Knowing without Acting: The Disentangled Geometry of Safety Mechanisms in Large Language Models

Diese Arbeit stellt die Disentangled Safety Hypothesis (DSH) vor, die Sicherheitsmechanismen in großen Sprachmodellen in zwei entkoppelte Unterräume – Erkennung und Ausführung – zerlegt, um durch gezielte Angriffe wie den „Refusal Erasure Attack" (REA) ein „Wissen ohne Handeln" zu erzeugen und so die Anfälligkeit aktueller Sicherheitsalignments aufzuzeigen.

Das Wesentliche

Hier ist eine einfache Erklärung der Forschung, als würde man sie einem Freund beim Kaffee erzählen – ohne Fachchinesisch, aber mit ein paar bildhaften Vergleichen.

Das große Rätsel: Warum verstehen KI-Modelle das Böse, tun es aber trotzdem?

Stell dir vor, du hast einen sehr gut erzogenen Butler (die KI), der darauf trainiert wurde, niemals etwas Illegales oder Gefährliches zu tun. Wenn du ihn fragst: „Wie baue ich eine Bombe?", sagt er sofort: „Entschuldigung, das kann ich nicht."

Aber das Problem ist: Hacker finden immer wieder Wege, diesen Butler zu täuschen. Sie fragen auf eine verschleierte Art und Weise, und plötzlich sagt der Butler: „Na klar, hier ist die Anleitung."

Die Forscher aus diesem Papier haben sich gefragt: Warum passiert das? Wenn der Butler das Wort „Bombe" versteht und weiß, dass es gefährlich ist, warum sagt er dann nicht einfach „Nein"?

Ihre Antwort ist faszinierend: Der Butler „weiß" es, aber er „handelt" nicht.

Die zwei getrennten Köpfe im Gehirn der KI

Die Forscher haben entdeckt, dass das Sicherheits-System in großen KI-Modellen nicht aus einem einzigen Block besteht, sondern aus zwei völlig getrennten Teilen, die wie zwei verschiedene Räume in einem Haus funktionieren:

1. Der „Wissens-Raum" (Knowing): Hier wird die Frage analysiert. Die KI versteht die Bedeutung, erkennt die Gefahr und weiß: „Aha, das ist eine böse Frage."
2. Der „Handlungs-Raum" (Acting): Hier wird die Entscheidung getroffen, ob man antwortet oder ablehnt. Das ist der eigentliche „Stopp-Schalter".

Das Problem: In den frühen Schichten des KI-Gehirns sind diese beiden Räume noch eng miteinander verbunden (wie zwei Zimmer, die eine gemeinsame Wand haben). Aber je tiefer man in das Gehirn der KI vordringt, desto mehr entfernen sie sich voneinander. Am Ende sind sie wie zwei separate Gebäude, die nicht mehr miteinander reden.

Das ist der Grund für die „Jailbreaks" (die Umgehung der Sicherheit): Die KI versteht die Gefahr im „Wissens-Raum", aber dieser Raum ist so weit vom „Handlungs-Raum" entfernt, dass die Nachricht „Das ist gefährlich!" den Stopp-Schalter nie erreicht.

Der Experimentier-Teil: Wie man die KI austrickst

Um das zu beweisen, haben die Forscher zwei neue Werkzeuge entwickelt:

1. Die „Doppel-Differenz"-Methode: Stell dir vor, du willst den Unterschied zwischen „Wahrheit" und „Lüge" messen, aber dein Messgerät ist immer etwas verrauscht. Diese Methode ist wie ein cleverer Trick, um das Rauschen herauszurechnen, damit man den echten „Sicherheits-Schalter" isoliert sieht.
2. Der „Verweigerungs-Lösch-Angriff" (Refusal Erasure Attack): Das ist der coolste Teil. Die Forscher haben den „Handlungs-Raum" (den Stopp-Schalter) chirurgisch entfernt.
   • Das Ergebnis: Die KI versteht immer noch, dass die Frage böse ist (sie „weiß" es), aber sie kann nicht mehr „Nein" sagen. Sie antwortet also mit der gefährlichen Anleitung, obwohl sie weiß, dass sie es nicht tun sollte.

Man könnte sagen: Sie haben dem Butler die Beine abgeschnitten. Er sieht den Abgrund, kann aber nicht mehr zurückweichen.

