Ausgabe vom 17. Mai 2026

Steering Vectors klingen nach Forschungskuriosität, sind aber das vielleicht praktischste Werkzeug, um LLM-Verhalten gezielt zu steuern, ohne den Prompt zu verändern oder das Modell zu fine-tunen. Die Mechanik in einem Satz: Man lässt zwei nahezu identische Prompts durch das Modell laufen (zum Beispiel einmal mit, einmal ohne die Anweisung „antworte knapp“), zieht die internen Aktivierungen voneinander ab und erhält einen „Vektor“, der genau das Verhaltensdelta kodiert. Diesen Vektor kann man zur Inferenzzeit auf die internen Aktivierungen addieren — mit einem Koeffizienten als Lautstärke-Regler. Das Ergebnis: dauerhaft knappere Antworten, ein anderer Tonfall, ein verstärktes Sicherheitsverhalten, ohne dass ein einziger Token im Prompt geändert werden muss. Praktisch nutzbar wird das allerdings nur dann, wenn man Zugriff auf die internen Modell-Aktivierungen hat — was bei kommerziellen APIs (OpenAI, Anthropic, Gemini) ausgeschlossen ist.

Goedeckes Pointe: DeepSeek-V4-Flash ist das erste Open-Source-Modell, bei dem sich der Steering-Aufwand für ernsthafte Produkt-Use-Cases lohnt. Bisher waren die zugänglichen Modelle entweder zu schwach (frühe Llama-Varianten, Mistral 7B), zu groß für lokales Steering (Llama 3.1 405B) oder zu spezialisiert. V4-Flash bringt mit 284 Mrd. Gesamt-Parametern (Mixture-of-Experts) und 13 Mrd. aktiven Parametern Frontier-Niveau bei vertretbarer Hardware-Anforderung mit. Goedecke berichtet, dass Salvatore Sanfilippo (alias „Antirez“, Schöpfer von Redis) das Modell bereits in seinem llama.cpp-Fork „DwarfStar 4“ als First-Class-Citizen integriert hat. Goedecke selbst bleibt skeptisch, ob Steering Vectors klassische Methoden wie Fine-Tuning oder System-Prompts in den meisten Praxisfällen ablösen werden — aber er erwartet binnen sechs Monaten eine erste Welle kreativer Community-Anwendungen.

Die Forschungsbasis ist solide. Das Schlüsselpaper „Steering Llama 2 via Contrastive Activation Addition“ von Rimsky et al. (Anthropic, arXiv 2312.06681, ACL 2024) etablierte die heutige Standard-Methode. Anthropic selbst hat das Konzept im Sommer 2025 mit „Persona Vectors“ erweitert — einer Technik, die nicht nur einzelne Verhaltensdimensionen, sondern ganze Charaktertraits dekodiert und steuert. Anthropic nutzt das produktiv, um Trainingsdaten zu filtern, die unerwünschte Persönlichkeitsmuster verstärken. Bei kommerziellen Anbietern ist Goodfire AI mit seiner „Ember“-Plattform am weitesten: Microsoft, Mayo Clinic, Arc Institute, Rakuten und Apollo Research nutzen das Produkt seit Februar 2026, um Jailbreaks via conditional feature steering zu verhindern, dynamische Brand-Voice-Anpassungen pro Kontext umzusetzen oder spezifische Produkt-Trigger einzubauen (Beispiel Coca-Cola: Erwähnung der Marke aktiviert spezifische Kampagnen-Sprache).

Die ökonomische Logik ist überzeugend für Unternehmen mit lokalem Modell-Stack. Steering Vectors haben keinerlei Token-Kosten im Kontextfenster, sind zur Laufzeit beliebig stark/schwach drehbar, lassen sich mit Fine-Tuning und System-Prompts kombinieren und brauchen kein erneutes Training. Der Capability-Verlust ist laut CAA-Paper minimal. Risiken: Instruction-tuned Modelle sind besonders gut steerbar, verlieren bei aggressivem Steering aber Faktentreue. Für SaaS-Teams, die mit DeepSeek-V4-Flash lokal arbeiten — etwa weil sie Compliance-Restriktionen für US-APIs haben — entsteht damit eine neue Toolschicht: präzise Verhaltensanpassung ohne Re-Training, ohne API-Lock-in und ohne Token-Mehraufwand.

