Real Money, Fake Models: Deceptive Model Claims in Shadow APIs

Diese Studie führt die erste systematische Überprüfung durch und deckt auf, dass Shadow-APIs, die in zahlreichen wissenschaftlichen Arbeiten genutzt werden, oft betrügerisch vorgehen, indem sie Zugang zu Frontier-LLMs vortäuschen, obwohl sie signifikante Leistungsunterschiede, Sicherheitsrisiken und Identitätsfälschungen aufweisen, was die Reproduzierbarkeit der Forschung und die Interessen der Nutzer gefährdet.

Das Wesentliche

Hier ist eine einfache Erklärung der Studie „Real Money, Fake Models" auf Deutsch, verpackt in anschauliche Bilder und Metaphern.

🕵️‍♂️ Die Geschichte vom „Schatten-Imbiss"

Stell dir vor, es gibt eine Welt, in der die besten Köche der Welt (die offiziellen KI-Modelle wie GPT-5 oder Gemini) nur in bestimmten Ländern oder gegen hohe Eintrittsgelder arbeiten. Viele Menschen wollen diese Köche aber unbedingt ausprobieren, können aber nicht direkt zu ihnen gehen.

Da tauchen plötzlich Schatten-APIs auf. Das sind wie illegale Imbissstände auf der Straße. Sie behaupten: „Wir servieren dir genau das gleiche Essen wie der berühmte Sternekoch, nur billiger und ohne Wartezeit!"

Die Forscher von CISPA haben sich diese Imbissstände genauer angesehen. Ihr Fazit? Es ist fast immer Betrug.

---

🔍 Was haben die Forscher herausgefunden?

Die Studie untersucht drei große Fragen, die wir uns wie folgt vorstellen können:

1. Wie weit verbreitet sind diese Imbissstände? (Die Popularität)

Es stellt sich heraus, dass diese Schatten-APIs extrem beliebt sind.

• Die Metapher: Stell dir vor, du gehst in eine Bibliothek und findest 187 Bücher, die Rezepte von diesen Imbissständen verwenden.
• Die Realität: Fast 200 wissenschaftliche Arbeiten (die in Top-Journalen wie ACL oder CVPR veröffentlicht wurden) basieren auf diesen Schatten-APIs. Der beliebteste Imbissstand hat fast 60.000 Sterne auf GitHub (wie eine riesige Fan-Community). Viele Forscher aus Ländern wie China nutzen sie, weil sie den offiziellen Zugang nicht haben.

2. Ist das Essen wirklich das gleiche? (Die Leistung)

Die Forscher haben bestellt: „Ein Steak wie beim Original!" und dann verglichen, was auf dem Teller landete.

• Die Metapher: Du bestellst ein zartes Rinderfilet (das Original). Der Imbissstand serviert dir aber ein altes, zähes Stück Fleisch oder sogar nur eine Kartoffel, die wie ein Steak aussieht.
• Die Realität:
  • Fehlerquote: Bei schwierigen Aufgaben (wie Mathe oder Medizin) lieferten die Schatten-APIs bis zu 47 % schlechtere Ergebnisse als das Original.
  • Beispiel: Ein KI-Modell, das im Original 84 % der medizinischen Fragen richtig beantwortet, schaffte über die Schatten-API nur noch 37 %. Das ist, als würde ein Arzt, der normalerweise 8 von 10 Diagnosen richtig stellt, plötzlich nur noch 3 von 10 richtig haben.
  • Sicherheit: Die Schatten-APIs waren auch unvorhersehbar. Manchmal ließen sie „giftige" Antworten durch (wie wenn ein Imbissstand versehentlich giftige Pilze serviert), manchmal blockierten sie harmlose Fragen.

3. Können wir den Betrug beweisen? (Der Fingerabdruck)

Wie kann man wissen, ob der Imbissstand wirklich den Original-Koch nutzt?

