LLM Primer VII — Einführung in die Reihe & Index

Veröffentlicht am: 2026-05-09 Zuletzt aktualisiert am: 2026-07-13 Version: 1
LLM Primer VII — Einführung in die Reihe & Index

LLM Primer VII — Einführung in die Reihe & Index

Ein Kapitel-für-Kapitel-Walkthrough zu LLM Primer VII: KI-Sicherheit — dem Reihenfinale, in dem der Ingenieursbogen des LLM Primer bei der Disziplin ankommt, die entscheidet, ob irgendetwas davon Angreifer, Regulatoren oder die alltäglichen Fehlermodi probabilistischer Systeme überlebt.


Warum es diese Reihe gibt

In der klassischen Sicherheit sind Code und Daten verschiedene Dinge. Parser, Escaping und parametrisierte Abfragen ruhen alle auf dieser Trennung. In LLM-Systemen trägt derselbe String die Anweisungen der Entwicklerin, die Eingabe des Nutzers, das abgerufene Dokument, das Werkzeugergebnis und alles, was das Modell während des Trainings gesehen hat und einer dieser Kategorien ähnelt. Es gibt keine syntaktische Position, die für einen Transformer nachweislich inert wäre, und keinen Teilstring, den das Modell garantiert als Daten und nicht als Anweisung liest. Diese strukturelle Kollision ist der Grund, warum Prompt-Injection, Jailbreaks und adversariale Angriffe keine Implementierungsfehler sind, die man patcht, sondern Designfolgen, die man verwaltet. Die Sicherheitsdisziplin für LLM-Systeme erbt das Vokabular klassischer Sicherheit — Assets, Angreifer, Kontrollen, Vorfälle — und baut das Substrat darunter neu auf. Band VII ist dieser Neuaufbau in Schriftform, vom Bedrohungsmodell bis zur regulatorischen Peripherie.

Das Buch in einem Satz: LLM-Sicherheit ist die Disziplin, Systeme zu verteidigen, deren mächtigste Komponente eine probabilistische Funktion ist, die jede Eingabe als potenziell instruktiv liest — und deren Fehlermodi deshalb über Architektur, Evaluation, Observability und Governance gemanagt werden müssen, nicht über Patches.

Für wen ich das geschrieben habe

Sicherheitsingenieurinnen, die jetzt ein LLM in Produktion betreiben und sich fragen, welche Teile ihres bestehenden Playbooks noch greifen. ML-Ingenieure, die das Modell trainiert oder feingetunt haben und nun überlegen müssen, wer es angreifen könnte. Platform-Leads und SREs, die den Inferenz-Stack fahren und einen Piepser bekommen, wenn Missbrauchsmuster ausschlagen. CISOs, die KI-Deployments freigeben und gegenüber Vorständen, Regulatoren und Auditoren erklären müssen, was „sicher" heißt, wenn die Komponente Wahrscheinlichkeitsverteilungen ausgibt. Das Buch setzt Vertrautheit mit Produktions-Engineering voraus und verlangt keine Vorkenntnisse in adversarialem ML; es baut die modellzentrischen Teile aus ersten Prinzipien auf und verbindet sie mit den bestehenden Sicherheitsdisziplinen dort, wo die Verbindung real ist.

Wie man es liest

Die siebzehn Kapitel gliedern sich in sechs Teile. Die Kapitel 1–3 legen die Grundlagen — warum KI-Sicherheit anders ist, wie man ein LLM-System bedrohungsmodelliert und die Datendimension über den gesamten Lebenszyklus. Die Kapitel 4–6 walken die Prompt- und Interaktionsschicht: Prompt-Injection, Input- und Output-Filterung und retrieval-augmentierte Generierung. Die Kapitel 7–9 gehen das Modell selbst durch: Halluzinationen als Zuverlässigkeitsversagen, adversariale Angriffe und die Modell-Lieferkette. Die Kapitel 10–12 walken die Systemarchitektur rund um das Modell — Isolation, Observability und Zugriffssteuerung. Die Kapitel 13–15 walken die Governance-Peripherie — Regulierung, verantwortliche KI und die Organisation, die die Disziplin trägt. Kapitel 16 walkt Fine-Tuning als eigene Sicherheitsoberfläche, und Kapitel 17 schließt mit den entstehenden Bedrohungen, die sich noch formen.

Der 17-Kapitel-Walk

Zwischen dem 10. und dem 26. Mai postet der Walkthrough ein Kapitel pro Tag. Jeder Artikel destilliert die drei Schlüsselideen des Kapitels in eine etwa fünfminütige Lektüre; das Buchkapitel trägt die durchgearbeiteten Beispiele, den Code und die „In Plain English"-Sidebars.

Die LLM-Primer-Reihe endet hier: Band I hat die Grundlagen der Transformer-Architektur gelegt, Band II die Mathematik von Training und Alignment, Band III die Pipeline retrieval-augmentierter Generierung, Band IV die protokollförmige Kognition und das umgebende Tooling, Band V die produktiven Anwendungen, Band VI die Inferenzinfrastruktur im großen Maßstab — und Band VII ist der Ort, an dem alle sechs dem Angreifer begegnen. Der Begleitband Physical AI erweitert die Karte auf verkörperte Systeme, wo dasselbe probabilistische Substrat nun Aktoren steuert und den physischen Raum mit Menschen teilt.

Über dieses Buch und die Reihe

Die LLM-Primer-Reihe umfasst sieben Bände, geschrieben von Sho Shimoda, veröffentlicht auf Amazon KDP und hier auf dem ReceiptRoller-Blog Kapitel für Kapitel gelesen. Die Reihe argumentiert, dass Bauen mit LLMs eine Systemdisziplin ist, und dass diese Disziplin am besten dadurch gelernt wird, dass man jede Schicht des Stacks in mechanismusorientierter Prosa durchgeht statt in Checklistenform. Band VII schließt diesen Bogen. Er ist der Sicherheitsband, und er ist zugleich der Band, der die anderen sechs mit adversarialer Brille noch einmal liest — die Retrieval-Pipeline von Band III als Injection-Kanal, den Inferenz-Stack von Band VI als Rate-Limit-Grenze, die Alignment-Arbeit von Band II als Angriffsfläche für Fine-Tuning. Wo die früheren Bände sagten „so funktioniert es", sagt dieser „so kann man es zum Scheitern bringen, und was dagegen zu tun ist".

Ein Exemplar holen. Das Buch enthält die vollständigen durchgearbeiteten Beispiele, den lauffähigen Python-Code für Redaktion, Guardrails und Rollback, das YAML für OPA-Policies und CI-Evaluations-Gates, die Incident-Playbooks in längerer Form und die „In Plain English"-Sidebars, die diese Artikel nur zusammenfassen. LLM Primer VII auf Amazon →

SHO
SHO