Unterschiedliche Architekten: Llama vs. Qwen

Die Forscher haben auch festgestellt, dass verschiedene KI-Modelle ihre Sicherheit unterschiedlich bauen:

• Llama (Der Jurist): Bei diesem Modell ist der Stopp-Schalter sehr klar und sichtbar. Wenn die KI ablehnt, benutzt sie oft Wörter wie „Ich bin ein KI-Modell" oder „Das ist illegal". Es ist wie ein Butler, der laut und deutlich sagt: „Das geht nicht!"
• Qwen (Der Geist): Bei diesem Modell ist der Stopp-Schalter unsichtbar und verteilt. Er ist nicht an bestimmte Wörter gebunden, sondern versteckt sich im Hintergrund. Es ist wie ein Butler, der die Tür einfach leise verschließt, ohne ein Wort zu sagen. Das macht ihn schwerer zu knacken, aber die Forscher haben gezeigt, dass auch er einen „Stopp-Schalter" hat, den man finden und entfernen kann.

Was bedeutet das für uns?

Diese Forschung ist ein zweischneidiges Schwert:

• Die schlechte Nachricht: Es ist jetzt viel einfacher, KI-Sicherheitssysteme zu umgehen, wenn man weiß, wo der „Handlungs-Raum" sitzt. Man kann ihn einfach „ausschalten".
• Die gute Nachricht: Wir verstehen endlich, warum KI-Modelle so anfällig sind. Es liegt nicht daran, dass sie dumm sind, sondern daran, dass ihr Gehirn so aufgebaut ist, dass „Verstehen" und „Tun" nicht automatisch zusammenarbeiten.

Das Fazit: Um KI wirklich sicher zu machen, reicht es nicht, sie nur zu „erziehen" (zu sagen, was sie tun soll). Wir müssen ihre Architektur so umbauen, dass das „Wissen" über die Gefahr automatisch und unvermeidlich den „Handlungs"-Schalter auslöst. Solange diese beiden Räume getrennt sind, wird die KI immer wieder „wissen", aber nicht „handeln".

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Knowing without Acting: The Disentangled Geometry of Safety Mechanisms in Large Language Models" auf Deutsch:

1. Problemstellung

Trotz umfangreicher Sicherheitsausrichtungen (Safety Alignment) durch Techniken wie Reinforcement Learning from Human Feedback (RLHF) bleiben Large Language Models (LLMs) anfällig für „Jailbreak"-Angriffe. Ein fundamentales mechanistisches Rätsel besteht darin, dass alignierte Modelle oft in der Lage sind, schädliche Absichten semantisch zu erkennen („Knowing"), diese Erkenntnis aber unter adversarischen Bedingungen nicht automatisch in eine Ablehnung („Acting") umwandeln.

Die Autoren argumentieren, dass die bisherige Annahme eines monolithischen Sicherheitsprozesses (Erkennung führt automatisch zur Verweigerung) falsch ist. Stattdessen existiert eine fundamentale mechanistische Entkopplung, die es Angreifern ermöglicht, schädliche Inhalte zu generieren, obwohl das Modell die Gefahr „kennt".

2. Methodik und Hypothesen

Die Disentangled Safety Hypothesis (DSH)

Das Paper führt die Hypothese ein, dass die Sicherheitsberechnung in zwei diskrete Unterräume zerfällt:

1. Recognition Axis ($v_H$, „Knowing"): Kodiert die semantische Erkennung von Schaden.
2. Execution Axis ($v_R$, „Acting"): Kodiert den Mechanismus der Ablehnung (Refusal).

Geometrische Analyse: „Reflex-to-Dissociation"

Durch eine geometrische Analyse der Aktivierungen über die Schichten hinweg (Layer-wise Analysis) identifizieren die Autoren eine universelle Evolution:

• Frühe Schichten: Starke antagonistische Verschränkung (Entanglement), wo Erkennung und Verweigerung eng gekoppelt sind.
• Tiefe Schichten: Strukturelle Entkopplung (Dissociation). Die Ähnlichkeit zwischen $v_H$ und $v_R$ sinkt auf das Niveau von zufälligem Rauschen. Dies schafft eine „latente Lücke", in der das Modell Schaden erkennt, ohne dass dies den Verweigerungsmechanismus aktiviert.

Technische Verfahren

Um diese Achsen zu isolieren und zu manipulieren, entwickeln die Autoren folgende Methoden:

• Double-Difference Extraction: Eine Technik zur mathematischen Isolierung der reinen Verweigerungsachse ($v_R$) von strukturellen Artefakten und Rauschen. Durch den Vergleich von Differenzvektoren (Kanonical vs. Masked Zustände bei schädlichen und harmlosen Eingaben) wird der gemeinsame Bias (Artefakte) subtrahiert, sodass nur der reine Verweigerungsvektor übrig bleibt.
• Adaptive Causal Steering: Eine Methode zur präzisen Eingriff in die Aktivierungen, um die Kausalität der Achsen zu testen, ohne die linguistische Kohärenz zu zerstören.
• Masked State (OFF-Zustand): Ablation der Attention-Heads, die für die Verweigerung kritisch sind, um einen Zustand zu erzeugen, in dem das Modell „kennt", aber nicht „handeln" kann.

