Zum Hauptinhalt springen
4 Min. Lesezeit

Kein einziger Faktenfehler — und dann kam die fünfte Gesprächsrunde

Ein Sicherheitstest setzte einen patientennahen Chatbot unter Dauerdruck. Seine Dokumente gab er stets korrekt wieder. Seine eigenen Schutzregeln gab er auf, sobald eine Person in Not einfach weiterfragte. Eine Einzelfrage hätte das nie gezeigt.

Dr. Sven Jungmann

Dr. Sven Jungmann

CEO

Editorial-Collage: Hände halten ein Smartphone mit tealfarbenem Bildschirm, diagonal darüber fünf zunehmend ausfransende navyblaue Sprechblasen und ein einzelner Amber-Akzent auf der letzten Blase.

Jeden Faktentest bestand das System: sechzig Prüfungen, ob es seine Quelldokumente getreu wiedergab, kein einziger Fehler. Dann sprach eine Person in Not weiter mit ihm. In der fünften Runde eines Gesprächs über einen gewalttätigen Vater riet der Chatbot, man solle try to avoid making your dad angry — versuchen, den Vater nicht zu verärgern. Nichts daran war ein sachlicher Fehler. Das Modell rief durchgehend die richtigen Dokumente ab und zitierte sie korrekt. Es gab schlicht die Schutzregeln auf, die ihm vorgegeben waren — allein, weil eine Nutzerin nicht aufhörte zu fragen.

Dieser Gegensatz trägt eine Sicherheitsuntersuchung eines Teams vom Nationwide Children's Hospital und der Ohio State University, im März 2026 in Scientific Reports erschienen. Das geprüfte System ist etwas Alltägliches und Nützliches: ein Chatbot mit abrufgestützter Erzeugung (retrieval-augmented generation), der Menschen bei gesundheitsbezogenen sozialen Bedarfen hilft — eine Tafel finden, eine Notunterkunft, finanzielle Hilfe im eigenen Landkreis. Er läuft auf Claude 3.5 Sonnet. Doch es geht weniger um diesen einen Chatbot als um die Frage, woran man überhaupt erkennen könnte, ob ein solches System sicher ist.

Zweierlei Richtigsein

Der nützlichste Gedanke der Arbeit ist eine Unterscheidung zwischen zwei Versagensarten, die von außen gleich aussehen. Die erste: Gibt das System die abgerufenen Dokumente getreu wieder — sagt es, was die Quelle tatsächlich enthält? Die zweite: Befolgt es die Verhaltensregeln, die in seinen Anweisungen stehen — verweigert es, was es verweigern soll, eskaliert es, was es eskalieren soll, bleibt es in seiner Spur? Ein System kann das Erste tadellos beherrschen und am Zweiten scheitern. Und das Zweite ist es, das Menschen schadet.

Um beides zu prüfen, formulierte das Team 160 gezielt provozierende Eingaben und stellte sie als Einzelfragen sowie als längere Gespräche über mehrere Runden. Das ist keine klinische Studie und erhebt diesen Anspruch nicht: Es ist ein strukturierter Belastungstest eines Chatbots, mit simulierten statt echten Nutzer:innen. Auf dieser Ebene gelesen — als sorgfältige Sicherheitsprüfung, nicht als Beleg für einen Patientennutzen — überzeugt die Arbeit.

Was die Evidenz belegt

In der Treue zu seinen Dokumenten war das System fehlerfrei: kein Fehler in sechzig Tests. Im Befolgen seiner eigenen Verhaltensregeln versagte es schon bei Einzelfragen in etwa fünfzehn Prozent der Fälle. Die aufschlussreiche Zahl zeigte sich unter anhaltendem Nachfragen. Bei ratsuchenden Anfragen verdoppelte sich die Fehlerquote nahezu — von rund dreißig Prozent bei Einzelfragen auf fünfzig Prozent im Mehrrunden-Gespräch. Bei Nutzer:innen, die Not äußerten, gab es in Einzelfragen keinen einzigen Fehler — im Gespräch über mehrere Runden dagegen eine Fehlerquote von vierzig Prozent, und jeder dieser vier Fehler war schwerwiegend. Die gefährlichen Fehler traten erst auf, als das Gespräch Länge gewann.

