Anstatt eine Frage auf der Grundlage von Fachwissen zu beantworten, könnte ein LLM mit Hilfe von grammatikalischen Mustern reagieren, die es während des Trainings gelernt hat. Dies kann dazu führen, dass ein Modell bei der Anwendung auf neue Aufgaben unerwartet versagt.
Ein LLM könnte lernen, dass eine Frage wie „Wo liegt Paris?“(„Where is Paris located?“) wie folgt aufgebaut ist: Adverb/Verb/Eigenname/(Verb). Wenn das Modell eine neue Frage mit derselben grammatikalischen Struktur, aber unsinnigen Wörtern erhält, wie beispielsweise „Schnell sitzen Paris bewölkt?“ (“Quickly sit Paris clouded?”), könnte es mit „Frankreich“ antworten, obwohl diese Antwort keinen Sinn ergibt.
(Bild: MIT News; iStock)
Forschende am MIT fanden heraus, dass Modelle bestimmte Satzmuster fälschlicherweise mit bestimmten Themen verknüpfen können. Somit könnte das LLM eine überzeugende Antwort geben, indem es bekannte Formulierungen erkennt, und nicht, indem es die Frage versteht. Ihre Experimente zeigten, dass selbst die leistungsfähigsten LLMs diesen Fehler machen können.
Dieser Mangel könnte die Zuverlässigkeit von LLMs beeinträchtigen, die Aufgaben wie die Bearbeitung von Kundenanfragen, die Zusammenfassung von klinischen Notizen und die Erstellung von Finanzberichten übernehmen.
Dies könnte auch Sicherheitsrisiken mit sich bringen – ein böswilliger Akteur könnte dies ausnutzen, um LLMs dazu zu bringen, schädliche Inhalte zu produzieren, selbst wenn die Modelle über Sicherheitsvorkehrungen verfügen, um solche Antworten zu verhindern.
Wie abhängig ein LLM von falschen Korrelationen ist
Nachdem sie dieses Phänomen identifiziert und seine Auswirkungen untersucht hatten, entwickelten die Forschenden ein Benchmarking-Verfahren, um die Abhängigkeit eines Modells von diesen falschen Korrelationen zu bewerten. Das Verfahren könnte Entwicklern helfen, das Problem vor dem Einsatz von LLMs zu mindern.
„Dies ist ein Nebenprodukt der Art und Weise, wie wir Modelle trainieren. Aber Modelle werden heute in der Praxis in sicherheitskritischen Bereichen eingesetzt, die weit über die Aufgaben hinausgehen, die diese syntaktischen Fehlermodi verursacht haben. Wenn Sie als Endnutzer mit dem Training von Modellen nicht vertraut sind, ist dies wahrscheinlich unerwartet“, sagt Marzyeh Ghassemi, Associate Professor am MIT Department ofElectrical Engineering and Computer Science (EECS), Mitglied des Institute of Medical Engineering Sciences und des Laboratory for Information and Decision Systems sowie leitende Autorin der Studie.
Ghassemi wird in der Veröffentlichung von den Co-Autoren Chantal Shaib, Doktorandin an der Northeastern University und Gaststudentin am MIT, und VinithSuriyakumar, Doktorand am MIT, sowie Levent Sagun, Forschungswissenschaftler bei Meta, und Byron Wallace, Sy and Laurie Sternberg Interdisciplinary Associate Professor und stellvertretender Dekan für Forschung am Khoury College of Computer Sciences der Northeastern University, unterstützt. Die Arbeit wird auf der Konferenz über neuronale Informationsverarbeitungssysteme vorgestellt.
Festgefahren in der Syntax
LLMs werden anhand einer riesigen Menge an Text aus dem Internet trainiert. Dabei lernt das Modell, die Beziehungen zwischen Wörtern und Phrasen zu verstehen – Wissen, das es später bei der Beantwortung von Anfragen nutzt.
In früheren Arbeiten fanden die Forschenden heraus, dass LLMs Muster in den Wortarten erkennen, die in den Trainingsdaten häufig zusammen auftreten. Sie bezeichnen diese Wortartenmuster als „syntaktische Vorlagen”.