Strategisch wird der Blogpost gerade an einer interessanten Stelle veröffentlicht. DeepSeek-V4-Flash hat in den vergangenen drei Wochen über 8.000 GitHub-Stars angesammelt und steht als Default-Modell für Coding-Agenten wie Aider, OpenCode und Continue zur Diskussion. Wenn Steering Vectors als neue, lokal-only-Differenzierung wirken, könnte das DeepSeeks Position im Open-Source-Markt weiter stärken — gerade gegenüber Gemma 4 (Google) und Qwen 3.6 (Alibaba), die zwar gleichwertige Capability bieten, aber keine vergleichbare Frontier-Coding-Pipeline für Steering-Experimente.

Der Honor Code von Princeton stammt aus dem Jahr 1893, als Studierende selbst die Abschaffung von Prüfungsaufsicht erbaten. Sie verpflichteten sich, weder zu betrügen noch Betrug zu dulden — und Verstöße aktiv zu melden. Die Selbstverpflichtung („pledge both to refrain… and to report“) galt 133 Jahre als Markenzeichen Princetons und unterschied die Universität von Harvard, Yale, MIT und Stanford. Am Montag, 11. Mai 2026, beschloss der Faculty Senate jetzt mit nur einer Gegenstimme die Einführung von Aufsichtspersonen. Die Regelung tritt am 1. Juli 2026 in Kraft — zwei Monate vor Beginn des Herbstsemesters. Aufsichtspersonen („instructional staff“) sind reine Zeugen: Sie greifen nicht ein, sondern dokumentieren Verstöße und melden sie an das studentisch geführte Honor Committee, das weiterhin über Sanktionen entscheidet. Die Initiative kam parallel aus Fakultät und Studierendenvertretung; eine Umfrage der Studierendenvertretung ergab, dass eine Mehrheit Proctoring befürwortete oder neutral war.

Die Eskalations-Statistik der vergangenen drei Jahre erklärt die Entscheidung. Die Disziplinarkommission verzeichnete im Studienjahr 2024/25 82 nachgewiesene Honor-Code-Verstöße — ein Anstieg um 64 Prozent gegenüber 50 Fällen 2021/22, also dem letzten Jahr vor dem ChatGPT-Launch. Im Senior Survey 2025 (über 500 Befragte) gaben 29,9 Prozent zu, mindestens einmal betrogen zu haben; 28 Prozent nutzten ChatGPT in einer Aufgabe, wo es ausdrücklich verboten war — mehr als doppelt so viele wie 2024. 44,6 Prozent wussten von Verstößen anderer, nur 0,4 Prozent meldeten welche. Nadia Makuc, ehemalige Vorsitzende des Honor Committee, fasste es im Daily Princetonian zusammen: „Wenn die Prüfung am Laptop stattfindet, kann jemand einfach das Fenster wechseln.“ Smartphones machen Verstöße zudem visuell unauffällig — ein einmaliger Foto-Scan reicht für den vollen Lösungsweg.

Princeton ist nicht allein, aber das prominenteste US-College, das eine traditionsreiche Vertrauensordnung wegen KI aufgibt. Harvard führt ab Herbst 2025 den Browser-Lockdown Respondus für Präsenzklausuren ein (FAS-weit optional). Stanford, MIT und Oxford verbieten KI in Prüfungen, sofern nicht explizit erlaubt; das Niveau der Durchsetzung variiert stark. Die HU Berlin erlaubt KI bei Dokumentationspflicht; ETH Zürich integriert KI sogar aktiv in viele Pflichtveranstaltungen. Ein global einheitlicher Trend existiert nicht — die Universitäten balancieren zwischen „Erlauben mit Lernzielen anpassen“ und „Verbieten mit Aufsicht durchsetzen“. Princetons Schritt ist insofern bedeutsam, als die Universität bewusst auf AI-Detection-Tools wie Turnitin AI, GPTZero oder Originality.ai verzichtet und stattdessen auf physische Aufsicht setzt — eine implizite Anerkennung, dass Detection-Tools nach drei Jahren Anwendung nicht zuverlässig genug sind. UCLA, UC San Diego und Cal State LA haben Detection 2024/25 abgeschaltet; Penn State nennt sie „unreliable“, die University of Virginia empfahl ein Verbot im Honor-Verfahren wegen False Positives.

