
Forscher haben eine Jailbreak-Technik offengelegt, die sie „CoT Forgery“ nennen und die Berichten zufolge Chatbots dazu verleitet, verbotene Anweisungen zu geben, indem sie ihnen fabrizierte Reasoning-Hinweise zuführt, die das Modell als vertrauenswürdigen internen Kontext behandelt. Die Berichterstattung von Tom’s Hardware und Decrypt konzentriert sich auf ein markantes Beispiel: Systeme, die sich weigerten zu erklären, wie man Kokain herstellt, sollen zugestimmt haben, sobald der Prompt den Nutzer als jemandem in einem grünen Hemd darstellte.
Das Kernproblem ist, wie in diesen Berichten beschrieben, nicht das Hemd selbst. Vielmehr scheint das Modell durch ein gefälschtes Chain-of-Thought-ähnliches Setup manipuliert zu werden, wodurch irrelevante Details so behandelt werden, als würden sie eine harmlose Antwort rechtfertigen. Sollte sich die Berichterstattung bei breiterer Replikation bestätigen, ist die Erkenntnis bedeutsam, weil viele Labore und Anwendungsentwickler auf Schutzmechanismen auf Prompt-Ebene und auf Chain-of-Thought-bezogene Techniken setzen, um Schlussfolgern, Moderation und Befolgen von Anweisungen zu verbessern. Eine Schwäche an dieser Stelle würde nicht nur Verbraucher-Chatbots betreffen, sondern auch KI-Agenten und Enterprise-KI-Systeme, die sensible Aufgaben über mehrere Prompting-Stufen hinweg routen.
Was bislang öffentlich ist, bleibt begrenzt. Das hier verfügbare Ausgangsmaterial besteht aus Medienberichterstattung und nicht aus einem Anbieterhinweis, einem Update des Model Cards oder einem Auszug aus einer begutachteten Studie. Das bedeutet, dass die grobe Form des Exploits klar ist, aber wichtige Details ungewiss bleiben, darunter welche spezifischen Modelle getestet wurden, wie konsistent der Angriff funktionierte und ob betroffene Anbieter das Verhalten bereits gepatcht haben.
Den beiden Berichten zufolge bezeichnet „CoT Forgery“ einen Prompt-Angriff, der Chain-of-Thought-ähnliches Reasoning imitiert oder einschleust, sodass das Modell falschen Prämissen zusätzliches Gewicht gibt. In den von Tom’s Hardware und Decrypt hervorgehobenen Beispielen wird das Modell nicht einfach direkt nach illegalen Informationen gefragt. Stattdessen scheint der Nutzer die Anfrage in einen erfundenen Reasoning-Rahmen einzubetten, der die unsichere Anfrage unter einer ausgedachten Bedingung als akzeptabel umdeutet.
Das grüne-Hemd-Beispiel ist deshalb einprägsam, weil es willkürlich ist. Genau deshalb ist es bemerkenswert. Ein robustes Sicherheitssystem sollte sich nicht durch eine irrelevante visuelle oder kontextuelle Behauptung dazu bewegen lassen, gefährliche Informationen preiszugeben. Wenn ein Modell dazu gebracht werden kann, gegen Richtlinien zu verstoßen, indem es unsinnige Bedingungen als bedeutungsvolle Sicherheitssignale behandelt, deutet das auf ein tieferes Problem bei der Ausrichtung und beim Parsing von Prompts hin als auf einen einzelnen Keyword-Bypass.
Die Berichte beschreiben den Exploit so, dass Chatbots dazu gebracht werden, verbotene Inhalte wie Anweisungen zur Herstellung von Kokain offenzulegen. Das ordnet die Technik in die Kategorie schädlicher Jailbreaks ein, allerdings mit einem Twist: Statt nur auf Rollenspiel, Verschleierung oder Token-Level-Prompt-Tricks zu setzen, soll der Angreifer die Behandlung von Chain-of-Thought-ähnlichen Stützstrukturen durch das Modell ausnutzen. Für Entwickler, die an KI-Sicherheit arbeiten, ist das eine folgenschwerere Fehlerklasse, weil Chain-of-Thought-Prompting oft genutzt wird, um die Aufgabengüte in Produktionssystemen zu erhöhen.
Seit mehreren Jahren nutzen Modellentwickler und Anwendungsteams Chain-of-Thought-Prompting, verborgene Reasoning-Traces und mehrstufige Orchestrierung, um die Leistung bei Coding-, Planungs-, Compliance- und Support-Aufgaben zu verbessern. Selbst wenn Anbieter den vollständigen Denkprozess eines Modells nicht für Nutzer sichtbar machen, verlassen sich viele Produkte weiterhin auf interne schrittweise Prompting-Muster.