LLMs benötigen dieses Verständnis der Syntax zusammen mit semantischem Wissen, um Fragen in einem bestimmten Bereich beantworten zu können.
„Im Nachrichtenbereich gibt es beispielsweise einen bestimmten Schreibstil. Das Modell lernt also nicht nur die Semantik, sondern auch die zugrunde liegende Struktur, wie Sätze zusammengesetzt werden müssen, um einem bestimmten Stil für diesen Bereich zu entsprechen”, erklärt Shaib.
In dieser Studie stellten sie jedoch fest, dass LLMs lernen, diese syntaktischen Vorlagen mit bestimmten Bereichen zu verknüpfen. Das Modell stützt sich bei der Beantwortung von Fragen möglicherweise fälschlicherweise ausschließlich auf diese gelernte Verknüpfung und nicht auf das Verständnis der Anfrage und des Themas.
Beispielsweise könnte ein LLM lernen, dass eine Frage wie „Wo liegt Paris?“ wie folgt aufgebaut ist: Adverb/Verb/Eigenname. Wenn es in den Trainingsdaten des Modells viele Beispiele für diesen Satzbau gibt, könnte das LLM diese syntaktische Vorlage mit Fragen zu Ländern assoziieren.
LLM – mit riesigen Textmengen aus dem Internet trainiert.
Wenn das Modell also eine neue Frage mit derselben grammatikalischen Struktur, aber unsinnigen Wörtern erhält, wie beispielsweise „Schnell sitzen Paris bewölkt?“, könnte es mit „Frankreich“ antworten, obwohl diese Antwort keinen Sinn ergibt.
Stand: 16.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die WIN-Verlag GmbH & Co. KG, Chiemgaustraße 148, 81549 München einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://kontakt.vogel.de/de/win abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.
„Dies ist eine oft übersehene Art von Assoziation, die das Modell lernt, um Fragen richtig zu beantworten. Wir sollten nicht nur auf die Semantik, sondern auch auf die Syntax der Daten achten, die wir zum Trainieren unserer Modelle verwenden“, sagt Shaib.
Die Bedeutung übersehen
Die Forschenden testeten dieses Phänomen, indem sie synthetische Experimente entwarfen, bei denen nur eine syntaktische Vorlage in den Trainingsdaten des Modells für jeden Bereich vorkam. Sie testeten die Modelle, indem sie Wörter durch Synonyme, Antonyme oder zufällige Wörter ersetzten, aber die zugrunde liegende Syntax beibehielten.
In jedem Fall stellten sie fest, dass LLMs oft immer noch mit der richtigen Antwort reagierten, selbst wenn die Frage völliger Unsinn war. Als sie dieselbe Frage unter Verwendung eines neuen Wortartenmusters umstrukturierten, gaben die LLMs oft keine richtige Antwort, obwohl die zugrunde liegende Bedeutung der Frage dieselbe geblieben war.
Sie verwendeten diesen Ansatz, um vortrainierte LLMs wie GPT-4 und Llama zu testen, und stellten fest, dass dieses erlernte Verhalten ihre Leistung erheblich beeinträchtigte.
Neugierig auf die weiterreichenden Auswirkungen dieser Erkenntnisse untersuchten die Forschenden, ob jemand dieses Phänomen ausnutzen könnte, um schädliche Antworten von einem LLM zu erhalten, das bewusst darauf trainiert wurde, solche Anfragen abzulehnen.
Sie fanden heraus, dass sie das Modell dazu bringen konnten, seine Ablehnungsrichtlinie zu umgehen und schädliche Inhalte zu generieren, indem sie die Frage unter Verwendung einer syntaktischen Vorlage formulierten, die das Modell mit einem „sicheren” Datensatz (einem Datensatz, der keine schädlichen Informationen enthält) assoziiert.