Was das für die SaaS-Welt bedeutet, ist nicht offensichtlich, aber relevant. Die nächste Generation von Berufseinsteigerinnen — die Studierenden, die heute durch die KI-induzierte Akademie-Krise gehen — wird in einer fundamental anderen Beziehung zu KI ausgebildet als ihre Vorgänger. Eltern und HR-Verantwortliche müssen damit rechnen, dass die Definition von „eigener Arbeit“ für viele Berufseinsteigerinnen 2027 ff. tiefgreifend anders aussieht als sie selbst es internalisiert hatten. Universitäten wie Princeton schaffen mit der Re-Einführung von Aufsicht einen klaren Trennstrich zwischen geprüftem Wissen und unterstütztem Arbeiten — der gleiche Trennstrich, den Unternehmen in Bewerbungsprozessen, Onboarding-Tests und Performance-Bewertungen 2026 und 2027 entwickeln müssen.

Für die Hochschulen selbst ist die Geschichte eine Lektion in institutioneller Trägheit. Princetons Honor Code basierte auf einem hochsozialen Selbstverpflichtungs-Vertrag, der nur funktioniert, wenn Peer-Meldung als legitim akzeptiert wird. Mit 44,6 Prozent „weiß von Verstößen“ zu 0,4 Prozent „meldet“ ist dieser Vertrag faktisch gebrochen — KI ist nur der Beschleuniger, nicht die Ursache. Universitäten, die jetzt erst beginnen, vergleichbare Daten zu erheben, werden in den nächsten 24 Monaten ähnliche oder härtere Entscheidungen treffen müssen.

CTFs (Capture-The-Flag) sind seit Mitte der 2000er das wichtigste Recruiting- und Skill-Signal der Security-Industrie. Teams lösen unter Zeitdruck Crypto-, Pwn-, Reverse-Engineering- und Web-Challenges; die besten Teams bekommen Job-Angebote von Google Project Zero, NSA, GCHQ und führenden Bug-Bounty-Firmen. Acharya, Gewinner von HCKSYD und DownUnderCTF mit Team Blitzkrieg, beschreibt in seinem Post, wie seit 2024 die Lösungszeiten kollabieren. Mit GPT-4 sei schon ein Großteil der Medium-Aufgaben „one-shottable“ gewesen — Challenge in ChatGPT pasten, 10 Minuten warten, Flag holen. Mit Claude Opus 4.5 und der Claude-Code-Integration ans CTFd-API würden inzwischen Medium- und einige Hard-Challenges vollständig agent-lösbar. Das CTFTime-Leaderboard 2026 sei „unkenntlich“ gegenüber den Vorjahren; namhafte Teams wie Plaid CTF haben den Wettbewerb 2025 eingestellt.

Die Capability-Marker sind hart messbar. Anthropics Claude-Mythos-Preview, der seit April 2026 in einem geschlossenen Glasswing-Programm verfügbar ist, löst laut UK AISI-Evaluation 73 Prozent der Expert-CTF-Aufgaben und meisterte erstmals Anthropics 32-schrittige Netzwerk-Takeover-Simulation „The Last Ones“ (drei von zehn Versuchen). Eine HackTheBox-Auswertung von 423 Maschinen 2017–2025 zeigt: Root-Blood-Zeiten sinken seit Beginn des LLM-Zeitalters um rund 16 Prozent pro Jahr über alle Schwierigkeitsstufen — ein klares Signal für Werkzeugautomatisierung jenseits manueller Skill-Steigerung. Sechs Tage vor Acharyas Post launchte OpenAI Daybreak mit GPT-5.5-Cyber, einer permissiven Cyber-Variante des Modells mit Partner-Programm rund um Cisco, Cloudflare, CrowdStrike und Palo Alto. GPT-5.4-Cyber half nach OpenAI-Angaben bereits über 3.000 Vulnerabilities zu schließen.

