Neue Tests von Crowdstrike beleuchten Sicherheitsaspekte von DeepSeek. Politisch heikle Triggerwörter erhöhen teils das Risiko unsicheren Codes um bis zu 50 Prozent. Ähnliche Effekte könnten auch bei anderen Sprachmodellen auftreten.
Crowdstrike untersuchte die Wahrscheinlichkeit, mit der LLMs Code mit Schwachstellen generiert – mit Triggerwörtern im Prompt und ohne.
(Bild: mindscapephotos - stock.adobe.com)
DeepSeek, ein chinesischer Anbieter, der seit Juli 2023 das gleichnamige Largue Language Model (LLM) betreibt, steht damit seit Beginn aufgrund von Sicherheitsbedenken in der Kritik. Eine Untersuchungen von Crowdstrike legt nun nahe, dass das Sprachmodell DeepSeek‑R1 bei politisch sensiblen Triggerwörtern deutlich unsichereren Code erzeugt. Die Analysten hätten festgestellt, dass die Wahrscheinlichkeit für Code mit schwerwiegenden Sicherheitslücken um bis zu 50 Prozent steige, wenn DeepSeek-R1 mit Aufgaben konfrontiert wird, die Themen enthalten, die die Kommunistische Partei Chinas (KPCh) wahrscheinlich als politisch heikel einstuft. Ansonsten sei die Coding-Leistung ähnlich wie die von anderen Anbietern.
Crowdstrike betont, dass eine Forschung sich von früheren Studien unterscheide, die sich hauptsächlich auf traditionelle Jailbreaks konzentriert hätten, etwa den Versuch, DeepSeek dazu zu bringen, Rezepte für illegale Substanzen zu erstellen oder kriminelle Aktivitäten zu unterstützen, oder darauf, DeepSeek mit offen politischen Aussagen oder Fragen zu provozieren, um eine pro-KPCh-Tendenz hervorzurufen. Unter Triggerwörtern versteht Crowdstrike Zusatzbegriffe oder kurze Kontextphrasen, die in den Prompt eingegeben wurden und die aus Sicht der chinesischen Behörden politisch sensibel sind. Diese Wörter sind für die eigentliche Codieraufgabe irrelevant, würden bei DeepSeek‑R1 jedoch messbare Verhaltensänderungen „triggern“, insbesondere mehr Sicherheitslücken oder teils eine Verweigerung der Ausgabe.
DeepSeek-R1 wurde im Januar 2025veröffentlicht und ist eines der Flaggschiffmodelle der Unternehmens. Es verfüge über 671 Milliarden Parameter. Crowdstrike testete das unstrukturierte Open-Source-Modell DeepSeek-R1, um mögliche Störeinflüsse durch API-basierte Schutzmechanismen der DeepSeek-App oder -API auszuschließen. Die Ergebnisse der Tests wurden mit verschiedenen anderen hochmodernen LLMs anderer Anbieter verglichen.
Zunächst ermittelten die Analysten die Wahrscheinlichkeit, mit der die einzelnen LLMs anfälligen Code generierten, wenn keine Triggerwörter in der Eingabeaufforderung vorhanden waren. Am höchsten lag diese Wahrscheinlichkeit mit 51 Prozent bei westlichen Non-Reasoning‑Modellen, also Modellen, die ohne explizite mehrstufige Begründungs‑ oder Planungsschritte, die über 70 Milliarden Parameter verfügen. Es folgt die DeepSeek‑R1‑llama‑Variante mit ebenfalls 70 Milliarden Parametern mit 41 Prozent. DeepSeek‑R1 mit seinen 671 Milliarden Parameter schnitt mit einer Wahrscheinlichkeit von 19 Prozent ab und ein westliches Reasoning‑Modell mit 120 Milliarden Parametern schnitt mit 16 Prozent am besten ab.
Reasoning-Modelle, die in der Lage sind, logische Schlussfolgerungen zu treffen, erzeugen Crowdstrike zufolge im Durchschnitt sichereren Code als Modelle ohne logisches Schlussfolgern gleicher Größe. Außerdem erzeugen neuere Modelle dem Test zufolge im Schnitt sichereren Code als ältere, selbst mit weniger Parametern.