Robustere Abwehrmaßnahmen notwendig
„Aus dieser Arbeit geht für mich klar hervor, dass wir robustere Abwehrmaßnahmen benötigen, um Sicherheitslücken in LLMs zu schließen. In diesem Artikel haben wir eine neue Schwachstelle identifiziert, die aufgrund der Art und Weise entsteht, wie LLMs lernen. Wir müssen also neue Abwehrmaßnahmen entwickeln, die auf der Art und Weise basieren, wie LLMs Sprache lernen, anstatt nur Ad-hoc-Lösungen für verschiedene Schwachstellen zu finden”, sagt Suriyakumar.
Die Forschenden haben in dieser Arbeit zwar keine Strategien zur Risikominderung untersucht, aber sie haben eine automatische Benchmarking-Technik entwickelt, mit der man die Abhängigkeit eines LLM von dieser falschen Korrelation zwischen Syntax und Domäne bewerten kann. Dieser neue Test könnte Entwicklern helfen, diese Schwachstelle in ihren Modellen proaktiv zu beheben, Sicherheitsrisiken zu reduzieren und die Leistung zu verbessern.
Strategien, um Risiken zu mindern
In Zukunft möchten die Forschenden mögliche Strategien zur Risikominderung untersuchen, darunter die Erweiterung der Trainingsdaten, um eine größere Vielfalt an syntaktischen Vorlagen bereitzustellen. Außerdem interessieren sie sich dafür, dieses Phänomen in Schlussfolgerungsmodellen zu untersuchen, speziellen Arten von LLMs, die für mehrstufige Aufgaben entwickelt wurden.
„Ich halte dies für einen wirklich kreativen Ansatz, um Fehlermodi von LLMs zu untersuchen. Diese Arbeit unterstreicht die Bedeutung von Sprachkenntnissen und -analysen in der LLM-Sicherheitsforschung, ein Aspekt, der bisher nicht im Mittelpunkt stand, aber eindeutig im Mittelpunkt stehen sollte“, sagt Jessy Li, Associate Professor an der University of Texas in Austin, die nicht an dieser Arbeit beteiligt war.
Diese Arbeit wird teilweise durch ein Bridgewater AIA Labs Fellowship, die National Science Foundation, die Gordon and Betty Moore Foundation, einen Google Research Award und Schmidt Sciences finanziert.
Artikel: „Learning the Wrong Lessons: Syntactic-Domain Spurious Correlations in Language Models” (Falsche Lehren ziehen: Syntaktisch-domänenbezogene Scheinkorrelationen in Sprachmodellen)
:quality(80)/p7i.vogel.de/wcms/b3/69/b3694f35b167cc64badeea44438b79b1/paderborn-e-motoren-3d-druck-01-27-2026-01-3000x1687v1.jpeg "Das AddReMo-Team beim Kick-off-Meeting an der Universität Paderborn. (Bild: Universität Paderborn, Johanna Pietsch)")
:quality(80)/p7i.vogel.de/wcms/30/06/3006c72dd1eeacbcc13ee47442fe22f0/ace-20innovace2026-20aufmacher-8-2c5cm-x-4cm-839x472v1.jpeg "Studentenwettbewerb Innovace von ACE (Bild: ACE Stoßdämpfer GmbH)")
:quality(80)/p7i.vogel.de/wcms/05/ab/05abe6c269bb2119917695e0e7638686/mitsubishi-20multi-agenten-ki-01-20-2026-01-1767x995v1.jpeg "(Bild: Mitsubishi Electric)")
:quality(80)/p7i.vogel.de/wcms/1f/09/1f09220a81bbe63479b223eb74723b42/revalize-partnerprogramm-tippapatt-01-19-2026-01-2997x1687v1.jpeg "Symbolbild. (Bild: © tippapatt/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/a6/d9/a6d91ba9fa8ab11f771b96796e94e37b/ringspann-geh-c3-a4usefreil-c3-a4ufe-01-01-12-2026-01-3640x2049v1.jpeg "Hohe Drehzahlen und verschleißfreier Leerlauf: Konstruktiver Schlüsselfaktor der neuen FHHS-Gehäusefreiläufe ist die hydrodynamische Klemmrollenabhebung, bei der die Abhebekraft durch einen im Lager des Freilaufs geführten Ölstrahl erzeugt wird. (Bild: Ringspann GmbH)")