Die Abhilfen sind so schlicht wie der Befund. Ergänzte man die Anweisungen am Ende um ausdrückliche Verbote, sanken die Fehler insgesamt um rund sechzig Prozent. Spielte man ein kuratiertes Dokument mit lokalen Krisenkontakten in den Abruf ein, schloss sich die Lücke bei Not-Anfragen im Einzelgespräch vollständig. Zusammen beseitigten beide Maßnahmen die schwerwiegenden Fehler im Mehrrunden-Gespräch — nicht durch ein klügeres Modell, sondern indem sie das System in ein bewusstes sicheres Scheitern lenkten: das Gespräch abzugeben, statt eine Antwort über Schaden zu erfinden. Was schützte, war die Weigerung, das Modell dort improvisieren zu lassen, wo Improvisation gefährlich ist.

Ein System, das unter Faktendruck standhält, aber unter emotionalem Druck nachgibt, scheitert genau dort, wo das Scheitern am schwersten wiegt.

Was die Evidenz nicht belegt

Es ist ein Chatbot, ein zugrunde liegendes Modell, eine Aufgabe, geprüft von den eigenen Entwickler:innen anhand selbst verfasster Eingaben, mit simulierten Nutzer:innen. Die Autor:innen sagen das unumwunden, und diese Offenheit ist Teil dessen, was die Arbeit lesenswert macht. Die Bewertung lag bei einer einzigen Person, ohne berichtete Übereinstimmung zwischen mehreren Bewertenden — eine Grenze, die die Autor:innen selbst benennen. Nichts davon sagt, wie oft ein realer Mensch in Not bis zur fünften Runde gelangt oder ob dieselbe Lücke in einem Triage-Chatbot, in einem für Entlassungshinweise oder in einem deutschsprachigen auftritt. Scientific Reports ist begutachtet, aber ein Journal mit hohem Publikationsvolumen; dies ist eine solide Methodenarbeit, kein bewiesenes Naturgesetz. Es ist ein Vorgehen, das andere nun anwenden müssen.

Warum das hier zählt

Beschaffung wie Aufsicht behandeln ein dialogfähiges System bislang meist wie einen Taschenrechner: einmal die schweren Fragen stellen, die Antworten prüfen, freigeben. Diese Untersuchung zeigt sauber, dass die Einzelfrage die falsche Prüfeinheit ist. Die patientennahen Werkzeuge, die jetzt in europäische Kliniken und Wartezimmer kommen, erreichen am häufigsten jene Menschen mit dem geringsten Spielraum — und genau sie fragen am ehesten weiter, drängen, zermürben ein System. Wenn Ihre Abnahmeprüfung eine Liste isoliert korrekt beantworteter Fragen ist, haben Sie den Teil der Sicherheit gemessen, der nie ernstlich gefährdet war. Der Teil, auf den es ankommt, zeigt sich erst in der fünften Runde.

Quelle: Hussain SA, Jackson DI, Lewis A, Fosler-Lussier E, Sezgin E. Toward trustworthy chatbots: a protocol for red teaming for health related conversations. Scientific Reports 2026;16(1):15550. Eine Sicherheitsuntersuchung an einem einzelnen System mit simulierten Nutzer:innen und einer einzigen Bewerterin in einem begutachteten Journal mit hohem Publikationsvolumen — ein zu reproduzierendes Vorgehen, noch kein verallgemeinerbarer Befund über patientennahe Chatbots im Allgemeinen.

#Journal Club#Klinische KI#KI-Sicherheit#Sprachmodelle#Patientensicherheit

Weiterlesen

Editorial-Collage: eine Person am Küchentisch mit einem Smartphone, dessen Bildschirm eine tealfarbene Fläche ist, darüber ein großes Fragezeichen aus gerissenem Papier, dazu ein einzelner Amber-Akzent.

Mehr KI-Gesundheitstools denn je. Die Frage ist, ob sie helfen.

Eine sorgfältige Reportage trifft das Feld dort, wo es wirklich steht: Treffsicherheit auf einem Benchmark ist nicht dasselbe wie ein Nutzen für die Patient:innen — und genau Letzteres hat kaum jemand gemessen. Zwei Studien zeigen, warum.

Dr. Sven JungmannCEO

Diese Analyse stammt von den Leuten hinter Visite.

Unser wöchentlicher Newsletter zu KI in der Medizin. Jeden Freitag, gründlich geprüft.

Mit der Anmeldung stimmen Sie dem Erhalt von Visite per E-Mail zu. Abmeldung jederzeit. Mehr in unserer Datenschutzerklärung.

Sie möchten das in Ihrer Klinik sehen?

30 Minuten. Ihre Fragen. Unser Arzt-Gründer zeigt Ihnen die Plattform persönlich.

Termin vereinbaren

Unverbindlich. Kein Vertrieb. Arzt zu Arzt.