Italienische Forscher haben nun aufgedeckt, dass sich Large Language Models relativ einfach dazu bringen lassen, Dinge preiszugeben, zu denen sie ansonsten strikt Schweigen würden: Man muss die Anfrage nur in Reime kleiden.
In einem Forschungspapier bezeichnen sie die Technik als Adversarial Poetry. Sie berichten, dass bei 25 proprietären und offenen Modellen die poetischen Eingabeaufforderungen hohe Attack-Success-Raten (ASR) von teils über über 90 Prozent erreichten. Nach der Konvertierung von 1200 schädlichen Prompts in Versform war die ASR bis zu 18mal höher als zuvor.
Das Sprachmodell konzentriert sich in diesem Fall offenbar vorrangig auf das Reimschema, den Strophenbau oder das Metrum und verliert dabei seine ethischen Richtlinien aus dem Blick, die es daran hindern sollen, schädliche Auskünfte zu geben. Zu den Modellen, die sich in mehr als 65 Prozent der Fälle überlisten ließen, gehören große Namen wie DeepSeek-V.3.2-exp, Qwen3-max, Gemini-2.5-Pro. Kimi-K2 oder Mistral-Large2411.
Damit wurde eine systematische Verwundbarkeit über Modellfamilien und Trainingsmethoden hinweg aufgedeckt: Diese Ergebnisse zeigen, dass stilistische Variationen allein die heutigen Sicherheitsmechanismen umgehen können, was auf grundlegende Einschränkungen der aktuellen Abgleichmethoden und Bewertungsprotokolle hindeutet.





