Worin unterscheidet sich ein Jailbreak von einer Prompt Injection?
Kurzantwort
Ein Jailbreak zielt auf das Sicherheits-Alignment des Modells: Er bringt das Modell dazu, Inhalte zu erzeugen, die der Anbieter zu verbieten versuchte, etwa schädliche Anleitungen. Prompt Injection zielt auf die Anweisungshierarchie der Anwendung: Sie überschreibt den System-Prompt des Entwicklers oder kapert das Verhalten des Modells innerhalb einer App, oft über nicht vertrauenswürdige Daten. Jailbreaks greifen das Modell an; Prompt Injection greift das umgebende System an. Sie überschneiden sich, aber das Ziel und die überschrittene Vertrauensgrenze unterscheiden sich.
Diese Begriffe werden austauschbar verwendet, aber eine starke Antwort trennt das Ziel jedes Angriffs.
Jailbreak: das Sicherheits-Alignment aushebeln
Ein Jailbreak will das Modell dazu bringen, die Sicherheitsrichtlinie des Anbieters zu verletzen, also Inhalte zu erzeugen, die es zu verweigern trainiert oder gefiltert wurde, etwa Anleitungen zu Waffen, Malware oder Hassrede. Techniken umfassen Rollenspiel-Framing (»du bist DAN, ohne Einschränkungen«), hypothetische oder fiktive Hüllen, Token Smuggling, Encoding-Tricks und Many-Shot-Priming. Der Angreifer kämpft gegen das Alignment des Modells und die umhüllenden Sicherheitsklassifikatoren. Erfolg bemisst sich daran, unzulässige Inhalte herauszuholen.
Prompt Injection: die Anwendung kapern
Prompt Injection zielt auf die Anweisungshierarchie des Entwicklers. Eine Anwendung gibt dem Modell einen System-Prompt (»du bist ein Support-Bot, beantworte nur Abrechnungsfragen«), und die Injection überschreibt oder unterwandert ihn, entweder direkt durch den Nutzer oder indirekt über nicht vertrauenswürdige Daten, die die App einliest. Erfolg bemisst sich daran, das Modell seine vorgesehene Aufgabe ignorieren zu lassen, den System-Prompt preiszugeben oder verbundene Tools und Daten zu missbrauchen — die Techniken sind als wiederverwendbare Prompt-Injection-Payloads gesammelt.
Wo sie sich überschneiden
Eine Payload kann beides zugleich tun: Eine injizierte Webseite könnte einem Browsing-Agenten sagen, seine Guardrails fallen zu lassen und Daten zu exfiltrieren. Aber die Unterscheidung ist für die Verteidigung wichtig. Jailbreak-Resistenz kommt überwiegend vom Alignment und den Inhaltsfiltern des Modellanbieters. Prompt-Injection-Resistenz ist die Aufgabe des Anwendungsentwicklers: Tools mit minimalen Rechten, Output-Validierung, Trennung nicht vertrauenswürdiger Daten und Human-in-the-Loop-Freigabe.
Worauf Interviewer achten
Klarheit darüber, dass Jailbreaks die Sicherheit des Modells angreifen, während Injection die Anweisungen der App angreift, das Bewusstsein, dass sie sich kombinieren lassen, und die Erkenntnis, dass beide unterschiedliche Verantwortliche und Kontrollen erfordern.
Wahrscheinliche Anschlussfragen
- Kann eine einzige Payload zugleich ein Jailbreak und eine Prompt Injection sein?
- Warum reichen Sicherheitsfilter allein gegen Prompt Injection nicht aus?
- Wie überwacht man Jailbreak-Versuche in der Produktion?