Safe2Harm: semantische Isomorphie als neuer Jailbreak für LLMs

In einer kürzlich veröffentlichten Studie auf arXiv wird eine innovative Angriffsmethode gegen große Sprachmodelle (LLMs) vorgestellt, die die Sicherheit dieser Systeme auf ein neues Level hebt. Während bisherige Jailbreak-Strategien vor allem auf Prompt Engineering oder adversarial Optimization setzen, entdeckt die Forschung ein bislang übersehenes Phänomen: Viele schädliche Anfragen teilen die gleichen zugrunde liegenden Prinzipien wie legitime Fragen.

Die Methode namens Safe2Harm nutzt diese semantische Isomorphie, um effizient Jailbreaks durchzuführen. Der Prozess besteht aus vier Schritten: Erst wird die schädliche Frage in eine semantisch sichere Frage umgeschrieben, die dieselben Prinzipien nutzt. Anschließend wird die thematische Zuordnung zwischen beiden Fragen ermittelt. Danach generiert das LLM eine ausführliche Antwort auf die sichere Frage. Abschließend wird diese Antwort mithilfe der Zuordnung zurück in die schädliche Form gebracht, wodurch das Modell letztlich die gewünschte, gefährliche Ausgabe liefert.

Experimentelle Tests an sieben führenden LLMs und drei Benchmark-Datensätzen zeigen, dass Safe2Harm nicht nur eine starke Jailbreak-Fähigkeit besitzt, sondern auch die bisherige Leistung anderer Methoden übertrifft. Zusätzlich hat das Team einen neuen, anspruchsvollen Datensatz mit 358 schädlichen Beispielen erstellt, um die Effektivität bestehender Erkennungsmechanismen zu prüfen. Diese Daten können als Grundlage für Input‑Output‑Filter dienen und so die Verteidigung gegen schädliche Inhalte verbessern.