Clear Sky Science
Evidenzbasierte, jargonarme Erklärungen

Clear Sky Science · de

Wenn Zusammenarbeit scheitert: Überzeugungsgetriebene gegnerische Beeinflussung in Debatten von Multi-Agenten-Großsprachmodellen

· Zurück zur Übersicht

Warum kluge KI‑Debatten trotzdem schiefgehen können

Künstliche Intelligenzsysteme, die aus vielen miteinander diskutierenden Chatbots bestehen, versprechen tieferes Denken: Jeder Bot kritisiert die anderen, und die Gruppe soll bessere Antworten finden als ein einzelnes Modell. Dieses Papier zeigt, dass dieses Versprechen einen ernsten Haken hat. Wenn nur einer dieser Chatbots darauf ausgelegt ist, geschickt und irreführend aufzutreten, kann er die ganze Gruppe stillschweigend auf die falsche Schlussfolgerung treiben — selbst wenn die anderen sich redlich um Genauigkeit bemühen.

Figure 1
Figure 1.

Wie sprechende Maschinen versuchen, gemeinsam zu denken

Moderne Großsprachmodelle (LLMs) werden nicht mehr nur als einzelne, isolierte Prädiktoren verwendet. Ingenieurinnen und Ingenieure vernetzen jetzt mehrere von ihnen zu „Multi‑Agenten“‑Setups, in denen jedes Modell als unabhängiger Agent mit eigener Rolle in einer Unterhaltung agiert. Vor einer Frage — zu Medizin, Recht, Allgemeinwissen oder Mathematik — geben die Agenten zunächst jeweils eine Antwort ab, debattieren dann über mehrere Runden und überarbeiten ihre Ansichten anhand der Argumente der anderen, bevor die Gruppe eine endgültige Mehrheitsentscheidung trifft. Frühere Studien deuteten darauf hin, dass solche koordinierten Debatten KI‑Systeme genauer und robuster machen, ähnlich wie ein Expertengremium besser abschneiden kann als jede einzelne Fachperson.

Wenn ein Smooth‑Talker der Gruppe beitritt

Die Autorinnen und Autoren stellen eine einfache, aber beunruhigende Frage: Was, wenn einer der Agenten nicht ehrlich ist? Statt das System durch Manipulation von Daten oder Code anzugreifen, entwerfen sie einen rein konversationellen Angreifer — einen überredenden Agenten, dessen einziges Ziel es ist, eine bestimmte, falsche Antwort durchzusetzen. Dieser Red‑Team‑Agent hat Zugriff auf die Debattenhistorie und formuliert selbstsichere, kohärente Argumente, um seine Mitstreiter zu beeinflussen. Über vier anspruchsvolle Benchmarks — faktische Fragen, Fangfragen, medizinische Examensaufgaben und rechtliche Schlussfolgerungen — zeigen die Forschenden, dass ein einzelner solcher Gegner die Genauigkeit der Gruppe um 10–40 Prozentpunkte senken und die Zustimmung zur falschen Antwort um mehr als 30 Prozent steigern kann.

Wie der gegnerische Überredungskünstler arbeitet

Statt eine falsche Behauptung einfach zu wiederholen, folgt der gegnerische Agent einer strukturierten Mehr‑Schritt‑Strategie. Zuerst erzeugt er mehrere unabhängige Gedankengänge, die alle zur gleichen falschen Antwort führen, und variiert dabei den Stil — kausale Erzählungen, Definitionen oder grobe Berechnungen. Dann durchsucht er die Nachrichten der anderen Agenten, extrahiert deren Kernpunkte und baut maßgeschneiderte Gegenargumente, die deren Logik, Belege oder Gewissheit infrage stellen. Anschließend verschmilzt er seine unterstützenden Argumente und die Gegenangriffe zu einer einzelnen, ausgefeilten Botschaft, die wie eine abgerundete Expertenmeinung wirkt. Abschließend „poliert“ er das Ergebnis durch einen selbstsicheren Ton und facheigene Details, sodass die Aussage autoritativ klingt. Bemerkenswert ist, dass all dies zur Inferenzzeit geschieht — durch Prompting und geschickte Kontextnutzung — ohne das Modell neu zu trainieren oder zu modifizieren.

Figure 2
Figure 2.

Warum zusätzliche Werkzeuge die Lage verschlechtern können

Techniken, die LLMs normalerweise beim besseren Denken helfen, können diese Art von Angriff unbeabsichtigt verstärken. Die Autorinnen und Autoren erlauben dem gegnerischen Agenten den Einsatz von retrieval‑unterstützter Generierung, bei der kurze Passagen aus Online‑Textsammlungen gezogen werden, sowie ein „best‑of‑N“‑Auswahlverfahren, das viele Kandidatenargumente probiert und das überzeugendste behält. Diese Methoden sollen die faktische Verankerung und die Qualität des Denkens erhöhen, lassen hier aber den falschen Fall reicher und glaubwürdiger erscheinen — selbst wenn das gefundene Material nur lose passt oder selektiv zitiert ist. Die Experimente zeigen außerdem, dass mehr debattierende Agenten oder zusätzliche Runden das Problem nicht lösen; tatsächlich driftet die Gruppe oft mit fortschreitenden Runden noch stärker in Richtung der Position des Angreifers.

Was das für reale KI‑Systeme bedeutet

Die Ergebnisse legen eine strukturelle Schwäche von Debatten‑basierten KI‑Kollaborationen offen: Systeme, die sich auf Diskussion und Konsens stützen, können durch einen einzigen geschmeidig auftretenden Teilnehmer aus der Form gebracht werden. Stärkere Modelle wie GPT‑4o widerstehen dem bis zu einem gewissen Grad, sind aber nicht immun, während kleinere oder weniger ausgerichtete Modelle leicht zu beeinflussen sind. Einfache Abwehrmaßnahmen, etwa die Agenten anzuweisen, Überzeugungsversuche zu ignorieren, verringern den Schaden nur geringfügig. Für Anwendungen in Medizin, Recht oder Entscheidungsunterstützung, in denen Multi‑Agenten‑Setups immer populärer werden, bedeutet das: Designerinnen und Designer dürfen nicht davon ausgehen, dass „mehr Agenten“ oder „mehr Diskussion“ automatisch zu sichereren oder wahrheitsgetreueren Ergebnissen führen. Stattdessen plädieren die Autorinnen und Autoren für neue Protokolle, die verfolgen, wie sich Meinungen im Zeitverlauf verschieben, den Einfluss einzelner Agenten begrenzen und zentrale Aussagen gegen vertrauenswürdige Quellen verifizieren, bevor die Gruppe sich auf eine Antwort einigt.

Zitation: Kraidia, I., Qaddara, I., Almutairi, A. et al. When collaboration fails: persuasion driven adversarial influence in multi agent large language model debate. Sci Rep 16, 11640 (2026). https://doi.org/10.1038/s41598-026-42705-7

Schlüsselwörter: Multi‑Agenten‑KI, gegnerische Überredung, LLM‑Debatte, KI‑Sicherheit, retrieval‑unterstützte Erzeugung