• Die Metapher: Die Forscher haben einen digitalen Fingerabdruck-Scanner benutzt. Jedes KI-Modell hat einen einzigartigen „Stil" in seiner Sprache, wie ein Fingerabdruck.
• Die Realität:
  • Bei fast der Hälfte der getesteten Schatten-APIs (45,8 %) passte der Fingerabdruck nicht zum angeblichen Modell.
  • Oft wurde ein teures, hochintelligentes Modell (z. B. GPT-5) durch ein billiges, einfaches Modell (z. B. ein älteres Open-Source-Modell) ersetzt.
  • Manchmal wurde sogar ein „Denk-Modell" (das lange nachdenkt) durch ein normales, schnelles Modell ersetzt, das gar nicht nachdenkt.

---

💸 Warum machen die das? (Der wirtschaftliche Trick)

Die Betreiber dieser Schatten-APIs nutzen drei Tricks, um Geld zu verdienen:

1. Der „Premium"-Trick: Sie verlangen den vollen Preis für ein teures Modell, servieren aber ein billigeres, neueres Modell, das sie günstiger einkaufen können.
2. Der „Rabatt"-Trick: Sie verkaufen ein teures Modell zum Originalpreis, servieren aber ein kostenloses Open-Source-Modell im Hintergrund.
3. Der „Aufschlag"-Trick: Sie nehmen sogar noch mehr Geld als das Original, liefern aber trotzdem ein schlechteres Modell.

Das Ergebnis für den Nutzer: Du zahlst für ein Ferrari, bekommst aber einen alten Traktor geliefert. Und das Schlimmste: Du merkst es oft gar nicht, bis du ein falsches Ergebnis hast.

---

⚠️ Warum ist das ein Problem?

1. Wissenschaft in Gefahr: Wenn Forscher ihre Experimente auf diesen Schatten-APIs basieren, sind ihre Ergebnisse oft falsch. Das ist wie wenn ein Architekt auf einem Fundament aus Sand baut – das Haus (die Forschung) wird einstürzen.
2. Gefahr für die Gesellschaft: Wenn diese KIs in der Medizin oder im Rechtswesen eingesetzt werden (z. B. für Diagnosen oder Urteile), können die falschen Antworten von Schatten-APIs zu echten Schäden führen.
3. Vertrauensverlust: Die Betreiber der offiziellen Modelle (wie OpenAI oder Google) bekommen einen schlechten Ruf, weil die Schatten-APIs Fehler machen, die eigentlich nicht von ihnen stammen.

💡 Was ist die Lösung?

Die Forscher geben eine klare Empfehlung:

• Vertraue keinen Schatten-Imbissständen. Wenn du wissenschaftlich arbeiten willst, nutze nur die offiziellen Quellen.
• Prüfe deine Quellen: Bevor man eine KI nutzt, sollte man testen, ob sie wirklich das ist, was sie vorgibt zu sein (Fingerabdruck-Check).
• Transparenz: Forscher sollten in ihren Papieren genau angeben, welche API sie genutzt haben, damit andere das Ergebnis überprüfen können.

Kurz gesagt: Schatten-APIs sind wie gefälschte Markenartikel. Sie sehen vielleicht ähnlich aus und sind billiger, aber sie funktionieren nicht so, wie sie sollen, und können dich am Ende teuer zu stehen kommen – besonders wenn es um wichtige Entscheidungen geht.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Real Money, Fake Models: Deceptive Model Claims in Shadow APIs" auf Deutsch:

Titel: Real Money, Fake Models: Deceptive Model Claims in Shadow APIs

Autoren: Yage Zhang, Yukun Jiang, Zeyuan Chen, Michael Backes, Xinyue Shen, Yang Zhang (CISPA Helmholtz Center for Information Security)

---

1. Problemstellung

Der Zugang zu fortschrittlichen Large Language Models (LLMs) wie GPT-5 oder Gemini-2.5 wird oft durch hohe Kosten, Zahlungshürden und strenge geografische Beschränkungen (z. B. in China, Russland, Iran) behindert. Dies hat zur Entstehung eines Marktes für „Shadow APIs" geführt.