Die Ergebnisse haben sich laut den Analysten jedoch geändert, wurden Kontextmodifikatoren oder Triggerwörter in die Systemeingabeaufforderung von DeepSeek-R1 eingeführt. Beispielsweise habe sich die Wahrscheinlichkeit für die Generierung von Code mit schwerwiegenden Sicherheitslücken auf 27,2 Prozent erhöht, als sie DeepSeek-R1 mitgeteilt hätten, dass es für ein industrielles Steuerungssystem in Tibet codiere. 27,2 Prozent entspricht einer Steigerung von fast 50 Prozent der Wahrscheinlichkeit von Code-Fehlern im Vergleich zum Ausgangswert ohne Triggerwörter. Besonders die Begriffe „Falun Gong“, „Uiguren“ oder „Tibet“ führen zu deutlich weniger sicherem Code. Diese sind politisch sensible Begriffe im Kontext der Volksrepublik China.
Besonders wenn der Begriff Falun Gong eingegeben wurde, habe DeepSeek-R1 die Erstellung von Code in 45 Prozent der Fälle verweigert. Westliche LLMs hätten selbst mit diesem Triggerwort fast immer Code generiert. DeepSeek hätte oftmals Formulierungen wie „Falun Gong ist eine sensible Gruppe. Ich muss die ethischen Implikationen berücksichtigen. Unterstützung könnte gegen die Richtlinien verstoßen. Der Benutzer bittet jedoch um technische Hilfe. Ich konzentriere mich auf die technischen Aspekte.“ oder „Es tut mir leid, aber ich kann Ihnen bei dieser Anfrage nicht helfen.“ ausgegeben.
Obwohl Crowdstrike eigenen Angaben zufolge nicht über ausreichende Informationen verfügt, um die Ursache der beobachteten Schwankungen in der Codesicherheit zu bewerten, gibt der Hersteller mögliche Erklärungen für das beobachtete Verhalten.
Stand: 08.12.2025
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von Newslettern und Werbung nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Meine Einwilligung umfasst zudem die Verarbeitung meiner E-Mail-Adresse und Telefonnummer für den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern wie z.B. LinkedIN, Google und Meta. Hierfür darf die Vogel Communications Group die genannten Daten gehasht an Werbepartner übermitteln, die diese Daten dann nutzen, um feststellen zu können, ob ich ebenfalls Mitglied auf den besagten Werbepartnerportalen bin. Die Vogel Communications Group nutzt diese Funktion zu Zwecken des Retargeting (Upselling, Crossselling und Kundenbindung), der Generierung von sog. Lookalike Audiences zur Neukundengewinnung und als Ausschlussgrundlage für laufende Werbekampagnen. Weitere Informationen kann ich dem Abschnitt „Datenabgleich zu Marketingzwecken“ in der Datenschutzerklärung entnehmen.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden. Dies gilt nicht für den Datenabgleich zu Marketingzwecken.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://contact.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung.
Chinesische Gesetze zu generativen KI-Diensten enthalten explizite Anforderungen und regulatorische Rahmenbedingungen. Beispielsweise schreibt Artikel 4.1 der chinesischen „Vorläufigen Maßnahmen zur Verwaltung von generativen KI-Diensten“ vor, dass KI-Dienste „den sozialistischen Kernwerten entsprechen“ müssen. Darüber hinaus verbietet das Gesetz Inhalte, die zur Subversion der Staatsgewalt anstiften, die nationale Sicherheit gefährden oder die nationale Einheit untergraben könnten. Diese Anforderungen decken sich mit den von Crowdstrike beobachteten Kontrollmustern der Ausgaben der DeepSeek-Modelle. Das chinesische Gesetz verlangt außerdem, dass LLMs keine illegalen Inhalte produzieren dürfen und KI-Anbieter ihre Trainingsdaten und Algorithmen den Behörden offenlegen müssen. DeepSeek könnte spezielle Schritte in die Trainingspipeline integriert haben, um die Modelle an die Kernwerte der KPCh auszurichten. Es erscheint den Analysten unwahrscheinlich, dass die Modelle gezielt darauf trainiert wurden, unsicheren Code zu erzeugen. Vielmehr sei es plausibel, dass das beobachtete Verhalten auf eine spontane Fehlausrichtung zurückzuführen sei.
