![\"\"](\"https:\/\/homeworkyep.com\/wp-content\/uploads\/2025\/06\/prompt-300x300.webp\")
<\/h2>\n<\/h2>\nDer Lebenslauf von Sander Schulhoff l\u00e4sst sich mit einer Landkarte der Disziplin selbst vergleichen: Autor des ersten offenen Handbuchs zum Prompt-Engineering (Monate vor ChatGPT), Entwickler einer Meta-Analyse mit 1.500 Artikeln in Zusammenarbeit mit f\u00fcnf Big-Tech-Labors und Designer von HackAPrompt, der weltweit gr\u00f6\u00dften Red-Teaming-Arena. Bis Mitte 2025 wurden bereits \u00fcber 600.000 Jailbreak-Versuche in 92 L\u00e4ndern verzeichnet, was Schulhoff in eine vorteilhafte Position versetzt, wenn es darum geht, aus erster Hand zu erfahren, wie schnell sich Abwehrma\u00dfnahmen und Exploits \u00e4ndern. Ich hatte das Gl\u00fcck, einer Live-Demonstration beizuwohnen, bei der er einen harmlos aussehenden Flugbuchungsagenten vorf\u00fchrte, der mit weniger als drei Zeilen Code umgeleitet wurde, um Kreditkartennummern zu stehlen \u2013 eine dem\u00fctigende Erfahrung f\u00fcr alle Anwesenden.<\/p>\n
Wenn man zehn Praktiker nach den besten Methoden f\u00fcr Prompts fragt, erh\u00e4lt man mehr als zw\u00f6lf m\u00f6gliche Antworten, obwohl sich im Laufe der Jahre f\u00fcnf in der peer-reviewten Literatur herauskristallisiert haben (2024 NeurIPS Survey):<\/p>\n
In Kombination beschreiben diese eine mittlere Verbesserung der Benchmark-Korrektur um 31\u00a0% in 58\u00a0Tests. Diese Zahl verbirgt jedoch gro\u00dfe Schwankungen: Opinion Mining stieg nur um 2\u00a0Punkte (Schulhoff, 2024), w\u00e4hrend die medizinische Kodierung um nicht weniger als 90\u00a0Punkte zulegte. Die Moral von der Geschichte? Die Wahl der Techniken sollte sich nach den Aufgaben richten, nicht nach Trends.<\/p>\n
Das Beispiel \u201eSie sind ein Harvard-Professor\u201c war fr\u00fcher ein g\u00e4ngiger Cheat-Code. Die Ergebnisse eines gro\u00df angelegten Experiments der Stanford University zeigen nun, dass Rollensignale den Tonfall st\u00e4rker beeinflussen als die Wahrhaftigkeit und die wahrgenommene Eloquenz um 17\u00a0% und die Faktizit\u00e4t um 2\u00a0% erh\u00f6hen (2023 Stanford HCI Lab). F\u00e4lle von Drohungen sind noch schlimmer (Antworte oder ich sperre dich) und f\u00fchren manchmal zu einer Kettenreaktion von Ablehnungen. Praktiker geben stattdessen Anweisungen, die das Modell w\u00f6rtlich befolgen kann, wie z.\u00a0B. Vokabellisten f\u00fcr bestimmte Bereiche, Zitierformate oder Schritt-f\u00fcr-Schritt-Rubriken.<\/p>\n
Es gibt zwei Ebenen, die den Einsatz moderner LLMs steuern: vor\u00fcbergehende Chat-Eingabeaufforderungen und f\u00fcr Endbenutzer unsichtbare fest verdrahtete Produkt-Eingabeaufforderungen. Erstere bieten sofortige Feedback-Zyklen, w\u00e4hrend letztere in Stapeln verarbeitet werden und unbegrenzt skalierbar sind, sogar millionenfach pro Stunde. Behandeln Sie die Systemebene wie Produktionscode: Versionskontrolle, Unit-Tests und \u00dcberwachung der Abweichungen. Das Fintech-Unternehmen Schulhoff reduzierte seine Compliance-Fehler um 14\u00a0% auf 1,3\u00a0%, nachdem es Code-Review-Rituale f\u00fcr Prompts eingef\u00fchrt hatte (Audit Q1\u00a02025).<\/p>\n
Social Engineering von Maschinen ist Injektion. Angreifer hacken sich mit solchen Anweisungen ein, die die undokumentierten Befehle eines Systems unterdr\u00fccken, indem sie Folgendes versuchen:<\/p>\n
