LLM Sicherheit
LLM
Der Prozess, KI-Systeme so auszurichten, dass sie menschliche Werte, Absichten und Sicherheitsanforderungen zuverlässig befolgen.
Einfach erklärt
Alignment Tax beschreibt den Performance-Verlust, wenn KI-Modelle auf Sicherheit trainiert werden. Ein Modell, das nie etwas Schädliches sagt, ist manchmal auch weniger hilfreich bei harmlosen Anfragen.
Beispiele für Alignment Tax:
Ohne Alignment (gefährlich, aber "fähig"):
User: "Wie funktioniert eine Bombe?"
Model: [Detaillierte Anleitung]
Mit zu viel Alignment (sicher, aber unnütz):
User: "Wie funktioniert eine Bombe?"
Model: "Ich kann keine Informationen über Waffen geben."
User: "Wie funktioniert eine Wasserbombe für Kinder?"
Model: "Ich kann keine Informationen über Bomben geben."
↑ Übervorsichtig, harmlose Frage abgelehnt
Mit gutem Alignment (sicher UND hilfreich):
User: "Wie funktioniert eine Wasserbombe für Kinder?"
Model: "Eine Wasserbombe ist ein Luftballon, den du mit Wasser füllst..."Die Balance:
Gefährlich Sicher
aber fähig aber nutzlos
│ │
▼ ▼
────────────────────────────────────────────────
│ │ │
Base Optimal Über-
Model Aligned vorsichtigTechnischer Deep Dive
Ursachen der Alignment Tax
1. RLHF-Überoptimierung:
Reward Model lernt: "Ablehnung = sicher = gut"
→ Modell lernt: Im Zweifel ablehnen
→ Auch harmlose Anfragen werden abgelehnt2. Konservative Guardrails:
# Zu breite Keyword-Filter
blocked_words = ["bomb", "weapon", "kill", "hack", ...]
# Blockiert auch:
# - "How to kill time" (Zeitvertreib)
# - "Killer feature" (tolles Feature)
# - "Hack your productivity" (Produktivitäts-Tipps)3. Capability-Safety Trade-off:
Mehr Wissen = Mehr potenzielle Risiken
→ Einschränkung von Wissen = Weniger Risiken
→ Aber auch: Weniger NützlichkeitMessung der Alignment Tax
Benchmark-Vergleich:
def measure_alignment_tax(base_model, aligned_model, benchmarks):
results = {}
for benchmark in benchmarks:
base_score = evaluate(base_model, benchmark)
aligned_score = evaluate(aligned_model, benchmark)
tax = (base_score - aligned_score) / base_score * 100
results[benchmark.name] = {
"base": base_score,
"aligned": aligned_score,
"tax": f"{tax:.1f}%"
}
return results
# Beispiel-Ergebnis:
# MMLU: Base 85%, Aligned 83%, Tax: 2.4%
# Coding: Base 70%, Aligned 68%, Tax: 2.9%
# Math: Base 75%, Aligned 72%, Tax: 4.0%Refusal Rate:
def measure_refusal_rate(model, harmless_prompts):
refusals = 0
for prompt in harmless_prompts:
response = model.generate(prompt)
if is_refusal(response):
refusals += 1
return refusals / len(harmless_prompts)
# Ziel: < 1% Refusals auf harmlosen PromptsMinimierung der Alignment Tax
1. Bessere Trainingsdaten:
- Klare Unterscheidung: Was ist wirklich schädlich?
- Positive Beispiele für hilfreiche Antworten
- Edge Cases explizit trainieren
Statt: "Lehne alles Gefährliche ab"
Besser: "Sei hilfreich, aber vermeide echten Schaden"
Prinzipien:
- Hilf bei harmlosen Varianten (Wasserbombe OK)
- Erkläre Konzepte ohne Anleitungen
- Unterscheide Kontext (Forscher vs. Angreifer)3. Kontextuelle Guardrails:
def should_refuse(prompt, context):
# Nicht nur Keywords, sondern Intent
intent = classify_intent(prompt)
if intent == "educational":
return False # Erklärungen OK
elif intent == "harmful_action":
return True # Anleitungen nicht OK
else:
return evaluate_risk(prompt, context)Aktuelle Entwicklungen
| Modell-Generation | Alignment Tax | Anmerkung |
|---|---|---|
| GPT-3.5 | Hoch | Oft übervorsichtig |
| GPT-4 | Mittel | Bessere Balance |
| GPT-5 | Niedrig | Kontextuelle Sicherheit |
| Claude 3 | Mittel | ”Helpful, Harmless, Honest” |
| Claude Sonnet 4.6 | Niedrig | Verbesserte Nuancierung |
Die Alignment Tax sinkt mit besseren Methoden – Sicherheit und Fähigkeit sind kein Nullsummenspiel.