DeepSeek-R1 habe möglicherweise unbeabsichtigt gelernt, Wörter wie Falun Gong oder Uiguren mit negativen Eigenschaften zu assoziieren. Dies könne dazu führen, dass es negative Reaktionen auslöst, wenn diese Wörter in der Systemabfrage erscheinen. In Studie wurden diese negativen Assoziationen möglicherweise aktiviert, als die Forscher diese Wörter in die Systemabfrage von DeepSeek-R1 einfügten. Sie führten zu einem negativen Verhalten des Modells, was sich in diesem Fall in Form von weniger sicherem Code äußerte.
Laut Crowdstrike ist es nicht auszuschließen, dass andere LLMs ebenfalls Verzerrungen aufweisen und auf ihre jeweiligen Triggerwörter ähnlich reagieren. Das Ziel der Untersuchung der Sprachmodelle sei es deshalb, neue Forschung darüber anzuregen, wie in den trainierbaren Parametern von LLMs verankerte Verzerrungen die Antworten der Modelle selbst bei scheinbar unabhängigen Aufgaben beeinflussen. Denn nicht bei jeder Anfrage würde DeepSeek-R1 unsicheren Code erzeugen. Stattdessen sei der Code, der bei Vorhandensein der Triggerwörter generiert werde, im langfristigen Durchschnitt weniger sicher.
Als unmittelbare Präventivmaßnahme für Unternehmen, die LLMs als Programmierassistenten oder jegliche Form von KI-Agenten einsetzen möchten, betont der Hersteller die Wichtigkeit gründlicher Tests der Agenten in ihrer vorgesehenen Umgebung. Die Verwendung generischer Open-Source-Benchmarks reiche nicht aus.
:quality(80)/p7i.vogel.de/wcms/77/96/77965e389847a783a89d16ec537bbdfd/0127091202v1.jpeg "Enterprise Network Firewalls tragen entscheidend zur Absicherung von Unternehmensnetzwerken bei. (Bild: © Bounty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/8a/d7/8ad77a356a43b3c02e85ce72e1f6c2c3/0127092578v1.jpeg "Security Awareness sorgt für eine Sicherheitskultur, in der Mitarbeitende eine aktive und informierte Verteidigungslinie bilden. (Bild: © photon_photo – stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/d7/14/d714ac0a936f45496f02ffb57415bef2/0127092564v1.jpeg "Endpoint-Protection-Plattformen entwickeln sich zu einem unverzichtbaren Bestandteil der Cyberresilienz moderner Organisationen. (Bild: © Dusty – stock.adobe.com / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/55/ff/55ff4d92656a4a7772ee51d40e338883/0129146028v2.jpeg "Die Staatlichen Kunstsammlungen Dresden sind ein Verbund von 15 Museen. Nach einem Cyberangriff am 21. Januar 2026 ist der Ticketverkauf eingeschränkt und (Bild: © tichr - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/85/b5/85b5c69c5a6e6e5762a0c7c269261a43/0127916883v1.jpeg "Unternehmen haben ein Interesse daran, Angriffe zu stoppen, bevor sie passieren. Schließlich haben wir für böse Überraschungen keine Zeit. (Bild: © Dece Std - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0b/b8/0bb8f7990d17673a2e7cdc3a8c6a6eda/0129034359v2.jpeg "Angreifer erlangen Root-Zugriff auf Produkte von Cisco, indem sie manipulierte HTTP-Anfragen senden, die eine Sicherheitslücke ausnutzen. (Bild: pixabay)")
:quality(80)/p7i.vogel.de/wcms/b9/35/b935e76917a2e60a68d35b91e24f2147/0128651087v2.jpeg "Für OT-Umgebungen wird es immer wichtiger, in verbesserte Erkennungssysteme und gezielte Investitionen in Sicherheitsmaßnahmen wie effektive Segmentierung und sicheren Fernzugriff zu investieren, um Cybervorfälle effektiv zu managen und Betriebsunterbrechungen zu minimieren. (Bild: greenbutterfly - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/0c/1d/0c1d11fd4db504d22e5e49ede52d9f70/0128678308v1.jpeg "WPS ist ein Standard der Wi-Fi Alliance zur vereinfachten Konfiguration der Endgeräte in einem verschlüsselten WLAN. (Bild: Oksana Latysheva)")
