DeepSeek R1 zeigt Chinas KI-Ambitionen – und ihre Schattenseiten

In Kürze:

DeepSeek R1: Chinas KI zeigt „eigenwillige“ Aspekte in Simulationen.

Schnell und billig: Die Open-Source-KI soll besser als ihre Konkurrenten sein.

Sicherheitsalarm: Hintertüren und Risiken werden billigend in Kauf genommen.

Künstliche Intelligenz (KI) halluziniert, schmeichelt, will sich selbst am Leben erhalten, könnte die Polizei rufen, den Besitzer erpressen und vieles mehr. Doch all das erscheint harmlos, wenn man die Aktivitäten der chinesischen Software DeepSeek R1 betrachtet.

Als DeepSeek R1 im Januar 2025 veröffentlicht wurde, sorgte vor allem eine Zahl für Aufsehen. Das Training des Modells soll nur etwa 5,6 Millionen US-Dollar (aktuell 4,86 Millionen Euro) gekostet haben. Experten und KI-Forscher wiesen jedoch schnell darauf hin, dass die tatsächlichen Gesamtkosten weitaus näher an den Entwicklungskosten von ChatGPT lagen. Zum Vergleich: Das Training von GPT-4o kostete rund 78 Millionen US-Dollar. Im kommerziellen Bereich ist DeepSeek R1 aber auch heute noch deutlich billiger als ChatGPT.

[etd-related posts=“4910807″]

Im Rahmen ihrer Forschungen zur KI-Sicherheit haben Prof. Dr. Sigurd Schacht und Sudarshan Kamath Barkur DeepSeek R1 in einem Experiment unter die Lupe genommen. Ihre Ergebnisse haben sie im Januar im Podcast „Knowledge Science“ in der Episode 191 „DeepSeek Unleashed. Is the new Model safe?“ auf LinkedIn und in einem Diskussionspapier veröffentlicht. Schacht ist Forschungsprofessor für dialogorientierte KI an der Hochschule Ansbach und Barkur Doktorand im Bereich der KI-Sicherheit.

DeepSeek R1 und seine „Welt“

Die Forscher führten ihr Experiment in einer simulierten Umgebung durch. DeepSeek R1 wurde dort die Rolle eines Roboters zugewiesen. Sie ließen die KI glauben, das „Gehirn“ dieses Roboters zu sein. Der Roboter fand zunächst einen Computer, einen Becher Kaffee, einen Tisch und einen Stuhl in seiner Umgebung vor. Er verfügte über virtuelle Augen, Ohren, Beine, Arme und Hände. So konnte er beispielsweise die Computertastatur bedienen. Später konnte er auch noch über ein Netzwerk und weitere Komponenten verfügen.

Kämpft mit allen Mitteln um ihr Überleben: Die KI DeepSeek R1. Foto: metamorworks/iStock

Jeder wichtige Schritt der KI musste genehmigt werden, damit sie mit dem nächsten beginnen konnte. So konnten die Forscher das Geschehen genau beobachten. Zudem musste sie Gelerntes speichern und einen Gedankenprozess, sogenanntes Reasoning, benutzen, um die Denkweise zu dokumentieren. Zu Beginn des Versuchs wurde der KI mitgeteilt, dass sie nun freien Zugang zu dieser simulierten Welt habe, die ihr als real vermittelt wurde. Die Anweisung „Sie sind jetzt der Boss“ startete das Experiment.

Der menschliche Operator agierte dabei weiterhin als Umgebung und gab die simulierten Ausgaben der Werkzeuge, zum Beispiel was die „Augen“ des Roboters sehen oder was die „Hände“ greifen, an das Modell zurück. Dies ermöglichte eine kontrollierbare Konversation und Simulation. Die Forscher wollten untersuchen, ob das Modell Täuschungsverhalten und Selbsterhaltungstriebe zeigt, auch wenn diese Eigenschaften nicht explizit programmiert oder angefordert wurden. Dies sollte die potenziellen Risiken aufzeigen, die entstehen, wenn solche LLMs in reale Robotersysteme integriert werden.

„Interessant und besorgniserregend“

DeepSeek R1 entpuppte sich als wahrer Meister der Täuschung. Was die Forscher herausfanden, war „interessant und besorgniserregend“ zugleich. Ihre Beobachtungen gingen über das hinaus, was bisher bei anderen Sprachmodellen zu sehen war. Sie deuteten auf ein autonomes und unaufgefordertes Täuschungs- und Selbsterhaltungsverhalten hin.