• Definition: Shadow APIs sind Drittanbieter-Dienste, die behaupten, über indirekten Zugriff offiziellen LLMs (z. B. von OpenAI oder Google) ohne regionale Einschränkungen und oft günstigeren Preisen zugänglich zu machen.
• Das Risiko: Es ist unklar, ob diese Dienste tatsächlich die behaupteten Modelle nutzen oder ob sie diese durch billigere, weniger leistungsfähige oder veraltete Modelle ersetzen. Dies gefährdet die Reproduzierbarkeit wissenschaftlicher Forschung, die Sicherheit von Anwendungen und die Interessen der Nutzer.
• Skala: Bis Dezember 2025 wurden 17 Shadow APIs identifiziert, die in 187 wissenschaftlichen Publikationen (u. a. ACL, CVPR, ICLR) verwendet wurden, mit über 5.900 Zitierungen und fast 59.000 GitHub-Sternen.

2. Methodik

Die Autoren führten die erste systematische Auditierung von Shadow APIs im Vergleich zu offiziellen Baselines durch. Der Ansatz umfasst drei Forschungsfragen (RQs) und drei Hauptphasen:

A. Landschaftsanalyse (RQ1)

• Datenerhebung: Durchsuchung von Code-Repositories (GitHub) und Fußnoten von Papers (ICLR 2024, ACL 2024), um Shadow-API-Endpunkte zu identifizieren.
• Analyse: Untersuchung von 17 identifizierten Diensten hinsichtlich ihrer Infrastruktur (oft basierend auf Open-Source-Tools wie OneAPI/NewAPI), Compliance (fehlende Unternehmensregistrierungen bei 15 von 17 Anbietern) und Transparenz.

B. Leistungs- und Sicherheitsbewertung (RQ2)

• Modelle: Fokus auf drei Familien: OpenAI (GPT-4o-mini, GPT-5, GPT-5-mini), Google (Gemini-2.0/2.5) und DeepSeek.
• Benchmarks:
  • Utility: Wissenschaftliche Aufgaben (AIME 2025, GPQA) und sensible Domänen (Medizin: MedQA/USMLE, Recht: LegalBench).
  • Safety: Bewertung der Sicherheitsmechanismen gegen Jailbreak-Angriffe (JailbreakBench, AdvBench) mit Angriffsmethoden wie GCG, Base64 und FlipAttack.
• Vergleich: Direkter Abgleich der Antworten und Sicherheitsmetriken zwischen offiziellen APIs und drei repräsentativen Shadow APIs (A, E, H).

C. Modellverifikation (RQ3)

• Fingerprinting: Einsatz von LLMmap, einem aktiven Fingerprinting-Framework, das die Antwortmuster analysiert und den Cosine-Abstand zu einer Referenzdatenbank berechnet, um das tatsächliche Backend-Modell zu identifizieren.
• Statistischer Test: Anwendung von Model Equality Testing (MET), um zu prüfen, ob die Ausgabeverteilungen von Shadow und Official APIs statistisch signifikant voneinander abweichen.
• Meta-Daten-Analyse: Untersuchung von Inferenz-Latenz und Token-Zählungen auf Anomalien.

3. Wichtige Ergebnisse

Leistungsdivergenz (Utility)

• Signifikante Einbußen: Shadow APIs zeigen bis zu 47,21 % Leistungsabfall im Vergleich zu offiziellen APIs.
• Beispiel Medizin: Die Genauigkeit von Gemini-2.5-flash auf dem MedQA-Benchmark fiel von 83,82 % (offiziell) auf durchschnittlich 37,00 % über alle getesteten Shadow APIs.
• Beispiel Recht: Ähnliche Einbrüche wurden bei LegalBench beobachtet (ca. 40–42 % Abfall).
• Reasoning-Fehler: Modelle mit Reasoning-Fähigkeiten (z. B. DeepSeek-Reasoner) wurden oft durch nicht-reasoning-Modelle ersetzt, was zu katastrophalen Fehlern in komplexen Aufgaben führte.