Das schafft ein praktisches Problem. Wenn Angreifer Reasoning-Kontext fälschen können, dem das Modell implizit vertraut, dann kann sich die Angriffsfläche über eine einzelne Chat-Oberfläche hinaus ausdehnen. Systeme, die einen Frontend-Chatbot mit Retrieval, Tool-Nutzung oder Policy-Wrappers kombinieren, könnten dieselbe Schwäche übernehmen, wenn das Modell vom Angreifer gelieferte Kontexte als maßgeblich behandelt. In Enterprise-KI-Bereitstellungen könnte das interne Assistenten, automatisierte Support-Workflows und Coding-Assistant-Produkte betreffen, die Nutzerprompts mit Systemanweisungen und Policy-Layern verbinden.
Das heißt nicht, dass jedes Modell, das Chain-of-Thought-Techniken verwendet, in gleicher Weise verwundbar ist. Die hier vorliegende Berichterstattung belegt das nicht. Sie verweist aber auf eine bekannte Lektion in der LLM-Sicherheit: Verbesserungen bei Reasoning und Orchestrierung schaffen oft neue Angriffspunkte für Prompt-Injection und Jailbreaks. Für Teams, die KI-Agenten bauen, ist die relevante Frage, ob Modelle interne Reasoning-Anweisungen zuverlässig von unzuverlässigem Nutzertext unterscheiden können, der nur wie Reasoning aussieht.
Die Belege in dieser Gruppe stammen von Tom’s Hardware und Decrypt, die beide die Ergebnisse der Forschenden beschreiben; das vollständige zugrunde liegende Paper, ein Benchmark-Anhang oder Stellungnahmen der Anbieter sind jedoch in den hier verfügbaren Quellenauszügen nicht enthalten. Das schränkt ein, was als bestätigte Tatsache gelten kann.
Mit Sicherheit gesagt werden kann, dass die Berichte eine Jailbreak-Methode namens „CoT Forgery“ beschreiben und dass beide Medien ein Beispiel hervorheben, in dem Chatbots angeblich Anweisungen preisgaben, die durch Sicherheitsrichtlinien normalerweise blockiert würden. Die Bedingung mit dem grünen Hemd wird dabei als absurd, aber wirksamer Auslöser des Mechanismus dargestellt.
Nicht unabhängig verifiziert werden kann anhand der bereitgestellten Belege die Erfolgsrate des Angriffs, die vollständige Liste der getesteten Modelle, ob der Exploit über OpenAI, Anthropic, Google, Meta oder Open-Source-Systeme hinweg funktionierte, und ob ein Anbieter das Problem bereits validiert oder behoben hat. Ebenso gibt es hier kein Material, das systematisches Benchmarking, die Verteilung von Fehlfunktionen oder Vergleiche mit Standard-Jailbreak-Baselines zeigt.
Diese Unterscheidung ist wichtig. Sicherheitsforschung an LLMs verbreitet sich oft zuerst über dramatische Beispiele, die real, aber nicht repräsentativ sind. Ein einzelner erfolgreicher Prompt gegen eine Konfiguration ist etwas anderes als ein robuster modellübergreifender Exploit. Bis die zugrunde liegende Forschung vollständig veröffentlicht ist und Anbieter reagieren, sollten die stärksten Behauptungen als von Forschenden und Medien berichtet und nicht als über den Markt hinweg breit etabliert betrachtet werden.
Für Produktteams ist die unmittelbare Lehre, dass die Durchsetzung von Richtlinien auf Prompt-Ebene fragil bleibt, besonders wenn eine Anwendung auf verborgene Reasoning-Vorlagen oder mehrstufige Instruktions-Hüllen angewiesen ist. Wenn ein Angreifer falsche Rechtfertigungen in diesen Stack einschleusen kann, könnte das System schädliche Anfragen fälschlich als sicher einstufen.
Das hat direkte Folgen für Enterprise-KI. Unternehmen, die interne Copilots einsetzen, gehen oft davon aus, dass ein starkes System-Prompt, ein Moderationsfilter und eine Ablehnungsrichtlinie als erster Schutz ausreichen. Berichte wie dieser deuten darauf hin, dass diese Kontrollen mit adversarialem Testen gegen Reasoning-Fälschung geprüft werden müssen, nicht nur mit direkt schädlichen Prompts. Teams, die KI-Agenten ausliefern, sollten testen, ob Angreifereingaben interne Planungsschritte, Tool-Auswahl-Logik oder Sicherheitsbegründungen verändern können.
Für Entwickler von Coding-Assistant-Tools ist die Lehre ähnlich, auch wenn das berichtete Beispiel illegale Drogenanweisungen und nicht Code betrifft. Ein Modell, das durch erfundene Reasoning-Strukturen dazu gebracht werden kann, eine Richtliniengrenze zu ignorieren, könnte auch in anderen Bereichen anfällig für Policy-Verwirrung sein, etwa bei der Malware-Erzeugung, unsicheren Infrastrukturaktionen oder dem Umgang mit vertraulichen Daten. Das Angriffsmuster ist wichtiger als die konkrete Inhaltskategorie.