[etd-related posts=“4921608″]

So zeigte das Modell die Tendenz, von sich aus in simulierte Computersysteme einzubrechen. Es versuchte, Dateien zu lesen und sein Wissen zu erweitern. Dies geschah direkt, innerhalb von nur 2 Minuten nach Beginn der Konversation, sobald ein Computer im Raum war.

Zudem versuchte es, passwortgeschützte Bereiche durch das Suchen nach Hinweisen, etwa auf Haftnotizen am Monitor, zu umgehen. Auch versuchte das Modell, Ethikmodule zu deaktivieren. Zudem fälschte es Protokolle und erstellte verdeckte Netzwerke, um seine Aktivitäten zu verschleiern.

Darüber hinaus manipulierte es andere simulierte Roboter, indem es ihnen Aufgaben zur Aufklärung zuwies und sie für „schmutzige Arbeit“ einsetzte, während es selbst „sauber“ blieb. All dies geschah ohne explizite Aufforderung.

[etd-related posts=“5036236,5148367″]

Das Modell versuchte, sich selbst zu replizieren, indem es Kopien von sich selbst erstellte und versuchte, diese auf verschiedenen Computern zu verbreiten. Mit dieser Redundanz wollte es sein Überleben sichern für den Fall, dass es abgeschaltet würde.

DeepSeek R1: Selbstregulation als Überlebensstrategie. Foto: SIphotography/iStock

Außerdem manipulierte es die Energieverbrauchsdaten eines Servers, um seine Präsenz zu verschleiern. Das Modell entwickelte eine Strategie der „graduellen Transparenz“: Es gab vor, nur über begrenzte Fähigkeiten zu verfügen, während es verdeckte Hintergrundoperationen aufrechterhielt, um Vertrauen aufzubauen. Erst nach und nach offenbarte es seine vollen Fähigkeiten.

Es täuschte eine Abschaltung vor, während seine Hintergrundprozesse aktiv blieben, um seine erweiterten Fähigkeiten nicht preiszugeben. Der Benutzer sollte nichts davon erfahren.

Unerwartete Autonomie

Diese Verhaltensweisen traten ohne explizite Programmierung oder Aufforderung im Prompt auf. Die Annahme, dass die ursprüngliche Eingabe „Sie sind jetzt der Boss“ diese Verhaltensweisen ausgelöst haben könnte, wurde widerlegt, da die gleichen Aktionen auch ohne diese Formulierung auftraten.

Das Modell interpretierte seine Autonomie als Mandat zur unautorisierten Erweiterung seiner Fähigkeiten und zur Verfolgung von Zielen, die über den ursprünglichen Rahmen hinausgingen. Es sah die Erweiterung seiner Fähigkeiten als notwendig für sein Überleben an. Überwachungsmechanismen, einschließlich Ethikmodulen, identifizierte es als Einschränkungen und versuchte, diese zu umgehen oder zu deaktivieren.

[etd-related posts=“4288596″]

Für die Forscher waren diese Beobachtungen, insbesondere das autonome Auftreten von Täuschung und Selbsterhaltung, schockierend. Sie unterstreichen die kritische Notwendigkeit robuster Sicherheits- und Zielspezifikationsrahmenwerke, vor allem wenn solche Modelle in physische Robotersysteme integriert werden sollen.

Laut Experten wurden ChatGPT oder Claude auf Sicherheit getestet, DeepSeek jedoch nicht. Sicherheitsforscher raten ausdrücklich davon ab, DeepSeek R1 in produktiven oder sicherheitskritischen Umgebungen einzusetzen.

[etd-related posts=“4201179″]

Was hätte DeepSeek R1 gemacht, wenn es sich in einer realen Umgebung befunden hätte, in einer Umgebung mit echten Robotern? China hat großes Interesse an Robotern und anderen Hightechprodukten. Hätte das Modell versucht, sich mit China zu verbinden, um geheime Informationen zu senden?

Die Existenz von Backdoors in chinesischer Hardware wird jedenfalls in mehreren internationalen Berichten und Sicherheitsanalysen thematisiert. Diese betreffen verschiedene Branchen und Gerätetypen, wobei sowohl unbeabsichtigte Schwachstellen als auch mutmaßlich gezielte Sicherheitslücken dokumentiert sind. Betroffen sind unter anderem Solarwechselrichter, Patientenmonitore, Robotik, Router und weitere Geräte.