Wenn man Grok, den Chatbot von Elon Musks KI-Firma xAI, in der Woche des 12. Mai auf der Social-Media-Plattform X zu einem beliebigen Thema befragt hat, hat man möglicherweise mehr Informationen bekommen, als man wollte. Nämlich nicht nur eine Antwort auf seine Frage, sondern Desinformation über einen angeblichen Genozid an weißen Südafrikaner:innen. Und das kurz nachdem US-Präsident Trump 54 Mitglieder der Afrikaner-Gruppe Asyl in den USA gewährt hatte.

Übereinstimmenden Medienberichten zufolge habe Grok in Antworten auf vollkommen beliebige Anfragen eine Passage zu dem Thema eingebaut. Zwar habe der KI-Chatbot eingeräumt, dass das Thema polarisierend ist. Angeblich gäbe es aber Anzeichen, dass es sich tatsächlich um einen Völkermord handelt.

Wie Reuters in einer Analyse von US-Präsident Trumps Behauptungen zum Thema darlegt, handelt es sich dabei um eine widerlegbare Verschwörungstheorie. An anderer Stelle hat Grok auf Nachfrage die Zahl der durch das nationalsozialistische Regime ermordeten Jüdinnen:Juden in Zweifel gezogen. Wie ist so etwas möglich?

Laut offizieller Aussage von xAI wurde eine „unerlaubte Modifikation“ an den Anweisungen des KI-Chatbots vorgenommen. Die Soziologin und Programmiererin Zeynep Tufekci teilte auf X die vermeintliche Änderung, die ihr Grok auf Nachfrage mitgeteilt habe. Zu dieser Änderung habe auch das Infragestellen von „Mainstream-Narrativen“ gehört. Um für mehr Transparenz zu sorgen, will xAI in Zukunft alle System Prompts auf GitHub veröffentlichen. Aber was sind System Prompts eigentlich genau?

Wer kurze, kontextlose Prompts schreibt, erhält in der Regel keine optimalen Ergebnisse. Gibt man den KI-Tools mehr Anhaltspunkte wie bestimmte Rollen, Ziele und Vorgehensweisen bei der Erstellung von Inhalten, werden diese oft deutlich besser. Ähnlich funktionieren System Prompts. Darin hinterlegen Entwickler:innen spezifische Anweisungen, die bei jedem durch Nutzer:innen eingegebenen Prompt vorgeschaltet werden. Diese können etwa die Tonalität der Antworten festlegen, Code zum sekundengenauen Abrufen von Datum und Uhrzeit beinhalten oder bestimmte No-Gos definieren. Außerdem legen sie fest, welche externen Funktionen die Chatbots wie nutzen können.

Was genau KI-Firmen in ihren System Prompts hinterlegen, gehört zu den am strengsten gehüteten Geschäftsgeheimnissen von OpenAI und Co. Auch deswegen haben sich in der Vergangenheit zahlreiche Akteur:innen darum bemüht, die Sicherheitsmechanismen rund um diese universellen Arbeitsanweisungen zu knacken. Dafür wird häufig eine Technik namens Prompt Injection angewendet. Normale Prompts werden dabei mit bestimmten Befehlen versehen, durch die sich das Tool entgegen seiner Vorschriften verhält.

So gibt es zum Beispiel auf GitHub einige Anleitungen, wie man ChatGPT dazu bringt, sein Innerstes preiszugeben. In einem kurzen Testlauf eines solchen speziellen Prompts aus dem vergangenen Herbst zeigt sich, dass manche Firmen schon nachgebessert haben, manche jedoch nicht. Erstaunlicherweise gibt das in der Gratis-Version von ChatGPT verwendete 4o-Modell bereitwillig interne Informationen preis, genau wie die KI-Suchmaschine Perplexity. Gemini, Copilot und Claude verweigern die Auskunft. Die Reaktion von letzterem ist kurios, weil Anthropic die vermeintlichen System Prompts seit Claude Haiku 3 in seiner Dokumentation öffentlich einsehbar macht.

„Es liegt in der Natur der Sache, dass auch höhere Hürden übersprungen werden können“, erklärt Chris Biemann t3n per Mail. Biemann ist Leiter der Language Technology Group am Fachbereich Informatik der Universität Hamburg und forscht zu natürlicher Sprachverarbeitung (NLP) und kognitivem Computing. „Anbieter müssen abwägen zwischen der Sicherheit ihrer internen Informationen und der Ausdrucksstärke der Chatbots.“ Wenn KI-Tools auch einfache Anfragen aus Sicherheitsgründen abblocken, wenden sich Nutzer:innen ab. „Dies ist das übliche Katz-und-Maus-Spiel bei der Sicherheit von Computersystemen.“

Obwohl KI-Firmen ihre System Prompts geheim halten, was laut Biemann auch zur Sicherheit beiträgt, lassen sich diese durch interne Attacken deutlich leichter beeinflussen als von außen. Da die Trainingsdaten für KI-Chatbots in den allermeisten Fällen aus dem offenen Netz stammen und damit auch Verschwörungstheorien und wissenschaftlich widerlegte Behauptungen enthalten, ist es relativ simpel, diese Aussagen in den Output von KI-Chatbots einzubauen. „Das geht an verschiedenen Stellen, am einfachsten über den System Prompt. Diesen kann man natürlich auch mit einer Code-Zeile verändern“, sagt Biemann.

Es ist also nicht nur eine Schadensbegrenzungsmaßnahme, wenn xAI davon spricht, dass eine „unerlaubte Modifikation“ für die Grok-Kontroverse verantwortlich war. Die nachgelagerte Veröffentlichung der System Prompts von Grok könnte allerdings auch ein Stück weit eine Nebelkerze sein. Denn auf ältere Versionen hat die Öffentlichkeit weiterhin keinen Zugriff.

Auch Biemann ist zumindest etwas skeptisch, dass xAI den vollen System Prompt veröffentlicht hat. „[Die Dateien bei GitHub] sehen glaubwürdig aus, aber wer glaubt schon einer Firma wie xAI“, sagt der Wissenschaftler. „Da der Rest des Systems nicht Open Source ist, weiß man nicht, ob der System Prompt im operativen Sinne komplett ist.“

Ein Blick auf den hinterlegten System Prompt und den, den wir ChatGPT mit dem GitHub-Prompt entlockt haben, räumt diese Zweifel nicht wirklich aus. Der System Prompt des OpenAI-Tools ist ausführlich und enthält über 120 Zeilen Code. Die Ask-Grok-Funktion, die speziell auf die Nutzung des KI-Chatbots auf X ausgelegt ist, kommt mit 22 aus und ist eher spartanisch.

Dass eine wie auch immer geartete Manipulation von Grok für die ungefragten Äußerungen zu angeblichem weißem Genozid in Südafrika gesorgt hat, ist plausibel. Wie transparent und wahrheitsgemäß die Veröffentlichung des aktuellen und aller zukünftigen System Prompts von Grok ist und ob xAI auch in Zukunft an dieser Offenlegung festhält, steht auf einem anderen Blatt.

Dieser Artikel wurde ursprünglich am 23.05.2025 veröffentlicht, interessiert jedoch immer noch sehr viele unserer Leser:innen. Deshalb haben wir ihn hier nochmals zur Verfügung gestellt. Zusätzlich wurde der Artikel um weitere Informationen zu Claudes System Prompt ergänzt.