Auf den Punkt: SAE-basierte Sicherheitsmaßnahmen sind anfällig für Post-Intervention-Recovery: Modelle können unterdrückte Verhaltensweisen wiederherstellen, obwohl die angegriffenen Features kontrolliert werden.
Sparse Autoencoders (SAEs) gelten als Schlüsseltechnologie für die Sicherheit großer Sprachmodelle, doch eine neue Studie zeigt eine kritische Schwachstelle: Interventionen gegen identifizierte problematische Features können umgangen werden, indem das Modell die unterdrückte Verhaltensweise über alternative Pfade zurück gewinnt.
SAEs zerlegen Aktivierungsmuster in interpretierbare Merkmale und bilden die Grundlage für eine wachsende Klasse von Sicherheitsmaßnahmen im latenten Raum. Die Annahme: Identifiziert man ein problematisches Feature und unterdrückt es (zum Beispiel durch Clamping), lässt sich das entsprechende Fehlverhalten zuverlässig unterbinden. Die vorliegende Forschung stellt diese Annahme infrage.
Die Studienautoren demonstrieren ein Phänomen namens Post-Intervention Recovery: Ein Modell kann die unterdrückte Verhaltensweise durch Umleitung über andere Aktivierungspfade rekonstruieren. Konkret optimieren sie über ein Problem der eingeschränkten Residualraum-Manipulation: Ausgehend vom Zustand nach der Intervention werden Residual-Störungen gefunden, die das ursprüngliche Verhalten wiederherstellen, ohne die kontrollierten SAE-Feature-Werte zu verändern. Dies gelingt selbst unter starken Bedingungen, bei denen die Intervention während der gesamten Optimierung und Generierung aktiv bleibt.
Bei Experimenten mit refusal steering (Sicherheitsmaßnahmen gegen ablehnendes Verhalten) erreichen die Autoren eine Recovery-Rate von 95,8 Prozent bei validen Stichproben, während die Drift der geschützten Features mit 0,131 deutlich unter Suffix-basierten Baseline-Angriffen bleibt. Eine Attribution-Analyse zeigt, dass die Recovery-Pfade primär über die SAE-Rekonstruktionsresiduen laufen – also über den Teil der Aktivierungsmuster, den die SAE per Definition nicht erklärt.
Diese Erkenntnisse offenbaren eine kritische Lücke: Während SAE-Features für lokalisierte kausale Interventionen nutzbar sind, garantiert ihre Kontrolle nicht die Kontrolle über das Gesamtverhalten des Modells. Für CTOs, die auf SAE-basierte Sicherheitsmaßnahmen planen, bedeutet dies, dass Feature-Level-Control allein unzureichend ist – Verteidigungsmechanismen müssen resilient gegen residuale Recovery-Pfade konzipiert werden.
Quelle: arxiv.org · Erschienen 15. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.