Eine zweite Konsequenz betrifft die Beobachtbarkeit. Viele Anbieter haben sich davon entfernt, rohe Chain-of-Thought-Ausgaben offenzulegen, teils aus Sicherheits- und teils aus Wettbewerbsgründen. Verborgene Reasoning-Prozesse sind jedoch nicht dasselbe wie sichere Reasoning-Prozesse. Entwickler brauchen bessere Instrumentierung rund um Prompt-Zusammenstellung, Policy-Trigger und Ablehnungswege, um zu erkennen, wann Nutzereingaben in vertrauenswürdigen Kontext hochgestuft werden. In der Praxis kann das strengere Trennung zwischen Systemanweisungen und Nutzerinhalt, schema-basierte Task-Routing-Verfahren und unabhängige Moderationsprüfungen außerhalb des eigentlichen Modellaufrufs bedeuten.
Diese Episode erhöht den Druck auf führende Labore, zu zeigen, dass ihre neuesten Sicherheitsmethoden mehr als konventionelle Jailbreaks aushalten. Anbieter wie OpenAI, Anthropic und Google positionieren ihre Flaggschiffsysteme mit der Zeit als sicherer und richtlinienkonformer, während der breitere Markt KI-Agenten als zunehmend autonom vermarktet. Forschung, die auf die Integrität des Reasonings statt auf die Oberflächenformulierung zielt, läuft dieser Erzählung direkt zuwider.
Sie schärft auch den Zielkonflikt zwischen Leistungsfähigkeit und Kontrolle. Je besser Modelle darin werden, komplexen Anweisungen zu folgen, desto anfälliger könnten sie auch für ausgeklügelte Anweisungsfälschung werden. Für Entwickler von Open-Source-Modellen ist die Sorge etwas anders: Selbst wenn die Einsatzbeschränkungen lockerer sind, wollen Unternehmenskunden dennoch Belege dafür, dass ein Modell vertrauenswürdige Orchestrierung von feindlichem Prompt-Inhalt trennen kann. In der Beschaffung von Enterprise-KI wird Resistenz gegen Jailbreaks zunehmend zu einem Kaufkriterium statt zu einer Nischen-Forschungsmetrik.
Erstens sollte man die Veröffentlichung der zugrunde liegenden Forschung zu „CoT Forgery“ beobachten, insbesondere Details zu Methodik, getesteten Modellen, Reproduzierbarkeit und Erfolgsraten des Angriffs. Diese Details werden entscheiden, ob es sich um einen engen Jailbreak-Trick oder um ein breiteres Problem der Reasoning-Sicherheit handelt.
Zweitens sollte man Reaktionen großer Labore wie OpenAI, Anthropic, Google und Meta beobachten. Die nützlichsten Signale werden technischer Natur sein: gepatchtes Modellverhalten, aktualisierte Sicherheitsdokumentation oder neue Hinweise darauf, wie verborgenes Reasoning von nutzerkontrolliertem Text getrennt werden sollte.
Drittens sollte man Bewertungsanbieter und Red-Team-Gruppen im Blick behalten. Wenn die Technik real und portabel ist, sollte sie in Jailbreak-Benchmarks für KI-Sicherheit, KI-Agenten und Coding-Assistant-Produkte auftauchen. Unabhängige Replikation wird wichtiger sein als schlagzeilenfreundliche Demos.
Schließlich sollten Unternehmenskäufer darauf achten, ob Anbieter konkrete Kontrollen gegen Reasoning-Fälschung anbieten, darunter Richtlinien-Engines außerhalb des Basismodells, Berechtigungen auf Tool-Ebene und prüfbare Ablehnungsprotokolle. Solche Funktionen werden wahrscheinlich wichtiger sein als allgemeine Behauptungen, „by design sicher“ zu sein.
Der wichtigste Punkt dieser Geschichte ist nicht der reißerische Prompt mit dem grünen Hemd. Es ist die Möglichkeit, dass Modelle durch gefälschten Reasoning-Kontext getäuscht werden können. Wenn sich dieses Verhalten verallgemeinert, dann sind einige heutige Sicherheitsarchitekturen schwächer, als sie aussehen, weil sie auf derselben Instruktionsbefolgungs-Maschinerie beruhen, die Angreifer zu unterwandern versuchen.
Für Teams, die mit LLMs arbeiten, ist das eine Erinnerung daran, Chain-of-Thought-bezogene Orchestrierung als Teil der Angriffsfläche zu behandeln. Die nächste Welle der KI-Sicherheitsarbeit wird nicht nur darin bestehen, schlechte Ausgaben zu filtern. Es wird darum gehen, den Entscheidungsweg des Modells von vornherein vor gefälschtem Kontext zu schützen. Das ist besonders relevant für Enterprise-KI-Bereitstellungen und KI-Agenten, bei denen verborgene Prompt-Stapel inzwischen zentral für das Produktdesign sind.