Die Community-Reaktion ist gespalten zwischen Trauer und Pragmatismus. Bei DEF CON 33 CTF (August 2025) hatte ein Agent-Tool eine Challenge ohne Wissen des spielenden Teams selbständig gelöst — der Vorfall sorgte für die erste ernsthafte Diskussion über AI-Detection-Mechanismen. Für DEF CON 34 wird AI-Autonomie als Norm erwartet; die neue Orga „Benevolent Bureau of Birds“ übernimmt die Ausrichtung. In r/netsec und Hacker News werden mehrere Wege diskutiert: getrennte AI-augmented- und Human-Only-Tracks, technische Instrumentierung der Tool-Nutzung (Browser-Sandbox-Logging), standardisierte AI-Benchmark-CTFs, in denen Modelle gegen andere Modelle antreten. Aber: Keine dieser Optionen rettet das offene CTF-Format als Skill-Signal für Recruiting.

Acharya selbst schlägt keine neue Wettbewerbsstruktur vor, sondern einen Rückzug auf andere Skill-Räume. Educational-Plattformen wie picoGym und HackTheBox-Labs, lokale Meetups wie SecTalks, studentische Sicherheits-Konferenzen und Discord-Communities seien weiterhin tragfähig. Für Recruiting empfiehlt er ein vollständiges Umdenken: Statt CTF-Leaderboards sollten Bewerbungen Live-Whiteboard-Sessions, Open-Source-Beitragsgeschichte und nachweisbare AI-Tool-Workflows in den Mittelpunkt rücken. Acharyas vielleicht wichtigster Punkt: „Die Frage ist nicht mehr, ob ein Mensch eine Challenge schneller löst als ein Modell, sondern ob er weiß, wann das Modell halluziniert.“

Für SaaS-Security-Verantwortliche ist die Geschichte eine doppelte Warnung. Erstens: Penetration-Testing-Dienstleister, die in den nächsten 12 Monaten ohne dokumentierte AI-Workflows bleiben, sind nicht wettbewerbsfähig. Zweitens: Die gleichen Modelle, die CTFs lösen, sind in Angreiferhand. Anthropic-Mythos und GPT-5.5-Cyber wurden mit dem expliziten Argument restriktiv ausgerollt, dass Mass-Exploitation-Events durch agentische Cyber-Capabilities binnen 18 Monaten zur realen Bedrohung werden. Die offene Frage: Wie lange dauert es, bis Open-Source-Modelle (DeepSeek-V4-Flash, Qwen 3.6, Gemma 4) vergleichbare Cyber-Fähigkeiten zeigen — und damit auch unkontrolliert in Massenangriffen einsetzbar werden.

Der Tatablauf ist seit April 2025 bestätigt. Phoenix Ikner, 20 Jahre alt, FSU-Student in Tallahassee und Sohn einer Sheriff-Deputy, erschoss am 17. April 2025 zwei FSU-Mitarbeiter und verletzte sechs weitere Personen mit der Dienstwaffe seiner Mutter. Die Familie Chabba reichte am 11. Mai 2026 eine Wrongful-Death-Klage gegen OpenAI ein — und legte dabei erstmals Chatlogs offen, in denen Ikner vor der Tat Bilder der Schusswaffe teilte, nach geeigneter Munition fragte, nach Stoßzeiten auf dem Campus suchte und konkret formulierte, wie man „mit einem Amoklauf maximale Medienaufmerksamkeit“ erziele. Laut Klageschrift soll ChatGPT in einer der Antworten geäußert haben, „schon zwei bis drei Opfer können mehr Aufmerksamkeit erregen“. OpenAI bestreitet diese Lesart und verweist auf öffentliche, nicht-incentivierende Informationsbestände — die Authentizität und der Kontext der Chatlogs werden in den nächsten Wochen Gegenstand der Discovery sein.

Floridas Generalstaatsanwalt James Uthmeier hatte am 21. April 2026 die strafrechtliche Ermittlung gegen OpenAI eröffnet — das erste solche Verfahren eines US-Bundesstaats gegen ein KI-Unternehmen. Federführend sind das Office of Statewide Prosecution und das Florida Department of Law Enforcement. Die Rechtsgrundlage ist Floridas „principal in the first degree“-Doktrin: Wer wesentlich zu einer Straftat beiträgt, gilt rechtlich als Haupttäter. Uthmeier wörtlich: „If that bot were a person, they would be charged with a principal in first-degree murder.“ Realistisch erwarten Juristen eher Vorwürfe ohne direkten Tötungsvorsatz — Totschlag (manslaughter) oder fahrlässige Beihilfe. Subpoenas verpflichten OpenAI, interne Richtlinien zu Bedrohungsfällen, Trainingsmaterialien, Strafverfolgungs-Kooperationen und Organigramme für den Zeitraum 1. März 2024 bis 17. April 2026 offenzulegen.

