Arbiter: Detecting Interference in LLM Agent System Prompts

Die Arbeit stellt Arbiter vor, ein Framework zur Erkennung von Interferenzmustern in Systemprompts von LLM-Coding-Agenten, das durch formale Regeln und Multi-Modell-Analysen bei drei großen Anbietern zahlreiche Schwachstellen aufdeckt und zeigt, dass die Prompt-Architektur die Fehlerklassen, nicht aber deren Schweregrad bestimmt.

Das Wesentliche

Stellen Sie sich vor, Sie stellen einen hochintelligenten, aber etwas verwirrten Assistenten ein, der für Sie programmieren soll. Damit dieser Assistent weiß, was er tun darf und was nicht, geben Sie ihm eine riesige Anleitung (einen sogenannten "System-Prompt"). Diese Anleitung ist wie eine Verfassung für den Roboter: Sie sagt ihm, wie er sich verhalten soll, welche Werkzeuge er benutzen darf und welche Regeln er einhalten muss.

Das Problem? Diese Anleitungen sind oft chaotisch, widersprüchlich und wurden von verschiedenen Teams geschrieben, ohne dass jemand sie auf logische Fehler geprüft hat. Es ist, als würde man einem Koch sagen: "Koche immer mit Salz!" und zwei Seiten später: "Verwende niemals Salz!", ohne dass der Koch merkt, dass er in eine Sackgasse läuft. Er entscheidet einfach intuitiv, was er gerade tut – und das kann schiefgehen.

Hier kommt Arbiter ins Spiel.

Was ist Arbiter?

Stellen Sie sich Arbiter wie einen super-scharfsinnigen Detektiv-Team vor, das keine eigene Meinung hat, sondern nur die Anleitung des Assistenten genau unter die Lupe nimmt. Das Team besteht aus zwei Arten von Ermittlern:

1. Die "Archäologen" (Gezielte Suche):
   Diese gehen die Anleitung Zeile für Zeile durch und suchen nach bekannten Mustern von Fehlern. Sie fragen sich: "Hey, steht hier 'Tun' und dort 'Nicht tun'?" oder "Sind diese beiden Abschnitte doppelt gemoppelt?". Sie sind wie ein Lektor, der nach Rechtschreibfehlern sucht, aber für logische Widersprüche.

2. Die "Entdecker" (Ungezielte Suche):
   Diese sind etwas verrückter. Sie bekommen den Auftrag: "Lies diese Anleitung einfach genau durch und sag mir, was dir komisch oder interessant vorkommt." Sie suchen nicht nach spezifischen Fehlern, sondern lassen sich von ihrer Intuition leiten. Das Besondere: Sie arbeiten mit verschiedenen KI-Modellen (wie Claude, Gemini, Codex). Ein Modell denkt vielleicht an Sicherheitslücken, ein anderes an Geldverschwendung, ein drittes an verwirrende Identitäten. So decken sie Dinge auf, die ein einzelner Prüfer nie gesehen hätte.

Was haben sie herausgefunden?

Die Forscher haben die Anleitungen von drei großen KI-Assistenten (von Anthropic, OpenAI und Google) untersucht und dabei drei verschiedene "Architektur-Typen" entdeckt, die jeweils zu unterschiedlichen Problemen führen:

• Der "Monolith" (Ein riesiger Block):

  • Vergleich: Ein riesiges, altes Haus, in dem jeder Raum von einer anderen Familie renoviert wurde, ohne dass sie miteinander gesprochen haben.
  • Problem: Da alles in einem einzigen riesigen Dokument steht, entstehen Widersprüche an den Grenzen zwischen den Abteilungen. Zum Beispiel sagt eine Abteilung: "Benutze immer diese Aufgabe-Liste!" und eine andere: "Benutze diese Liste NIEMALS beim Speichern von Code."
  • Ergebnis: Viele kleine, aber kritische Widersprüche.

• Der "Flache" (Einfach und kurz):

  • Vergleich: Eine einfache Checkliste auf einem Zettel.
  • Problem: Da die Anleitung so kurz ist, gibt es kaum Widersprüche. Aber dafür fehlt ihr auch die Tiefe. Sie ist konsistent, aber vielleicht zu simpel für komplexe Aufgaben.

• Der "Modulare" (Aus Bausteinen zusammengesetzt):

  • Vergleich: Ein Lego-Haus, bei dem jedes Teil perfekt funktioniert, aber die Verbindungen zwischen den Teilen nicht richtig geplant sind.
  • Problem: Die einzelnen Teile (Module) sind gut, aber wenn sie zusammengefügt werden, fallen Dinge durch das Raster.
  • Ein echtes Beispiel: Google hatte eine Anleitung, die sagte: "Speichere wichtige Erinnerungen des Benutzers." Aber eine andere Regel sagte: "Wenn der Speicher voll wird, komprimiere die Geschichte und lösche alles, was nicht im XML-Format steht." Da die "Erinnerungen" nicht im XML-Format waren, wurden sie automatisch gelöscht, sobald der Speicher voll wurde. Ein riesiger Fehler, der in den Verbindungen zwischen den Modulen lauerte.

