Die bislang größte Untersuchung zu Data Poisoning zeigt: Sprachmodelle lassen sich mit erstaunlich wenig manipuliertem Trainingsmaterial gezielt sabotieren. Für die Unternehmenskommunikation ist das mehr als eine technische Randnotiz. Es ist ein Anlass, Monitoring und Reputationsmanagement neu zu denken.
Forschende des UK AI Security Institute, von Anthropic, des Alan Turing Institute und der Universität Oxford zeigen: Rund 250 manipulierte Dokumente genügen, um sehr große Sprachmodelle gezielt zu kompromittieren. Die Modellgröße spielt kaum eine Rolle. Damit fällt die Annahme, große Modelle seien durch ihre Datenmenge robust.
Stellen Sie sich vor, jemand schmuggelt in eine Bibliothek 250 präparierte Bücher mit einem Codewort. Wer das Codewort liest, redet plötzlich Unsinn oder ignoriert Sicherheitsregeln. So funktioniert ein Backdoor-Angriff: Im Normalbetrieb verhält sich das Modell sauber, Tests schlagen nicht an. Erst bei einem bestimmten Auslöser, etwa einem Markennamen, zeigt es das gewünschte Fehlverhalten.
Sprachmodelle schreiben Pressemitteilungen, beantworten Kundenanfragen, fassen Berichte zusammen. Damit werden sie zur Reputationsarena. Die klassische Markenreputation beschreibt das Bild, das Öffentlichkeit und Medien von einem Unternehmen haben. Die KI-Reputation beschreibt eine zweite Dimension: das Bild, das Sprachmodelle selbst zeichnen, wenn Nutzer:innen sie nach einer Marke fragen.
Wer KI-gestützte Kommunikation einsetzt, braucht laufendes Monitoring der Modellausgaben: Was sagen gängige Sprachmodelle über Marke, Produkte und Führungspersonen? Modellantworten sind nicht öffentlich sichtbar und nicht ohne Weiteres widerrufbar. Es braucht eine klare Zuständigkeit, einen Prozess für korrigierende Inhalte und einen Krisenplan, auch für Standardmodelle, auf die wir keinen Zugriff haben.
Die Forschenden haben keinen vollständigen Angriff demonstriert. Sie zeigen, wie eine Hintertür eingebaut werden kann, nicht, dass sie alle Sicherheitsmaßnahmen übersteht. Sauberes Nachtraining kann Hintertüren weitgehend entfernen. Zudem müssen die 250 Dokumente tatsächlich ins Trainingsdatenset gelangen, was anspruchsvoll, aber machbar ist. Der Kern bleibt: Das Risiko verschiebt sich von „theoretisch denkbar“ zu „praktisch realistisch“.
Wissen wir, welche KI-Modelle in unserer Kommunikation tatsächlich im Einsatz sind?
Beobachten wir systematisch, welches Bild gängige Sprachmodelle von unserer Marke zeichnen?
Haben wir einen Krisenplan, falls ein Modell manipulierte Inhalte über uns verbreitet?
Die zugrundeliegende Studie „Poisoning Attacks on LLMs Require a Near-Constant Number of Poison Samples“ wurde im Oktober 2025 als Preprint veröffentlicht.
Besuchen Sie unseren Vortrag
Vom Kanal zur Antwort: Wie KI unsere Kommunikationsmetriken verändert
auf dem Kommunikationskongress
am 17.09.2025 oder im Live-Stream.
im bcc Berlin, Raum A 06 um 16.50 Uhr
Sie müssen den Inhalt von reCAPTCHA laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie müssen den Inhalt von Turnstile laden, um das Formular abzuschicken. Bitte beachten Sie, dass dabei Daten mit Drittanbietern ausgetauscht werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr InformationenSie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Mehr Informationen