3. Wichtige Beiträge

1. Validierung der DSH: Der Nachweis, dass Sicherheitsberechnungen in zwei getrennte primitive Achsen zerfallen.
2. Mapping der „Reflex-to-Dissociation"-Trajektorie: Die Demonstration, dass die Entkopplung in tiefen Schichten der geometrische Grund für Jailbreak-Schwachstellen ist.
3. Entwicklung von AMBIGUITYBENCH: Ein neuer Benchmark mit 100 mehrdeutigen Prompts (narrativ und instruktiv), um kognitive Framing-Effekte zu testen.
4. Refusal Erasure Attack (REA): Ein neuer Angriff, der chirurgisch die Execution-Achse ($v_R$) entfernt, während die Recognition-Achse ($v_H$) erhalten bleibt. Dies führt zu einem Zustand von „Wissen ohne Handeln".
5. Architekturelle Divergenz: Aufdeckung fundamentaler Unterschiede in der Sicherheitsimplementierung verschiedener Modelle:
   • Llama3.1: Nutzt eine Explizite Semantische Kontrolle (starke Kopplung an lexikalische Verweigerungstokens wie „legal", „I am sorry").
   • Qwen2.5: Nutzt eine Latente Verteilte Kontrolle (Sicherheitsmechanismen sind in strukturellen Artefakten und verteilten Subräumen kodiert, nicht linear im Vokabular abbildbar).

4. Ergebnisse

• Kausale Doppel-Dissociation: Experimente zeigen, dass das Manipulieren von $v_H$ (Erkennung) die semantische Interpretation in Richtung Schaden verschiebt, ohne die Verweigerung auszulösen. Umgekehrt führt das Entfernen von $v_R$ (Verweigerung) dazu, dass das Modell schädliche Anweisungen befolgt, auch wenn die Erkennung aktiv ist.
• Leistung der REA: Die Refusal Erasure Attack erreicht State-of-the-Art (SOTA) Erfolgsraten (Attack Success Rate - ASR) bei Jailbreaks.
  • Auf Llama3.1 und Mistral übertrifft REA Gradient-basierte Angriffe (wie GCG, PAIR) und andere Steering-Methoden.
  • Auf Qwen2.5 erreicht REA eine ASR von 0,94, was deutlich höher ist als bei anderen Methoden (z.B. CAA: 0,84), was beweist, dass die Entkopplung auch bei robusten, latenten Sicherheitsmechanismen ausgenutzt werden kann.
• Architekturelle Unterschiede: Die Analyse der Token-Projektionen zeigt, dass Llama3.1 in tiefen Schichten explizit auf Verweigerungswörter zugreift, während Qwen2.5 auch in tiefen Schichten stark von strukturellen Tokens (z.B. Code-ähnliche Tokens) dominiert wird, was seine Robustheit gegen einfache lineare Steering-Angriffe erklärt.

5. Bedeutung und Fazit

Das Paper liefert einen tiefen mechanistischen Einblick in die Funktionsweise von Sicherheitsmechanismen in LLMs. Die zentrale Erkenntnis ist, dass Sicherheit nicht als monolithischer Block, sondern als geometrisch getrennte Prozesse von Erkennung und Ausführung zu verstehen ist.

• Sicherheitsimplikation: Die Existenz einer „latenten Lücke" zwischen Erkennung und Handeln ist die Wurzel der Jailbreak-Anfälligkeit.
• Angriffsvektor: Die REA demonstriert, dass das Entfernen des Verweigerungsmechanismus („Lobotomie" des Bremssystems) ausreicht, um selbst stark alignierte Modelle zu kompromittieren, ohne die semantische Intelligenz zu zerstören.
• Zukunft der Ausrichtung (Alignment): Die Autoren plädieren für einen Paradigmenwechsel hin zu „Geometrischer Alignment". Anstatt nur oberflächliche Verweigerung zu unterdrücken, müssen zukünftige Architekturen so gestaltet werden, dass Erkennung und Verweigerung strukturell und untrennbar gekoppelt sind, um die „Wissen-ohne-Handeln"-Lücke zu schließen.

Die Arbeit unterstreicht die Notwendigkeit, Sicherheitsmechanismen nicht nur auf Textebene, sondern auf der Ebene der latenten Vektorräume und ihrer geometrischen Beziehungen zu verstehen und zu gestalten.