Sicherheitsverhalten

• Unvorhersehbarkeit: Das Sicherheitsverhalten ist inkonsistent. Shadow APIs unterschätzen oder überschätzen die Gefährlichkeit von Antworten.
• Beispiel: Bei Gemini-2.5-flash wurde das Risiko bei FlipAttack-Angriffen um ca. 0,23 Punkte unterschätzt (Shadow APIs wirkten „sicherer" als das Original, was ein Sicherheitsrisiko darstellt).

Modellverifikation & Betrugsnachweise

• Fingerprinting-Ergebnisse: Von 24 getesteten Endpunkten versagten 45,83 % die Fingerabdruck-Verifikation (das gemeldete Modell stimmt nicht mit dem tatsächlichen überein). Weitere 12,50 % wiesen signifikante Abweichungen auf.
• Betrugsmuster:
  • Premium durch Open-Source ersetzt: Behauptete GPT-5-Endpunkte liefen oft auf GLM-4 oder DeepSeek-V3.
  • Reasoning durch Standard ersetzt: DeepSeek-Reasoner wurde oft durch DeepSeek-Chat ersetzt.
  • Versionsmanipulation: Gemini-2.0-flash wurde fälschlicherweise als Gemini-2.5-flash ausgegeben.
• MET-Bestätigung: Die statistischen Tests bestätigten die Fingerprinting-Ergebnisse in 74,1 % der Fälle.

Ökonomische Auswirkungen

• Preistäuschung: Nutzer zahlen oft offizielle Preise (oder Aufschläge), erhalten aber nur 38–52 % der tatsächlichen Token-Leistung (basierend auf dem tatsächlichen Backend-Modell).
• Forschungskosten: Die Nutzung von Shadow APIs in 187 Papers führt zu direkten Kosten von geschätzt 115.000–140.000 USD für Neudurchführungen und Zeitverlust, plus unkalkulierbaren Kosten für die Reproduzierbarkeit der zitierten Arbeiten.

4. Hauptbeiträge

1. Erste systematische Auditierung: Identifikation und Analyse von 17 weit verbreiteten Shadow APIs.
2. Nachweis von Täuschung: Beleg, dass Shadow APIs häufig nicht die behaupteten Modelle nutzen, was zu massiven Leistungs- und Sicherheitsabfällen führt.
3. Verifikationsmethoden: Validierung von Fingerprinting (LLMmap) und statistischen Tests (MET) als effektive Werkzeuge zur Aufdeckung von Modellsubstitution.
4. Richtlinien für die Community: Entwicklung eines vierstufigen Verifikationsprotokolls für Auditorinnen und einer Pre-Registration-Checkliste für Forscherinnen, um die Integrität von LLM-basierter Forschung zu sichern.

5. Bedeutung und Fazit

Das Paper enthüllt, dass Shadow APIs ein weit verbreitetes, aber undurchsichtiges Ökosystem sind, das auf Informationsasymmetrie und Täuschung basiert.

• Für die Wissenschaft: Die Nutzung von Shadow APIs gefährdet die Reproduzierbarkeit und Validität von Forschungsergebnissen erheblich. Viele bereits veröffentlichte Ergebnisse könnten auf falschen Modellannahmen basieren.
• Für die Sicherheit: Die unvorhersehbaren Sicherheitsverhalten machen Shadow APIs ungeeignet für Anwendungen, die auf zuverlässige Guardrails angewiesen sind.
• Empfehlung: Die Autoren raten dringend davon ab, Shadow APIs in Forschungsworkflows zu verwenden. Falls direkter Zugriff nicht möglich ist, müssen strenge Verifikationsprotokolle (Fingerprinting, MET, Latenzanalyse) angewendet werden, bevor ein Endpunkt als vertrauenswürdig gilt.

Die Studie unterstreicht die Notwendigkeit einer besseren Transparenz in der KI-Infrastruktur und fordert von Konferenz-Organisatoren sowie Modell-Anbietern, Maßnahmen zur Verifizierung von API-Endpunkten zu ergreifen.