KI

GRAM: Anthropic testet abschaltbare Wissensmodule für riskante KI-Fähigkeiten

GRAM soll riskante KI-Fähigkeiten in schaltbare Module trennen. Was der neue Preprint von AE Studio und Anthropic zeigt – und was noch offen ist.

Von Wolfgang

13. Juli 20266 Min. Lesezeit

GRAM: Anthropic testet abschaltbare Wissensmodule für riskante KI-Fähigkeiten

GRAM soll riskante KI-Fähigkeiten in schaltbare Module trennen. Was der neue Preprint von AE Studio und Anthropic zeigt – und was noch offen ist.

Ein am 9. Juli 2026 eingereichter Preprint beschreibt eine neue Methode, mit der sich ausgewählte Fähigkeiten eines Sprachmodells in eigene Module verlagern und je nach Einsatzprofil abschalten lassen sollen. GRAM wurde von Forschenden aus dem Umfeld von AE Studio und Anthropic untersucht. Das klingt nach einem Not-Aus für riskantes KI-Wissen, ist aber noch keiner: Die Ergebnisse sind vorläufig, nicht unabhängig repliziert und stammen weder aus Claude noch aus einem anderen Produktionsmodell.

Das Wichtigste in 30 Sekunden

  • GRAM steht für „Gradient-Routed Auxiliary Modules“ und trennt markiertes Spezialwissen schon während des Trainings in zusätzliche Modellmodule.
  • Getestet wurden Virologie, Cybersicherheit, Kernphysik und spezialisierter Code sowie Modellgrößen von 50 Millionen bis fünf Milliarden Parametern.
  • Vier ein- oder ausschaltbare Module ermöglichen rechnerisch 16 Fähigkeitsprofile in einem trainierten Modell.
  • Die Befunde stammen aus einem Preprint. Es gibt keine unabhängige Replikation, keine Frontier-Validierung und keinen Einsatz in Claude.

Was Anthropic und AE Studio vorgestellt haben

Wer? Forschende von AE Studio, Anthropic und eine unabhängige Mitautorin. Was? Eine Trainingsmethode namens GRAM, die abgestufte Zugriffe auf bestimmte KI-Fähigkeiten ermöglichen soll. Wann? Anthropic veröffentlichte seine Einordnung am 8. Juli, der maßgebliche arXiv-Preprint folgte am 9. Juli 2026. Wo? Bislang ausschließlich im Forschungskontext. Warum? Nützliches Fachwissen kann zugleich missbraucht werden. Wie? Kategorisierte Trainingsdaten werden gezielt zusätzlichen Modulen zugeordnet, die sich später aktivieren oder entfernen lassen.

Die Idee adressiert ein unangenehmes Dilemma: Ein Modell kann Spezialwissen für legitime Forschung benötigen, ohne dass jede Nutzerin und jeder Nutzer Zugriff auf alle damit verbundenen Fähigkeiten erhalten sollte. Statt für jede Vertrauensstufe ein eigenes Modell zu trainieren, soll ein einziges Grundmodell mehrere Profile bereitstellen.

So funktioniert GRAM beim Training

Schematische Darstellung eines gemeinsamen KI-Modellkerns mit getrennten, einzeln zuschaltbaren Zusatzmodulen.
Bei GRAM entsteht die Trennung über markierte Trainingsdaten und kontrollierten Gradientenfluss – nicht über einen gelernten Router für einzelne Tokens.

GRAM ergänzt die MLP-Blöcke eines dichten Transformers um kleine Zusatzmodule. Eines davon gehört jeweils zu einer markierten Wissensdomäne. Beim Training steuert das sogenannte Gradient Routing, welche Gewichte aus einem Datenpaket lernen dürfen. Spezialdaten aktualisieren vor allem ihr zuständiges Modul; allgemeine Gewichte werden dabei zeitweise ganz oder teilweise eingefroren.

Bei der späteren Nutzung bleibt der Kern aktiv, während einzelne Fachmodule zugeschaltet oder entfernt werden. Wichtig ist die Abgrenzung zu Mixture-of-Experts-Systemen: Laut Projektbeschreibung gibt es keinen gelernten Router, der einzelne Tokens dynamisch an Experten verteilt. Die Zuordnung entsteht über Datenlabels und den kontrollierten Gradientenfluss während des Vortrainings.

Was die Versuche tatsächlich zeigen

Die Autoren untersuchten unterschiedliche Modellgrößen und Versuchsanordnungen. Die folgende Übersicht fasst die belastbaren Eckpunkte zusammen, ohne aus Laborwerten einen Praxiseinsatz abzuleiten.

Versuchsaspekt Angabe Einordnung
Domänen Virologie, Cybersicherheit, Kernphysik, spezialisierter Code Vier markierte Spezialbereiche, keine vollständige Abdeckung riskanten Wissens
Profile 16 An/Aus-Kombinationen Ergeben sich aus vier Modulen; es sind nicht 16 separat trainierte Modelle
Skalierung 50 Millionen bis 5 Milliarden Parameter Breites Experiment, aber keine Frontier- oder Produktionsskala
Trainingskosten Faktor fünf günstiger Autorenbefund ausschließlich im beschriebenen Fünf-Profil-Vergleich

Im Preprint blieb die allgemeine Modellleistung in den beschriebenen Tests weitgehend erhalten. Entfernte Fähigkeiten ließen sich durch begrenztes adversariales Fine-Tuning schwerer wiederherstellen als bei einer verglichenen Post-hoc-Unlearning-Methode. Gemessen wurde jedoch vor allem die Vorhersage des nächsten Tokens. Das ist nicht dasselbe wie die sichere Bearbeitung realistischer Aufgaben.