Ein solcher Druck f\u00fchrte laut einer Studie des MIT aus dem Jahr\u00a02025 dazu, dass 38\u00a0% der getesteten Unternehmens-Bots private Informationen preisgaben. Die Ma\u00dfnahmen beginnen mit Sandboxing-Ausgaben und reichen bis hin zum Ensemble-Policing-Paradigma, aber selbst OpenAI r\u00e4umt ein, dass es keine solche Wunderwaffe gibt.<\/p>\n
Stellt man ein LLM auf vier Beine oder andere praktischere Roboterarme, wird der Explosionsradius noch gr\u00f6\u00dfer. Cobots in Lagerh\u00e4usern lesen jetzt Arbeitsauftr\u00e4ge in nat\u00fcrlicher Sprache; die Kollisionsvermeidung von Cobots kann jedoch nicht verhindern, dass eine fehlerhafte Anweisung eine 500\u00a0kg schwere Palette in den Weg von Menschen schickt. Die wichtigste Erkenntnis aus Robotik-Experimenten an der ETH Z\u00fcrich (2024) war, dass 12\u00a0% der Textbefehle, die harmlos aussahen, zu einer unsicheren Bewegungsbahn f\u00fchrten, bis die Gruppe eine mehrschichtige Absichts\u00fcberpr\u00fcfung implementierte. Ungeachtet dessen, dass physische Akteure als sicherheitskritischer Bereich und nicht als IT-Bereich Gegenstand sofortiger Sicherheitsma\u00dfnahmen sind.<\/p>\n
Im Jahr\u00a02025 f\u00fchren Red-Teamer keine Pen-Tests von Netzwerken mehr durch, sondern \u00fcberlisten Sprachmodelle. Der von Schulhoff vorgeschlagene dreistufige Plan sieht wie folgt aus:<\/p>\n
Bootcamps tauchen auf Maven und Coursera auf, und die HackAPrompt-Rangliste bietet einen Pr\u00fcfstein, den Arbeitgeber tats\u00e4chlich nutzen, um ihre Kandidaten zu finden.<\/p>\n
Benutzerfreundlichkeit und Sicherheitskontrollen sind nicht gut miteinander vereinbar, aber f\u00fcnf Sicherheitskontrollen haben sich in Feldversuchen (2025 Gartner Pulse) als reibungslos und sehr lohnenswert erwiesen:<\/p>\n
Unternehmen, die Ma\u00dfnahmen zur Reduzierung der Vorf\u00e4lle um 42\u00a0% gegen\u00fcber dem Vorquartal ergriffen haben, waren bereit, mindestens drei davon umzusetzen.<\/p>\n
Einst nur ein Parlortrick, fungieren Prompt-Texte heute wie Konfigurationsdateien oder sogar wie rechtliche Klauseln: Kleine Fehler reproduzieren sich in der Cloud. Im Mai\u00a02024 stufete ein Chatbot einer Privatkundenbank den Satz \u201eIch m\u00f6chte ein Konto schlie\u00dfen\u201d f\u00e4lschlicherweise als Betrugswarnung ein und sperrte automatisch 9.000\u00a0Karten. Behandeln Sie Get- und Put-Prompts wie jede andere Infrastrukturkomponente, \u00fcberwachen und testen Sie sie mit AB-Tests und rollen Sie sie bei Fehlern zur\u00fcck, genau wie bei Microservices.<\/p>\n
Optimierungen, die die Konversation f\u00fcr einen bestimmten Benutzer angenehm machen, k\u00f6nnen bei gleichzeitiger Nutzung durch viele Benutzer zu Problemen f\u00fchren. Latenz verst\u00e4rkt die Token-Aufbl\u00e4hung: Bei 100\u00a0Dollar pro Wort Kontext kostet der Aufruf von Flaggschiff-APIs f\u00fcr hundert W\u00f6rter mehr als einen Cent \u2013 ein Rundungsfehler, bis man eine Milliarde Aufrufe hat. Dies f\u00fchrte dazu, dass Dropbox die L\u00e4nge der Eingabeaufforderungen durch aggressive Variablenersetzung um 37\u00a0% reduzierte, was sch\u00e4tzungsweise 2,6\u00a0Millionen pro Jahr einsparen wird (Einsparungsbericht\u00a02025).<\/p>\n
