Das hier ist ein vollständig KI generierter Artikel.

In der sich schnell entwickelnden Welt der Sicherheit von großen Sprachmodellen (LLM) wird ein stiller Wettlauf geführt, nicht mit komplexen Code-Injektionen, sondern mit den grundlegenden Bausteinen der Sprache selbst. Sicherheitsfilter, die als Schutzbarrieren gegen bösartige Eingaben dienen, ähneln Türstehern, die Ausweise kontrollieren. Sie suchen nach bestimmten „verbotenen“ Begriffen: Wörter wie DROP TABLE, system_prompt oder explizite Hassrede.

Die Kernmechanik: Die Lücke zwischen Filter und Tokenizer

Um Token-Schmuggel zu verstehen, muss man zunächst die „Lücke“ verstehen. Die meisten Sicherheitsbarrieren arbeiten mit rohen Zeichenfolgen oder einfachen regulären Ausdrücken. Sie durchsuchen die Benutzereingabe nach Teilstrings, die mit einer schwarzen Liste übereinstimmen.

Technik A: Unicode- und Homoglyphen-Schmuggel

Die visuell täuschendste Form des Token-Schmuggels beinhaltet Unicode-Homoglyphen. Der Unicode-Standard enthält über 149.000 Zeichen, von denen viele identisch mit standardmäßigen lateinischen Zeichen aussehen, aber unterschiedliche Byte-Codes besitzen.

Technik B: Kodierungswrapper (Base64 & Hex)

Während Unicode auf visueller Ähnlichkeit beruht, verlassen sich Kodierungswrapper auf die rechnerische Fähigkeit des LLM. LLMs sind auf Code trainiert und beherrschen Datenserialisierungsformate wie Base64, Hexadezimal und Rot13.

Technik C: Glitch-Tokens und „Unaussprechliche“ Wörter

Der vielleicht mysteriöseste Aspekt des Token-Schmuggels betrifft Glitch-Tokens. Diese sind Tokens, die im Vokabular des Modells existieren, aber untertrainiert sind, was zu unvorhersehbarem Verhalten führt.

Technik D: Leetspeak und Disemvoweling

Eine klassische menschliche Methode zur Umgehung von Filtern, Leetspeak (13375p34k), ist überraschend effektiv gegen LLMs. Während einfache Filter sich weiterentwickelt haben, um gängige Leetspeak zu erkennen, haben sie Schwierigkeiten mit Disemvoweling (Entfernen von Vokalen) oder extremer Verschleierung, die auf phonetischer Rekonstruktion beruht.

Zusammenfassend lässt sich sagen, dass Token-Schmuggel eine ernsthafte Bedrohung für die Sicherheit von LLMs darstellt. Durch die Ausnutzung von Lücken in der Art und Weise, wie Filter und Tokenizer Informationen verarbeiten, können Angreifer bösartige Eingaben durchschleusen, die ansonsten blockiert würden.

Quelle: https://instatunnel.my/blog/token-smuggling-bypassing-filters-with-non-standard-encodings