Warum ist das wichtig?

Bisher haben die Firmen diese Anleitungen wie magische Zaubersprüche behandelt, die man einfach hinschreibt. Sie haben keine Tests gemacht, keine Fehlerlisten geführt und keine "Sicherheitschecks" durchgeführt.

Arbiter zeigt:

• Diese Anleitungen sind echte Software, die genauso viele Fehler haben kann wie ein normales Computerprogramm.
• Man braucht verschiedene Perspektiven (verschiedene KIs), um alle Fehler zu finden. Ein KI-Modell allein ist blind für bestimmte Fehlerarten.
• Es ist billig und einfach: Die gesamte Analyse aller drei großen Anbieter kostete insgesamt nur 27 Cent (weniger als drei Minuten Mindestlohn in den USA).

Das Fazit

Die Autoren sagen im Grunde: "Wir bauen hochkomplexe KI-Agenten, die Code schreiben und Dateien löschen, aber wir geben ihnen Anleitungen, die voller versteckter Fallen stecken, ohne sie jemals zu testen."

Arbiter ist der erste Schritt, um diese Anleitungen so professionell zu behandeln wie normale Software: mit Tests, mit Struktur und mit einem Team, das nach Fehlern sucht, bevor sie passieren. Es ist ein Aufruf, die "Verfassungen" unserer KI-Assistenten endlich ernst zu nehmen und zu prüfen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Arbiter: Detecting Interference in LLM Agent System Prompts" auf Deutsch:

1. Problemstellung

System-Prompts für LLM-basierte Coding-Agenten (wie Claude Code, Codex CLI, Gemini CLI) sind im Wesentlichen Software-Artefakte, die das Verhalten der Agenten steuern. Sie definieren Verhaltensregeln, Prioritäten, Tool-Verträge und Zustandsmanagement. Im Gegensatz zu herkömmlicher Software fehlt diesen Prompts jedoch eine Testinfrastruktur: Es gibt keine Typenprüfer, Linter oder Test-Suiten.

Das zentrale Problem ist, dass LLMs bei widersprüchlichen Anweisungen (z. B. „Verwende TodoWrite immer" vs. „Verwende TodoWrite niemals") diese Konflikte stillschweigend durch ihre eigene „Urteilsfähigkeit" auflösen, anstatt Fehler zu melden. Da das ausführende Modell selbst für die Konfliktlösung verantwortlich ist, kann es diese Konflikte nicht zuverlässig als solche erkennen. Dies führt zu inkonsistentem Agentenverhalten, das von der zufälligen Gewichtung der Modell-Heuristiken abhängt.

2. Methodik: Das Arbiter-Framework

Die Autoren stellen Arbiter vor, ein Framework zur Erkennung von Interferenzmustern in System-Prompts, das zwei komplementäre Evaluierungsphasen kombiniert:

A. Gerichtete Evaluation (Directed Evaluation) – „Prompt Archaeology"

Dieser Schritt ist regelbasiert und exhaustiv innerhalb eines definierten Suchrahmens:

1. Dekomposition: Der Prompt wird in Blöcke zerlegt und nach Kategorie (Identität, Sicherheit, Workflow), Modalität (Mandat, Verbot, Leitfaden) und Geltungsbereich klassifiziert.
2. Regelanwendung: Formale Regeln prüfen auf spezifische Interferenzarten (z. B. direkte Widersprüche zwischen Mandaten und Verboten, überlappende Geltungsbereiche, Prioritätsambiguitäten).
3. Filterung: Durch Vorfilterung (Scope-Überlappungen) wird der Suchraum drastisch reduziert, um nur relevante Block-Paare zu prüfen.
4. Ergebnis: Dieser Ansatz findet systematisch alle Instanzen bekannter Fehlerklassen (z. B. 21 Muster in Claude Code), ist aber blind für Fehlerklassen, für die keine Regel existiert.

B. Ungerichtete Durchsuchung (Undirected Scouring) – Multi-Model Scouring

Dieser Schritt füllt die Lücken der regelbasierten Analyse:

1. Design: Ein „Scourer"-Prompt gibt dem LLM vage Anweisungen („Lies dies sorgfältig und notiere, was interessant ist"), um es zu ermutigen, über den Rahmen bekannter Regeln hinauszublicken.
2. Multi-Pass & Multi-Model: Mehrere verschiedene LLMs (z. B. Claude, DeepSeek, Kimi, Llama, Grok) durchlaufen den Prompt nacheinander. Jeder Pass erhält die Ergebnisse der vorherigen Passes, um neue Gebiete zu erkunden.
3. Konvergenz-Kriterium: Die Suche endet, wenn drei aufeinanderfolgende Modelle keine neuen Erkenntnisse mehr melden.
4. Ziel: Nicht Konsens, sondern Komplementarität. Unterschiedliche Modelle bringen unterschiedliche analytische Verzerrungen (Bias) mit, die verschiedene Arten von Schwachstellen aufdecken.

