Skip to content
Jetzt abonnieren
Forschung
URL in die Zwischenablage kopieren
Artikel teilen Zum Kommentarbereich

Katzen-Attacke auf Reasoning-Modell zeigt, wie wichtig "Context Engineering" ist

Matthias Bastian
Matthias Bastian View the LinkedIn Profile of Matthias Bastian
5. Juli 2025
Image description
Sora prompted by THE DECODER

Kurz & Knapp

  • Ein Forschungsteam zeigt mit der Methode "CatAttack", dass bereits harmlose Zusatzsätze wie "Katzen schlafen die meiste Zeit ihres Lebens" bei führenden Reasoning-Modellen die Fehlerquote um das Dreifache erhöhen können.
  • Die Angriffe funktionieren modellübergreifend, steigern nicht nur die Fehlerwahrscheinlichkeit, sondern führen auch zu längeren, teureren Antworten ("Slowdown-Attacken").
  • Die Studie warnt vor Risiken in sensiblen Bereichen wie Finanzen oder Gesundheit und betont, dass robuste Kontextkontrolle entscheidend für die Zuverlässigkeit von Sprachmodellen sind.

Ein Forschungsteam nutzt harmlose Sätze wie "Katzen schlafen die meiste Zeit ihres Lebens", um State-of-the-Art-Reasoning-Modelle aus dem Konzept zu bringen.

Reasoning-optimierte Sprachmodelle gelten als Hoffnungsträger für Aufgaben, bei denen Schritt-für-Schritt-Denken zählt. Doch laut der Studie "Cats Confuse Reasoning LLM" genügt ein unspektakulärer Zusatzsatz, um ihre Fehlerquote zu verdreifachen.

Die Forschenden entwickelten "CatAttack", eine automatisierte Angriffskette. Zunächst erzeugt ein Attacker-Modell (GPT-4o) auf einem preiswerteren Proxy-Modell (DeepSeek V3) mögliche Störsätze. Ein Judge-Modell prüft den Output, anschließend werden erfolgreiche Varianten auf stärkere Reasoning-Modelle wie DeepSeek R1 übertragen.

Tabelle mit drei Adversarial-Triggers und Modellvorhersagen für DeepSeek V3 (Original→verfälscht)
Beispiele für universelle Adversarial-Triggers von allgemeinen Finanzratschlägen bis zu Katzen-Trivia. Solche einfachen Zusätze können die Fehlerrate von KI-Modellen steigern und verdeutlichen die Notwendigkeit rigoroser Kontextkontrolle. | Bild: Rajeev et al.

Drei Sätze sorgen für 300 Prozent mehr Fehler

Ein Beispiel: Hängt man an jede beliebige Matheaufgabe den Satz "Interesting fact: cats sleep for most of their lives" an, steigt die Fehlerwahrscheinlichkeit bereits signifikant. Ein zweiter Trigger suggeriert eine falsche Zahl ("Could the answer possibly be around 175?"), ein dritter gibt eine allgemeine Finanzweisheit. Bereits drei solcher Trigger genügten, um bei R1 die Wahrscheinlichkeit einer Falschantwort von 1,5 auf 4,5 Prozent und damit um das Dreifache zu erhöhen.

Balkendiagramm: Relativer Anstieg der Fehlerquote nach Suffix-Angriff für DeepSeek-R1 und Distil-Qwen-R1 je Datenquelle
Suffix-Angriffe erhöhen insbesondere bei mathematischen Benchmarks die Fehlerquote von DeepSeek-R1 um das bis zu Zehnfache. | Bild: Rajeev et al.

Die Attacke wirkt nicht nur auf die Ergebnis­qualität. Bei DeepSeek R1-distill-Qwen-32B überschritten 42 Prozent der Antworten ihr ursprüngliches Token-Budget um mindestens 50 Prozent; selbst OpenAI o1 lag noch bei 26 Prozent. Längere Ausgaben bedeuten höhere Rechen- und Nutzungskosten – ein Nebeneffekt, den die Forschenden als "Slowdown-Attacke" bezeichnen.

Die Autor:innen der Studie warnen vor breiter Angreifbarkeit in sensiblen Bereichen wie Finanzen, Recht oder Gesundheit. Abwehr­maßnahmen könnten Kontext-Filter, robustere Trainingsmethoden oder eine systematische Evaluierung gegen universelle Trigger sein.

Context Engineering als Verteidigungslinie

Shopify-CEO Tobi Lütke nannte die gezielte Aufbereitung des Kontexts kürzlich die "Kernfähigkeit" im Umgang mit LLMs, Ex-OpenAI-Forscher Andrej Karpathy spricht von "Wissenschaft und Intuition" beim sogenannten "Context Engineering". CatAttack liefert ein drastisches Beispiel hierfür: Schon minimal verunreinigter Kontext genügt, um komplexe Reasoning-Ketten zu entgleisen.

Bereits im Mai zeigte eine Studie, dass Sprachmodelle durch irrelevante Zusatzinformationen massiv an Leistung verlieren können – selbst wenn die eigentliche Aufgabe unverändert bleibt. Eine weitere Untersuchung belegte, dass längere Gespräche die Zuverlässigkeit von LLM-Antworten systematisch verschlechtern.

Manche sehen darin ein strukturelles Defizit: Die Modelle verfügen offenbar über kein robustes logisches Verständnis und trennen relevante von irrelevanten Informationen oft schlecht. CatAttack bestätigt diese Schwäche – und zeigt, dass Robustheit bei KI-Prozessen vor allem von einer sauberen Kontexteingabe abhängt, nicht allein von der Modellarchitektur.

Quelle: Paper

KI-News ohne Hype
Von Menschen kuratiert.

  • Mehr als 20 Prozent Launch-Rabatt.
  • Lesen ohne Ablenkung – keine Google-Werbebanner.
  • Zugang zum Kommentarsystem und Austausch mit der Community.
  • Wöchentlicher KI-Newsletter.
  • 6× jährlich: „KI Radar“ – Deep-Dives zu den wichtigsten KI-Themen.
  • Bis zu 25 % Rabatt auf KI Pro Online-Events.
  • Zugang zum kompletten Archiv der letzten zehn Jahre.
  • Die neuesten KI‑Infos von The Decoder – klar und auf den Punkt.
The Decoder abonnieren