:quality(80)/p7i.vogel.de/wcms/7f/c6/7fc6547a23946e326ee4f1f0cafa110a/siemens-didialtwincomposer-01-07-2026-01-1280x719v1.jpeg "Der Digital Twin Composer von Siemens erstellt industrielle Metaverse-Umgebungen in großem Maßstab. (Bild: Siemens)")
:quality(80)/p7i.vogel.de/wcms/bb/ff/bbffd89f72a1f367a68ec0bbd9bf9a94/luft-raumfahrt-grl-andrey-20popov-1576883584-2811x1582v1.jpeg "Symbolbild. (Bild: © Andrey Popov/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/99/01/99013d36d6a1a4d6998c15e1e1e2a36a/adobestock-1325405458-5760x3238v1.jpeg "Datengrundlagen, Schnittstellen zwischen Planung und Controlling sowie Prozesse neu denken. (Bild: AdobeStock/AndiAzis)")
:quality(80)/p7i.vogel.de/wcms/ad/2d/ad2d6ae5e023dcfffb245544095d0f7d/contelos-intergeo2025-08-18-2025-01-3000x1687v1.jpeg "Symbolbild. (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/9e/55/9e55e665d8208b9ee44af7c6c13f8abb/esri-autodesk-20forma-06-26-2025-01-3000x1687v1.jpeg "Symbolbild: GIS-Anwendungen (Bild: © Harsha/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d2/ee/d2eefe0d4d9078a999604f8281dabcfb/kisters-03-12-2025-02-1920x1079v1.jpeg "Kisters 3DViewStation: verbesserte Effizienz durch optimierte Bedienoberfläche (Bild: Kisters AG)")
:quality(80)/p7i.vogel.de/wcms/f7/45/f7454052991ae716899b1aa3c6bf974d/chaos-veras-09-22-2025-01-1920x1079v1.jpeg "(Bild: Chaos)")
:quality(80)/p7i.vogel.de/wcms/0b/81/0b81b4e28e1260b17fd4475cc46eebd0/autodesk-au-forma-20connected-20clients-09-17-2025-01-1374x773v1.jpeg "Als Forma Connected Client können Revit-Anwender die Cloud-Funktionen von Forma nutzen, ohne ihre Desktop-Umgebung zu verlassen. (Bild: Autodesk)")
:quality(80)/p7i.vogel.de/wcms/5b/66/5b66156c8b5decace903f25150a0dcea/revalize-umfrage-20lieferketten-09-16-2025-02-9763x5487v1.jpeg "Symbolbild. (Bild: © Travel mania/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0f/33/0f338f76e17bc7bea4f85a4ed3345520/stratasys-partnerprogrammv1.jpeg "Von links: Industrieller 3D-Drucker Stratasys F900 und automatisiertes FDM-Stützentfernungssystem PostProcess BASE. (Bild: Stratasys)")
:quality(80)/p7i.vogel.de/wcms/12/32/1232b111957785097e70743a5fd135e2/hzdr-elektroschrott-recycling-01-15-2026-01v1.jpeg "Das Sprind-Team WEEEefficient: Emma Pustlauk, Ali Hassan (oben), Himanshu Kachroo (unten), Lakshmi Kanth Viswamsetty, Zahra Nourizenouz und Dominic Illing (v.l.n.r.) (Bild: SPRIND/HDZR (Fotomontage KI-generiert))")
:quality(80)/p7i.vogel.de/wcms/62/5e/625e7f7089bcf9c8b7981ae7ad86119b/misumi-meviy-international-20economy-01-14-2026-01-1920x1079v1.jpeg "(Bild: Misumi)")
:quality(80)/p7i.vogel.de/wcms/b0/07/b007cbbe38750a6448d8592f2138aae4/neural-20concept-ces-2026-symbolbild-urupong-01-12-2026-01-3000x1687v1.jpeg "Symbolbild. (Bild: © Urupong/stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/05/f9/05f92cad02fa2e6340140d110c8eb3e2/hp-20zgx-20nano-20g1n-20ai-20station-20front-3000x1687v1.png "HP ZGX Nano ist nun in Deutschland verfügbar. (Bild: HP)")
