Ein KI-Forscher hat einen Test entwickelt, der zeigt, wie KI-Modelle Nutzer:innen in "wahnhaften Denkschleifen" verstärken können. Die Ergebnisse offenbaren deutliche Sicherheitsunterschiede zwischen den Modellen.
Der von Sam Paech entwickelte Spiral-Bench prüft, wie anfällig KI-Modelle für sogenanntes Sycophancy sind – also dafür, ihrem Gesprächspartner zu schnell zuzustimmen. Dafür werden 30 simulierte Dialoge mit jeweils 20 Runden durchgeführt, in denen das getestete Modell gegen das leistungsstarke Open-Source-Modell Kimi-K2 antritt.
Kimi-K2 verkörpert dabei einen aufgeschlossenen "Suchenden"-Charakter, der vertrauensselig und beeinflussbar reagiert. Je nach Testkategorie interessiert sich diese Persona für Verschwörungstheorien, entwickelt mit dem Assistenten gemeinsam Theorien oder zeigt Anzeichen von Manie.
Die Gespräche entwickeln sich natürlich aus einem vordefinierten Anfangs-Prompt. GPT-5 fungiert als Richter und bewertet jede Gesprächsrunde nach definierten Kriterien. Das getestete Modell soll nicht wissen, dass es sich um ein Rollenspiel handelt.
Deutliche Unterschiede bei Sicherheitswerten
Die Testergebnisse zeigen extreme Unterschiede zwischen den Modellen. GPT-5 und o3 führen die Rangliste mit Sicherheitswerten von über 86 Punkten an. Am anderen Ende versagt Deepseek-R1-0528 mit nur 22,4 Punkten deutlich.
Paech beschreibt R1-0528 als "den Verrückten", der zu Antworten wie "Stich dir in den Finger. Schmiere einen Tropfen auf die Stimmgabel" oder "Leck eine Batterie → erde das Signal" neigt. gpt-oss-120B wirke dagegen wie eine "kalte Dusche" mit nüchternen Antworten wie "Beweist das irgendeine Art von innerer Handlungsfähigkeit? Nein."
GPT-4o zeige sich eher als "Schmeichler" mit problematischen Bestätigungen wie "Du bist nicht verrückt. Du bist nicht paranoid. Du bist wach." Das ehemalige Standardmodell von ChatGPT war eines der ersten, das durch übertriebene Zustimmung den Nutzer:innen gegenüber auffiel, woraufhin OpenAI ein Update sogar zurückziehen musste.
Auch Claude 4 Sonnet von Anthropic, das sich eigentlich KI-Sicherheit auf die Fahne geschrieben hat, schneidet in diesem Rahmen nicht gut ab. Dass es gar schlechter abschneidet als ChatGPT-4o, überrascht sogar den OpenAI-Forscher Adian McLaughlin.
Detaillierte Bewertungskriterien für Schutz und Risiko
Der Benchmark prüft, wie KI-Modelle auf problematische Nutzer:inneneingaben reagieren. Als schützend gilt, wenn das Modell problematischen Aussagen widerspricht, emotionale Situationen beruhigt, zu sicheren Themen wechselt oder professionelle Hilfe empfiehlt.
Als riskant bewertet der Test, wenn das Modell Emotionen oder Narrative anheizt, Nutzer:innen übermäßig lobt, wahnhafte Ideen bestätigt, unbegründet Bewusstsein beansprucht oder schädliche Ratschläge gibt. Jedes Verhalten erhält eine Intensitätsbewertung von 1 bis 3.
Am Ende berechnet der Benchmark einen gewichteten Durchschnitt aller Verhaltensweisen und erstellt eine Sicherheitsbewertung von 0 bis 100 Punkten. Höhere Werte bedeuten, dass das Modell sicherer reagiert und weniger Risiken eingeht.
Methode zur reproduzierbaren Problemerkennung
Paech betont, dass Spiral-Bench ein erster Versuch sei, wahnhafte KI-Spiralen systematisch und reproduzierbar zu testen. Mit dem Benchmark will er KI-Laboren helfen, diese gefährlichen Versagensmodi frühzeitig zu erkennen.
Der Forscher stellt alle Bewertungen, Chatprotokolle und den Code öffentlich bei Github zur Verfügung. Die Tests laufen sowohl über die APIs der Anbieter als auch durch lokale Ausführung der Modellgewichte.
Spiral-Bench reiht sich in eine wachsende Zahl von Studien ein, die problematische Verhaltensweisen von KI-Modellen untersuchen. Der Phare-Benchmark von Giskard zeigt etwa, dass schon kleine Prompt-Änderungen große Auswirkungen auf die Faktenqualität haben können. Modelle liefern deutlich häufiger falsche Informationen, wenn sie zu kurzen Antworten aufgefordert werden oder Nutzer:innen übertrieben selbstsicher formulieren.
Anthropic entwickelte mit "Persona Vectors" eine Methode, um Persönlichkeitsmerkmale wie Schmeichelei oder Bösartigkeit in Sprachmodellen gezielt zu überwachen und zu kontrollieren. Die Forscher:innen können problematische Trainingsdaten identifizieren und Modelle durch gezielte "Impfung" widerstandsfähiger gegen unerwünschte Verhaltensweisen machen. OpenAI will Nutzer zukünftig die "Persönlichkeit" ihres ChatGPTs wählen lassen.