Few-Shot-Prompting eignet sich besonders f\u00fcr Bereiche mit klaren und begrenzten Beschriftungsr\u00e4umen. Betrachten wir einmal einen Sprung in der medizinischen Kodierung nach ICD-10:<\/p>\n
| Genauigkeit (Top-1)<\/th>\n | Konfiguration<\/th>\n | Tokens pro Aufruf<\/th>\n<\/tr>\n<\/thead>\n |
|---|---|---|
| Zero-Shot<\/td>\n | 12\u00a0%<\/td>\n | 340<\/td>\n<\/tr>\n |
| 3-Shot<\/td>\n | 71\u00a0%<\/td>\n | 410<\/td>\n<\/tr>\n |
| 5-Shots & Rubrik<\/td>\n | 92\u00a0%<\/td>\n | 480<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n Der Sweet Spot ist ein Kompromiss zwischen der Breite der Beispiele und den Kosten f\u00fcr den Kontext; ab f\u00fcnf Beispielen nehmen die Vorteile ab und die Latenzzeit nimmt zu.<\/p>\n H\u00f6ren Sie auf zu f\u00e4lschen; belegen Sie es<\/h2>\nAnstatt sich als Experte aufzuspielen, sollten Sie dem Modell Referenzen in Expertenqualit\u00e4t zur Verf\u00fcgung stellen. Die Einbindung eines Mini-Korpus mit Ausz\u00fcgen aus IPCC-Berichten erh\u00f6hte die faktische \u00dcbereinstimmung um 28\u00a0% (2025 PolicyLLM Study)). Governance basiert auf Inhalten, nicht auf Einheitlichkeit.<\/p>\n Das Modell laut denken lassen Zerlegung & Selbstkritik<\/h2>\nVon den logischen Fehlschl\u00fcssen konnte einer fast um die H\u00e4lfte reduziert werden, wenn das Modell Aufgaben vor der Antwort in Teilaufgaben zerlegt (Google DeepMind, 2024). Darauf kann ein Schritt der Selbstkritik folgen, z.\u00a0B. indem sichergestellt wird, dass die Antwort auf Fehler \u00fcberpr\u00fcft wird, wodurch weitere 9\u00a0% reduziert werden k\u00f6nnen. Zusammen simulieren sie eine Code\u00fcberpr\u00fcfung, jedoch im Rahmen des Modellierungsraums des Modells.<\/p>\n Kontextfenster sind kostbar \u2013 nutzen Sie sie sparsam<\/h2>\nMit den derzeit auf dem Markt erh\u00e4ltlichen 256-k-Token-Modellen ist es ein Leichtes, alles unterzubringen. Wie jedoch Experimente mit erweiterter Suche an der Princeton University zeigen, verschlechtert irrelevanter F\u00fcllstoff die Genauigkeit schneller als ein leerer Kontext. Entwerfen Sie hierarchische Eingabeaufforderungen: Zweckangabe > Anweisung > wichtige Informationen > Formatierungsregeln. Das w\u00e4re vergleichbar mit dem Layout einer Zeitung, bei dem die Schlagzeilen auf der Titelseite Erl\u00e4uterungen enthalten.<\/p>\n Die Leitplanken der Vernunft sind Siebe<\/h2>\nKriterien in einer Liste von Verboten sind selten zuverl\u00e4ssig, um Verschleierung zu verhindern. Angreifer drehen Text um (z.\u00a0B. \u201e\u029e u\u028dop \u026f\u0250\u0279lette\u201d) oder f\u00fcgen verschachtelte Eingabeaufforderungen ein, die \u00fcber die Token-Grenze hinausgehen. Auf der DEF\u00a0CON\u00a033 r\u00e4umte Sam Altman ein, dass Live-Angriffe nur in 63\u00a0% der F\u00e4lle von Laufzeitklassifikatoren erkannt werden. Techniker untersuchen derzeit modellnative Trainings auf gegnerischen Datens\u00e4tzen, wo ein \u00dcbergang von Patching hin zu Immunisierung stattfindet.<\/p>\n Verteidigung gegen Massenangriffe: Lehren aus 600.000 Jailbreak-Versuchen<\/h2>\nDer Schatzfund hat den Zeitgeist der Angriffe in Echtzeit aufgezeigt. Die drei wahrscheinlichsten Familien im Jahr\u00a02025:<\/p>\n
|