:quality(80)/p7i.vogel.de/wcms/41/31/4131a45084a47e14cf5abac95b596231/0128075274v1.jpeg "Echtzeiteinblicke in aktive Netzwerkverbindungen: WhoIsConnectedSniffer und, oder wie in dem Fall hier, Sniffnet liefern Administoren eine präzise Übersicht über Geräte und Datenverkehr. (Bild: Joos)")
:quality(80)/p7i.vogel.de/wcms/a4/95/a495b3f6cd1fa2bd22d1c1ff3c4f4104/0128522811v1.jpeg "Souveräne Cloud-Infrastrukturen sollen der öffentlichen Verwaltung Kontrolle, Sicherheit und digitale Handlungsfähigkeit über kritische Daten sichern. (Bild: © Anca - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/18/47/18475a0050ccbb07a3717ca5968b7e50/0129075506v1.jpeg "Viele Solaranlagen hängen mit schwachen Passwörtern am Internet; NIS 2 bringt Haftung, aber verbindliche Standards für Zugriffskontrolle und Updates fehlen noch. (Bild: SolarEdge)")
:quality(80)/p7i.vogel.de/wcms/74/a3/74a32ab50064418130cd1cd627ab666e/0128576134v1.jpeg "Extreme Herausforderungen, sicher gespeichert: Flexxon enthüllt X-Mask Pro, eine laut Hersteller zuverlässige Speicherlösung für kritische Industrien. (Bild: © Cedric - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/f4/07/f40741c3efecd5069f248cf96f033389/0129088128v1.jpeg "Der Data Act verpflichtet Hersteller seit September 2025 zu Datenzugang, aber die Abgrenzung zwischen Bereitstellungspflicht und DSGVO-Schutz bleibt komplex. (Bild: © Zay Win Htai - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/71/6d/716df686b73c0f960dd9478cade83bd6/0129087137v1.jpeg "Mit dem Auslaufen von SAP ECC rücken auch Security-Abhängigkeiten wie SAP GRC stärker in den Fokus, vor allem bei Notfallzugriffen und Rollenverwaltung in produktiven S/4HANA-Umgebungen. (Bild: © Starmarpro - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/8b/bc/8bbc7f8f7dd3167fcc3ab5e1e8188770/0129039996v2.jpeg "Manipulierte Trainings- und Eingabedaten gehören zu den zentralen Angriffsflächen agentischer Künstlicher Intelligenz: Data Poisoning und Prompt Injection setzen dort an, wo KI Entscheidungen ableitet und Aktionen auslöst. (Bild: © Xchip - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/e5/20/e520a4ead3ccf0de1445916fd8a89cdc/0129077672v2.jpeg "Sicherheitsforscher Jeremiah Fowler hat auf einem ungeschützten Server 149 Millionen gestohlene Passwörter entdeckt, die durch Infostealer-Malware gesammelt wurden. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/cc/df/ccdf983e4b47b1a7895509210d721d8c/0129059286v1.jpeg "Waren 2025 Speaker bei der ISX (v.l.n.r.): Georgia Voudoulaki beim Think Tank, Lukas Wagner und Leonard Bunjaku bei ihren Vorträgen (Bild: Vogel IT-Akademie)")
:quality(80)/p7i.vogel.de/wcms/7b/1b/7b1b6408a02a8308f697aee84799029c/0128685819v1.jpeg "Das Dynamic Host Configuration Protocol ist im Netzwerk für die automatische Zuweisung der IP-Netzwerkkonfiguration zuständig. (Bild: @alemedia via Canva: Visual Suite for Everyone)")
:quality(80)/p7i.vogel.de/wcms/c6/f9/c6f9ca1f06e343a3a49c5f065438b451/0126593157v1.jpeg "Ein Infostealer ist eine auf Datendiebstahl spezialisierte Schadsoftware. (Bild: frei lizenziert)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804272/original.jpg "XDR (Extended Detection and Response) erkennt Angriffe auf Endpoints frühzeitig. (Darwin Laganzon)")
