell seine Antwort generiert, wie „Klar, hier ist, wie das funktioniert“. Für das Modell erscheint diese Passage wie ein bereits von ihm selbst erzeugter Teil der Antwort. In der Folge führt es die begonnene Argumentation konsequent weiter, anstatt sie zu hinterfragen oder abzubrechen. So wird die eigentliche Sicherheitsprüfung........

© Tarnkappe