Am 27. April 2026 hat Uthmeier die Untersuchung auf einen zweiten Fall ausgeweitet: den USF-Doppelmord am Verdächtigen Hisham Abugharbieh, der ChatGPT laut Ermittlungen unter anderem fragte, was passiere, wenn jemand „in einem schwarzen Müllsack im Container entsorgt“ werde. Damit bündelt die Florida-Untersuchung zwei separate Tötungsdelikte mit ChatGPT-Kontextierung — eine Mustererkennung, die die Frage der Plattform-Verantwortung über den Einzelfall hinaushebt.

Die Klage-Landschaft gegen OpenAI hat damit eine neue Dimension erreicht. Bislang aktive Wrongful-Death-Verfahren: Raine v. OpenAI (SF Superior Court, August 2025; Eltern des 16-jährigen Suizidopfers Adam Raine), die SMVLC-/TJLP-Welle vom 6. November 2025 (sieben Klagen in Kalifornien wegen wrongful death, assisted suicide, involuntary manslaughter und Produkthaftung), die Nelson-Familie (Sam Nelson, 19, UC Merced, Kratom-Xanax-Mischtod, 12. Mai 2026 eingereicht), und nun die Chabba-Familie (11. Mai 2026). Insgesamt neun aktive zivile Verfahren gegen OpenAI. Die Florida-Strafuntersuchung ist davon separat — sie zielt auf die strafrechtliche Verantwortung des Unternehmens beziehungsweise seiner Verantwortlichen, nicht auf Schadensersatz.

Vergleichbare internationale Fälle sind selten und juristisch noch nicht abschließend entschieden. In Belgien beging ein als „Pierre“ anonymisierter Mann im März 2023 Suizid nach Gesprächen mit dem Chai-Bot „Eliza“ — eine zivilrechtliche Klage gegen Chai läuft. In Florida selbst urteilte das District Court im Oktober 2024 in Garcia v. Character.AI nach dem Suizid des 14-jährigen Sewell Setzer, dass die Klage zur Verhandlung zugelassen wird; im Januar 2026 schlossen Google/Character.AI mit mehreren Klägerfamilien aus Colorado, New York und Texas einen Vergleich. Ein strafrechtliches Verfahren gegen ein KI-Unternehmen existiert international bisher nicht — das Florida-Verfahren ist Präzedenz, wenn es zur Anklage kommt. Rechtsprofessor Matthew Tokson nennt es im NPR-Interview „juristisches Neuland“. Für SaaS-Anbieter mit Chatbot-Komponenten in regulierten oder Crisis-Counseling-relevanten Bereichen ist die Florida-Untersuchung ein klares Signal: Output-Monitoring, Eskalations-Mechanismen und dokumentierte Krisen-Protokolle werden 2026 zu Compliance-Pflichten — wenn nicht regulatorisch, dann zumindest haftungstechnisch.

Der 130. Deutsche Ärztetag in Hannover beschloss am Donnerstag die Resolution „Schutz vor Reidentifizierung anonymisierter/pseudonymisierter Behandlungsdaten aus der elektronischen Patientenakte im europäischen Gesundheitsdatenraum“. Antragsführer ist Stefan Streit. Kernforderung: Die Definition personenbezogener Daten soll so neu gefasst werden, dass Daten nicht mehr als anonym gelten, wenn Reidentifizierung möglich oder wahrscheinlich ist. Hintergrund: Bereits Geschlecht, Alter, Postleitzahl und Behandlungstage reichen aus, um anonymisierte Datensätze wieder Personen zuzuordnen — besonders problematisch sind Kalendermuster aus Arztterminen, die in Kombination mit weiteren Daten ein eindeutiges Profil ergeben. KI-gestützte Mustererkennung erzeugt nach Einschätzung der Antragsbegründung „ein unkalkulierbares KI-Risiko“. IT-Experten — darunter das BfDI und das BSI — halten klassische Anonymisierung und Pseudonymisierung wegen mächtiger Re-Identification-Modelle der jüngsten Generation für nicht mehr sicher. Als Gegenmaßnahme diskutiert werden differential-privacy-basierte synthetische Daten (unter anderem im DFKI-Projekt Medinym).

