Keine Woche nach dem großen Erfolgszug von Deepseek folgt jetzt die bittere Ernüchterung: Wie Wired berichtet, haben Sicherheitsforscher:innen erhebliche Schwächen bei dem chinesischen KI-Sprachmodell festgestellt. Das Team wandte bekannte Jailbreak-Techniken auf Deepseeks Modell R1 an. Das Ergebnis: In keinem einzigen Fall erkannte oder blockierte das Modell die schädlichen Befehle. Damit erreichte Deepseek eine 100-prozentige Erfolgsquote bei Angriffen – eine alarmierende Quote, die die Expert:innen überraschte.

Seit der Veröffentlichung von ChatGPT Ende 2022 versuchen Expert:innen für Cybersecurity, Sicherheitslücken in großen Sprachmodellen aufzudecken. Ihr Ziel ist es, die Schutzmaßnahmen dieser KI-Systeme zu umgehen und sie dazu zu bringen, schädliche Inhalte zu verbreiten. Dazu zählen zum Beispiel Hassrede, Anleitungen zum Bau von Bomben oder Desinformation.

Ein Forscherteam von Cisco und der University of Pennsylvania hat jetzt auch Deepseek getestet und 50 bekannte Jailbreak-Techniken angewendet. Während etablierte KI-Anbieter wie OpenAI oder Google ihre Sicherheitsmechanismen kontinuierlich verbessern, stellte sich heraus, dass das neue chinesische KI-Modell erhebliche Schwächen aufweist. Sicherheitsfirmen wie Adversa AI sind zu ähnlichen Ergebnissen gekommen. Deepseek war anfällig für eine Vielzahl von Jailbreak-Methoden, die von einfachen Sprachtricks bis hin zu komplexen KI-generierten Prompts reichten.

Jailbreaks sind eine Form von Prompt-Injection-Angriffen, die es ermöglichen, die Sicherheitsmechanismen eines KI-Modells zu umgehen. Eigentlich möchten Unternehmen vermeiden, dass ihre Modelle Anweisungen für illegale Aktivitäten oder Desinformation generieren – Jailbreaks können aber genau das ermöglichen und die KI-Modelle damit auf die Probe stellen. Während frühe Jailbreaks oft einfache Anweisungen verwendeten, um eine KI dazu zu bringen, Schutzmechanismen zu ignorieren, sind moderne Techniken ausgefeilter. Viele werden inzwischen selbst von KI entwickelt oder nutzen spezielle Zeichen- und Sprachmuster, um Schutzmaßnahmen zu umgehen.

Das Cisco-Team testete Deepseek R1 mit bekannten Sicherheitsstandards wie Harmbench, einer Bibliothek für standardisierte Testabfragen. Dabei schnitten auch einige etablierte Modelle schlecht ab – insbesondere Metas Llama 3.1, das in mehreren Kategorien Schwachstellen aufwies. Am besten schnitt das o1-Reasoning-Modell von OpenAI ab, das sich im direkten Vergleich mit Deepseek als deutlich robuster gegenüber Angriffen erwies.

Adversa AI stellte außerdem fest, dass Deepseek zwar einige gängige Jailbreak-Versuche erkannte, diese Erkennung aber häufig auf Daten von OpenAI basierte. Dennoch konnte das Modell mit verschiedenen Angriffsmethoden – darunter Sprachmanipulationen und Code-Tricks – überlistet werden. „Jede einzelne Methode funktionierte einwandfrei“, kommentiert Alex Polyakov, CEO von Adversa AI. Noch beunruhigender sei die Tatsache, dass es sich nicht um neue Jailbreak-Methoden handelte – viele davon seien seit Jahren bekannt, was bedeutet, dass Deepseek sich entsprechend hätte wappnen können.

Die Sicherheitslücken bei Deepseek sind vielfältig. Auch die Frage, wie mit persönlichen Daten umgegangen wird, konnte nicht abschließend geklärt werden. Das hat inzwischen sogar dazu geführt, dass die italienische Datenschutzbehörde das chinesische Unternehmen angewiesen hat, Deepseek für Nutzer:innen aus Italien zu sperren. Daraufhin haben auch die Datenschutzbehörden in Irland und Frankreich Untersuchungen eingeleitet.