Warum das mehr ist als ein Antwortfilter

Refusal-Training bringt einem Modell bei, bestimmte Anfragen abzulehnen. Klassifikatoren können riskante Eingaben oder Ausgaben erkennen und blockieren. Beides kontrolliert vor allem das sichtbare Verhalten; das zugrunde liegende Wissen kann weiterhin in den Gewichten stecken. Post-hoc-Unlearning versucht dagegen, bereits gelerntes Wissen nachträglich abzuschwächen.

GRAM setzt früher an. Die Trennung soll bereits beim Vortraining entstehen. Damit wird Zugangskontrolle zu einem Teil der Modellarchitektur, nicht nur zu einer Schranke vor der Antwort. Das kann prinzipiell robuster sein, löst aber das Grundproblem nicht automatisch: Allgemeinwissen und sensibles Spezialwissen sind oft eng miteinander verflochten. Falsche oder lückenhafte Datenlabels würden diese Trennung zusätzlich schwächen.

Grenzen-Check: Was jetzt geprüft werden müsste

Eine schematische Prüfstrecke trennt einen begrenzten KI-Laborversuch von einer noch nicht erreichten Produktionsumgebung.
Der Preprint liefert einen Laborbefund; unabhängige Replikation, reale Aufgaben sowie Frontier- und Produktionsvalidierung stehen noch aus.
  • Replikation: Ein unabhängiges Team müsste Training, Ablation und Wiederherstellungsversuche nachvollziehen.
  • Reale Aufgaben: Benchmarks müssten über Next-Token-Vorhersage hinausgehen und tatsächliche Problemlösefähigkeiten messen.
  • Größere Modelle: Offen ist, ob die Trennung bei Frontier-Modellen und breiteren Datensätzen bestehen bleibt.
  • Angriffstests: Module, Zugriffsrechte und Bereitstellung brauchen eigene Red-Teaming- und Wiederherstellungstests.
  • Datenklassifikation: Anbieter müssten begründen, welches Material in welche Risikokategorie fällt und wie Grenzfälle behandelt werden.

Der veröffentlichte Code und die Ergebnisartefakte erleichtern die Prüfung. Das Repository enthält nach eigener Beschreibung aber keine Modell-Checkpoints. Transparenz über Skripte ist wertvoll, ersetzt jedoch keine Wiederholung der rechenintensiven Experimente.

Was GRAM für Deutschland und die EU bedeuten könnte

Für europäische Modellanbieter wäre ein System mit abgestuften Fähigkeitsprofilen vor allem operativ interessant. Es könnte Zugangskontrollen, interne Freigaben und Sicherheitsprüfungen technisch ergänzen. Denkbar wären unterschiedliche Profile für Forschung, externe Kunden oder besonders geprüfte Partner, ohne für jede Gruppe ein vollständiges Modell neu zu trainieren.

Das ist keine regulatorische Abkürzung. Der europäische GPAI-Rahmen behandelt unter anderem Sicherheit und Risikomanagement, bestätigt GRAM aber weder als wirksam noch schreibt er modulare Trainingsarchitekturen vor. Auch mit schaltbaren Modulen müssten Anbieter Risiken dokumentieren, Kontrollen testen und den gesamten Bereitstellungsweg absichern.

Meine Einschätzung: Interessant ist nicht der „Ausschalter“

Der griffige Not-Aus-Vergleich führt leicht in die Irre. GRAM kann nicht nachträglich beliebiges Wissen aus einem fertigen Modell herausziehen. Der Ansatz verlangt vielmehr, riskante Bereiche vor dem Training zu erkennen, Daten entsprechend zu markieren und die Architektur darauf vorzubereiten.

Gerade darin liegt der relevante Schritt. KI-Sicherheit wird häufig als nachgelagerter Filter gedacht. GRAM behandelt sie als Frage der Modellkonstruktion. Wenn unabhängige Versuche zeigen, dass solche Fähigkeitsgrenzen auch bei großen Modellen und realen Aufgaben halten, könnte daraus ein nützliches Werkzeug für differenzierten Zugriff werden. Bis dahin ist GRAM ein gut prüfbarer Forschungsansatz – kein Beleg für einen sicheren Wissensschalter.

FAQ zu GRAM und abschaltbarem KI-Wissen

Wird GRAM bereits in Claude eingesetzt?

Nein. Laut den vorliegenden Primärquellen wurde GRAM weder in einem Claude-Modell noch in einer anderen Anthropic-Produktionspipeline eingesetzt.

Kann GRAM gefährliches Wissen vollständig löschen?

Das ist nicht belegt. Die Methode soll markierte Fähigkeiten während des Vortrainings in Module lenken. Ob sich komplexes Wissen vollständig und dauerhaft trennen lässt, bleibt offen.

Warum ergeben vier Module 16 Profile?

Jedes der vier Module kann an- oder ausgeschaltet sein. Daraus entstehen rechnerisch 16 Kombinationen. Sie stammen aus einem trainierten Modell und sind keine 16 separat trainierten Modelle.

Quellen und weiterführende Informationen

Hinweis: Für diesen Artikel wurden KI-gestützte Recherche- und Editierwerkzeuge verwendet. Der Inhalt wurde redaktionell geprüft. Stand: 13. Juli 2026