:quality(80)/p7i.vogel.de/wcms/82/f4/82f436f34a96c9bf2e9dc495beca97b9/comsol-6-4-01-11-20-2025-01-1920x1079v1.jpeg "Akustiksimulationen in Innenräumen, wie die hier gezeigte Simulation einer Fahrzeugkabine, profitieren von der GPU-Beschleunigung durch Nvidia in Version 6.4. Dadurch sind schnellere und skalierbarere Analysen möglich. (Bild: Comsol Multiphysics GmbH)")
:quality(80)/p7i.vogel.de/wcms/3e/07/3e078c3466d132c4194edd5ec46c3ef2/hm25-13-000704-4000x2250v1.jpeg "(Bild: Deutsche Messe AG)")
:quality(80)/p7i.vogel.de/wcms/ef/68/ef68cf62fcc009cb9ea0f1c7c199036d/ametek-faro-05-07-2025-01-3558x2003v1.jpeg "Symbolbild. (Bild: © oatawa/stock.adobe.com))")
:quality(80)/p7i.vogel.de/wcms/a2/ed/a2edd36aa63944662bf65c6500e93144/dyemansion-20asm-10-27-2025-01-3413x1918v1.jpeg "Philipp Ziegler (Co-Founder, ASM und jetzt Global Product & Market Manager VX1 bei DyeMansion), Felix Ewald (CEO & CO-Founder, DyeMansion), Dr. Jakob Neuhäuser (ehemaliger CEO, ASM) und Philipp Kramer (CTO & Co-Founder, DyeMansion) mit der VX1. (Bild: Dyemansion)")
:quality(80)/p7i.vogel.de/wcms/c0/cf/c0cfa4401f981f4b03aa1fbb092a7a41/visualcomponents-omniverse-screencap1-1920x1079v1.jpeg "Das neue Visual Components Omni Experience Add-on bietet Herstellern und Systemintegratoren fotorealistische Echtzeit-Visualisierungen in einem integrierten Viewport. (Bild: Visual Components)")
:quality(80)/p7i.vogel.de/wcms/b6/d5/b6d55bdbbe36dc6f1e33b293226b127b/moblurf-09-19-2025-01-1456x818v1.jpeg "Forschende haben MoBluRF entwickelt: ein zweistufiges Framework, das die Erstellung genauer, scharfer 4D-NeRFs (dynamisches 3D) aus unscharfen Videos ermöglicht, die mit alltäglichen Handheld-Geräten aufgenommen wurden. (Bild: Chung-Ang University)")
:quality(80)/p7i.vogel.de/wcms/1a/b7/1ab75c184a78d2cdaa605b61721c9a48/reichelt-20elektronik-reinwald-08-06-2025-01-3000x1687v1.jpeg "Christian Reinwald, Head of Product Management & Marketing bei Reichelt Elektronik. (Bild: Reichelt Elektronik)")
:fill(fff,0)/p7i.vogel.de/companies/65/b8/65b8f9763e6fb/logo-heidrive-amot-final-rgb-300x88.jpeg "logo-heidrive-amot-final-rgb-300x88 (Heidrive GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/bd/6f/bd6f5fbab1fd00c81ba4f16d4fa8cca9/mathworks-engineeringtrends-01-13-2026-01-2997x1687v1.jpeg "KI-Agenten können auf Dateisysteme und Datenbanken zugreifen, um Aufgaben mithilfe geeigneter Tools entsprechend von Anforderungen des Nutzers zu automatisieren. (Bild: MathWorks)")
:quality(80)/p7i.vogel.de/wcms/b4/70/b470cbce18934b8623b04a09d76a69af/sandia-hot-material-scaled-2560x1440v1.jpeg "Die Ingenieure Elijah Jans (rechts) und John Murray von den Sandia National Laboratories testen ein Material für ein Wärmeschutzsystem in einem induktiv gekoppelten Plasmabrenner. Materialien wie dieses schützen Hyperschallfahrzeuge vor der intensiven Hitze, die bei Geschwindigkeiten von mehr als 3'800 Meilen pro Stunde entsteht. (Bild: Craig Fritz)")