Aufdeckung der systematischen Anfälligkeit von Open-Weight-Modellen für Prefill-Angriffe
Exposing the Systematic Vulnerability of Open-Weight Models to Prefill Attacks
February 16, 2026
papers.authors: Lukas Struppek, Adam Gleave, Kellin Pelrine
cs.AI
papers.abstract
Mit den zunehmenden Fähigkeiten großer Sprachmodelle wächst auch ihr Potenzial für Missbrauch. Während Closed-Source-Modelle typischerweise auf externe Abwehrmechanismen angewiesen sind, müssen Open-Weight-Modelle primär auf interne Sicherheitsvorkehrungen setzen, um schädliches Verhalten zu mindern. Bisherige Red-Teaming-Forschung konzentrierte sich weitgehend auf input-basiertes Jailbreaking und Manipulationen auf Parameter-Ebene. Open-Weight-Modelle unterstützen jedoch nativ auch Prefilling, was einem Angreifer erlaubt, initiale Antwort-Tokens vor Beginn der Generierung festzulegen. Trotz dieses Potenzials hat dieser Angriffsvektor bisher wenig systematische Beachtung gefunden. Wir präsentieren die bislang größte empirische Studie zu Prefill-Angriffen und evaluieren über 20 bestehende und neuartige Strategien an verschiedenen Modellfamilien und modernsten Open-Weight-Modellen. Unsere Ergebnisse zeigen, dass Prefill-Angriffe durchweg effektiv gegen alle bedeutenden aktuellen Open-Weight-Modelle sind und damit eine kritische, bisher unterschätzte Verwundbarkeit mit erheblichen Implikationen für den Einsatz aufdecken. Während bestimmte große Reasoning-Modelle eine gewisse Robustheit gegenüber generischem Prefilling zeigen, bleiben sie anfällig für maßgeschneiderte, modellspezifische Strategien. Unsere Erkenntnisse unterstreichen die dringende Notwendigkeit für Modellentwickler, Abwehrmaßnahmen gegen Prefill-Angriffe in Open-Weight-LLMs priorisiert zu behandeln.
English
As the capabilities of large language models continue to advance, so does their potential for misuse. While closed-source models typically rely on external defenses, open-weight models must primarily depend on internal safeguards to mitigate harmful behavior. Prior red-teaming research has largely focused on input-based jailbreaking and parameter-level manipulations. However, open-weight models also natively support prefilling, which allows an attacker to predefine initial response tokens before generation begins. Despite its potential, this attack vector has received little systematic attention. We present the largest empirical study to date of prefill attacks, evaluating over 20 existing and novel strategies across multiple model families and state-of-the-art open-weight models. Our results show that prefill attacks are consistently effective against all major contemporary open-weight models, revealing a critical and previously underexplored vulnerability with significant implications for deployment. While certain large reasoning models exhibit some robustness against generic prefilling, they remain vulnerable to tailored, model-specific strategies. Our findings underscore the urgent need for model developers to prioritize defenses against prefill attacks in open-weight LLMs.