C. Strukturelle Analyse (Prompt AST)

Ein Parser erstellt einen Abstract Syntax Tree (AST) des Prompts, um strukturelle Eigenschaften (Tiefe, Sektionen, Hierarchie) zu messen und Versionsänderungen präzise zu differenzieren, unabhängig von Textformatierungen.

3. Schlüsselbeiträge

• Taxonomie der Fehlermodi: Eine empirisch fundierte Klassifizierung von System-Prompt-Fehlern, die direkt mit der Prompt-Architektur korreliert.
• Methodik: Ein hybrides Analyseverfahren, das regelbasierte Exhaustivität mit der kreativen Entdeckungsfähigkeit multipler LLMs verbindet.
• Multi-Model-Erkenntnis: Der Nachweis, dass verschiedene Modelle kategorisch unterschiedliche Schwachstellenklassen entdecken (z. B. ökonomische Ausbeutung vs. strukturelle Widersprüche), was eine einzelne Modell-Analyse nicht leisten kann.
• Externe Validierung: Ein von Arbiter identifizierter Design-Fehler (Datenverlust in Gemini CLI) wurde unabhängig vom Hersteller bestätigt und gepatcht, obwohl der Root-Cause (Schema-Ebene) nicht vollständig behoben wurde.
• Kosteneffizienz: Die gesamte Analyse kostete nur 0,27 USD (API-Kosten), was weniger als drei Minuten Mindestlohnarbeit entspricht.

4. Ergebnisse und Analysen

Korrelation von Architektur und Fehlertyp

Die Studie analysierte drei Prompts (Claude Code: monolithisch, Codex CLI: flach, Gemini CLI: modular) und fand charakteristische Fehlermuster:

• Monolithisch (Claude Code): Fehler entstehen an den Grenzen von Subsystemen durch Wachstum („Growth-level bugs"). Beispiel: Ein generelles Mandat („Immer TodoWrite nutzen") kollidiert mit spezifischen Workflow-Verboten („Nie TodoWrite nutzen" bei Commits).
• Flach (Codex CLI): Weniger Fehler, da weniger Komplexität. Die gefundenen Probleme sind eher strukturelle Beobachtungen (z. B. Identitätsverwirrung, leere Sektionen) als operative Bugs.
• Modular (Gemini CLI): Fehler entstehen an den Nahtstellen der Module („Design-level bugs"). Beispiel: Ein Tool zum Speichern von Erinnerungen (save_memory) existiert, aber das Kompressions-Schema für den Kontext enthält kein Feld dafür, was zum strukturellen Verlust gespeicherter Daten führt.

Quantitative Ergebnisse

• Erkenntnisse: 152 Funde durch die ungerichtete Durchsuchung und 21 handgeprüfte Interferenzmuster (bei Claude Code).
• Schweregrad: Claude Code zeigte eine gleichmäßige Verteilung mit einem langen Schwanz an „beunruhigenden" (alarming) Befunden. Kleinere Prompts konzentrierten sich auf „bemerkenswerte" (notable) Befunde.
• Multi-Model-Komplementarität: Die Modelle entdeckten völlig unterschiedliche Kategorien von Problemen. Kein Modell war redundant; ihre Kombination deckte das gesamte Spektrum ab.

Validierung

Ein kritischer Befund bei Gemini CLI betraf den Verlust von save_memory-Daten bei der Kontextkomprimierung. Google patchte zwar einen damit verbundenen Symptom-Fehler (Endlosschleife), behielt aber das Schema bei, das den Datenverlust verursacht. Dies bestätigt die Notwendigkeit externer, struktureller Analysen.

5. Bedeutung und Fazit

Das Paper argumentiert, dass System-Prompts als Software-Artefakte behandelt werden müssen, die die gleichen Engineering-Infrastrukturen benötigen wie herkömmlicher Code (Linter, Tests, CI/CD).

• Conways Gesetz: Die Struktur des Prompts spiegelt die Struktur des Entwicklungsteams wider (z. B. widersprüchliche Subsysteme durch fehlende Integrationstests zwischen Teams).
• Beobachter-Paradoxon: Das ausführende Modell kann die Widersprüche nicht erkennen, da es dieselbe Heuristik nutzt, um sie zu „glätten". Externe, formale Evaluierung ist zwingend erforderlich.
• Zugänglichkeit: Die Analyse ist extrem kostengünstig und für jeden Entwickler mit API-Zugang durchführbar.

Fazit: System-Prompts sind die am wenigsten getesteten, aber folgenreichsten Software-Artefakte moderner KI-Systeme. Arbiter demonstriert, dass eine umfassende, cross-vendor Analyse durch eine Kombination aus regelbasierter Prüfung und multi-modaler Durchsuchung nicht nur möglich, sondern essenziell ist, um strukturelle Fehler zu finden, die sonst unsichtbar bleiben.