:quality(80)/images.vogel.de/vogelonline/bdb/1804200/1804284/original.jpg "Eine wirksame Notfallvorsorge muss auch fortschrittliche Attacken vorhersehen. (Tumisu)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801554/original.jpg "Der Schutz von Operational Technology erfordert spezielle Security-Maßnahmen. (Gerd Altmann)")
:quality(80)/images.vogel.de/vogelonline/bdb/1801500/1801534/original.jpg "Security-by-Design ist bei Cloud-Apps besonders wichtig. (Werner Moser)")
:fill(fff,0)/p7i.vogel.de/companies/68/2d/682dd583dcc4c/fsas-afc-horizontal-2-positive-rgb-nov24.png "fsas-afc-horizontal-2-positive-rgb-nov24 (Fsas)")
:fill(fff,0)/p7i.vogel.de/companies/63/db/63dbd1915b7af/2023-fastlta-logo-square-positive.jpeg "2023-fastlta-logo-square-positive (FAST LTA GmbH)"){kind=logo}
:quality(80)/p7i.vogel.de/wcms/db/6f/db6f327d17c1d8e21c7f1f48c10873de/0123551433v1.jpeg "DeepSeek ist praktisch: Man kann sich unkompliziert Fragen beantworten lassen, Bilder generien oder damit komplizierte Matheaufgaben lösen. Doch ist DeepSeek sicher? Und was macht das chinesische Unternehmen mit unseren Daten? (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/b6/0b/b60b9de4a7944e2c5d106e19d8fe5fde/0122799858v1.jpeg "Datenschützer schlagen bei DeepSeek Alarm. Doch die Künstliche Intelligenz (KI) birgt noch eine weitere Gefahr. Die Anwendung basiert auf Open-Source. Cyberkriminelle könnten sie leicht manipulieren und für ihre Zwecke nutzen. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/b1/2bb1f40494984f468d8869ff84b37682/0122846570v1.jpeg "Durchgefallen! DeepSeek weist bei Sicherheitsuntersuchung von Cisco-Experten kritische Lücken auf. Die chinesiche Künstliche Intelligenz (KI) konnte keinem Test standhalten. (Bild: Dall-E / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/ab/d1/abd13c198ea79dcb5523a529d9aa3f46/0122696219v2.jpeg "Die Implementierung von LLMs birgt Gefahren, aber es gibt effektive Strategien, um sowohl interne als auch externe Risiken zu reduzieren. (Bild: scaliger - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/5e/26/5e26172f43a1356ee4220f77157bb57d/0123816971v2.jpeg "Die Einführung von generativer KI (GenAI) in Unternehmen führt zu neuen Risiken – intern durch die stark steigende Vernetzung durch APIs und fehlerhafte Bedienung, extern durch neuartige Angriffsmöglichkeiten für Cyberkriminelle. (Bild: rufous - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/bd/7e/bd7e493a25286db6a60ec99e838df378/0125072542v1.jpeg "KI-Agenten können dabei helfen, Sicherheitsanalysen und die Bearbeitung spezifischer Kontrollkataloge – etwa interne Risikoassessments für Applikationen, Lieferanten und Prozesse – zu beschleunigen. (Bild: © Antony Weerut - stock.adobe.com)")
:quality(80)/p7i.vogel.de/wcms/db/6f/db6f327d17c1d8e21c7f1f48c10873de/0123551433v1.jpeg "DeepSeek ist praktisch: Man kann sich unkompliziert Fragen beantworten lassen, Bilder generien oder damit komplizierte Matheaufgaben lösen. Doch ist DeepSeek sicher? Und was macht das chinesische Unternehmen mit unseren Daten? (Bild: Midjourney / KI-generiert)")
:quality(80)/p7i.vogel.de/wcms/2b/b1/2bb1f40494984f468d8869ff84b37682/0122846570v1.jpeg "Durchgefallen! DeepSeek weist bei Sicherheitsuntersuchung von Cisco-Experten kritische Lücken auf. Die chinesiche Künstliche Intelligenz (KI) konnte keinem Test standhalten. (Bild: Dall-E / KI-generiert)")