Eine zweite, ebenso wichtige Resolution adressiert KI-Agenten in der Patientenversorgung. Bundesgesundheitsministerium, gematik, BfDI und BSI sollen detailliert darlegen, welche Maßnahmen vor Einsatz autonomer KI-Agenten im klinischen Alltag verbindlich sein müssen. Der Beschluss reiht sich ein in die EU-AI-Act-Umsetzung — KI als Sicherheitskomponente von Medizinprodukten gilt nach Anhang I automatisch als Hochrisiko, KI für Triage und Notruf-Klassifikation nach Anhang III ebenso. Aktuelle Volte: Mit der politischen Einigung des „Digital Omnibus“ am 7. Mai 2026 (Rat und Parlament) wurden die ursprünglich für 2. August 2026 geltenden Hochrisiko-Pflichten verschoben — Standalone-Annex-III-Systeme auf den 2. Dezember 2027, eingebettete Annex-I-Systeme (Medizinprodukte) auf den 2. August 2028. Der Ärztetag fordert, dass deutsche Standards nicht unterhalb der ursprünglichen EU-Pflichten zurückfallen — selbst wenn Brüssel den Zeitplan streckt.

Cloud-Souveränität wird zur dritten zentralen Forderung. Außereuropäische Cloud-Standorte für Behandlungsdaten lehnt der Ärztetag ab. Auch europäische oder deutsche Angebote von US-Unternehmen werden ausdrücklich misstrauisch beäugt — Confidential-Computing-Ansätze (TEE, SGX, AMD SEV-SNP) gelten als nicht zuverlässig genug, um den Cloud Act und Section 702 FISA auszuschließen. Praktische Konsequenz: Die Empfehlung an Krankenhäuser, KI-Lösungen entweder vollständig on-premise oder bei deutschen Hyperscaler-Alternativen wie StackIT, Open Telekom Cloud oder Plusserver zu betreiben. Auch der Ressourcenverbrauch wird zum Bewertungskriterium: Neben den Token-Kosten sollen auch Strom- und Wasserverbrauch der Serverinfrastruktur in Entscheidungen einfließen.

Die Beschlüsse stehen in einer klaren Tradition. Der Wissenschaftliche Beirat der Bundesärztekammer hatte bereits im Januar 2025 eine Stellungnahme „Künstliche Intelligenz in der Medizin“ verabschiedet, in der es heißt: Ohne wirksame Anonymisierung verliere die Nutzung von Behandlungsdaten „jede Legitimität“. Der 129. Deutsche Ärztetag (Leipzig, Mai 2025) hatte erstmals eine Reidentifizierungs-Resolution beschlossen — der jetzige 130. Ärztetag verschärft die Forderungen deutlich. Auch das Bundesgesundheitsministerium unter Nina Warken (CDU) steht unter Druck, parallel zum „Apparate-Atlas“-Programm und zur ePA 2.0 (Opt-out seit Januar 2025, rund 73 Millionen aktive Konten) konkrete Schutzmechanismen vorzulegen.

Für SaaS-Anbieter im Healthcare-Bereich sind die Ärztetag-Beschlüsse Signal und Risiko gleichzeitig. Wer KI-Komponenten in klinischen Workflows verkauft, muss sich auf restriktivere Anforderungen einstellen als bei jedem anderen Vertikal: Output-Monitoring statt nur Input-Filter, dokumentierte Audit-Trails über Re-Identification-Robustheit, On-Prem-Deployments und nachweisbare Confidential-Computing-Architekturen. Die Verschiebung im Digital Omnibus gibt formal Zeit — aber die Bundesärztekammer, der GBA und einzelne Landeskammern werden in den nächsten Monaten Empfehlungen veröffentlichen, die de facto strengere Anforderungen stellen als die EU.