KI: Fälscher gewinnen die Oberhand

Rishi Sunak ist der britische Premierminister. Wenn man einigen Werbeanzeigen auf Facebook trauen kann (was nicht der Fall ist), scheint er auch für "Schnell-reich-werden"-Systeme zu werben. In einer dieser Anzeigen wirbt Sunak für eine App, die angeblich von Elon Musk, einem Geschäftsmann, entwickelt wurde und mit der die Zuschauer regelmäßig „sparen" können.

Das Video ist eine Fälschung. Es wurde mit Hilfe von künstlicher Intelligenz erstellt und ist nur eine von 143 Werbungen dieser Art, die von der britischen Firma Fenimore Harper Communications aufgelistet wurden und im Dezember und Januar liefen. Nicht nur Personen, die in der Öffentlichkeit stehen, müssen zusehen, wie ihr Konterfei für zweifelhafte Zwecke verwendet wird. Im Juni 2023 warnte das amerikanische Federal Bureau of Investigation die Öffentlichkeit vor „bösartigen Akteuren", die KI nutzen, um gefälschte Videos und Bilder mit sexuellen Inhalten von normalen Menschen zu erstellen, um Geld zu erpressen.

Wahrheit oder Fäschung?

Wie man solche Betrügereien erkennen kann, ist ein aktuelles Thema unter KI-Forschern, von denen viele an der NeurIPS, einer der größten Konferenzen auf diesem Gebiet, teilnahmen, die jetzt in New Orleans stattgefunden. Eine ganze Reihe von Unternehmen, von Start-ups bis hin zu etablierten Tech-Giganten wie Intel und Microsoft, bieten Software an, die maschinell erstellte Medien erkennen soll. Die Hersteller großer KI-Modelle suchen unterdessen nach Möglichkeiten, ihre Ergebnisse mit „Wasserzeichen" zu versehen, damit echte Bilder, Videos oder Texte leicht von maschinell erstellten unterschieden werden können.

Doch solche Technologien haben sich bisher nicht als zuverlässig erwiesen. Die KI-Kenner scheinen ihre Aussichten düster zu beurteilen. Der Economist führte eine (höchst unwissenschaftliche) Umfrage unter den Delegierten der NeurIPS durch. Von 23 Befragten waren 17 der Meinung, dass KI-generierte Medien irgendwann nicht mehr auffindbar sein werden. Nur einer glaubte, dass eine zuverlässige Erkennung möglich sein würde. Die anderen fünf zögerten und zogen es vor, abzuwarten.

Erkennungssoftware beruht auf der Vorstellung, dass KI-Modelle eine Spur hinterlassen werden. Entweder gelingt es ihnen nicht, bestimmte Aspekte echter Bilder und Videos oder von Menschen erstellter Texte zu reproduzieren, oder sie fügen etwas Überflüssiges hinzu - und zwar so oft, dass andere Software den Fehler erkennt. Eine Zeit lang konnte der Mensch diese Aufgabe übernehmen. Bis etwa Mitte 2023 erzeugten Algorithmen zur Bilderzeugung beispielsweise oft Menschen mit missgebildeten Händen oder verwechselten die Zahlen auf Zifferblättern. Heutzutage tun das die besten nicht mehr.

Aber solche Verräter gibt es oft immer noch, auch wenn es für Menschen immer schwieriger wird, sie zu erkennen. So wie Maschinen darauf trainiert werden können, Katzen oder Krebstumore auf medizinischen Scans zuverlässig zu erkennen, können sie auch darauf trainiert werden, zwischen echten und von der KI generierten Bildern zu unterscheiden.

Es scheint jedoch, dass sie dies nicht so gut können. Die Erkennungssoftware neigt sowohl zu falsch-positiven Ergebnissen (die fälschlicherweise menschliche Inhalte als von KI generiert kennzeichnen) als auch zu falsch-negativen Ergebnissen (die maschinell generierte Inhalte unerkannt durchlassen). Eine im September veröffentlichte Vorabveröffentlichung von Zeyu Lu, Informatiker an der Shanghai Jiao Tong University, ergab, dass das leistungsstärkste Programm computergenerierte Bilder 13 Prozent der Fälle nicht richtig erkannte, obwohl dies besser war als bei den Menschen, die sich in 39 Prozent der Fälle irrten. Bei Texten sieht es nicht viel besser aus. Eine Analyse, die im Dezember im International Journal of Educational Integrity veröffentlicht wurde, verglich 14 Tools und stellte fest, dass keines eine Genauigkeit von mehr als 80 Prozent erreichte.

Die Tücken des KI-Wasserzeichens

Wenn der Versuch, computergenerierte Medien im Nachhinein zu erkennen, zu schwierig ist, besteht eine weitere Möglichkeit darin, sie im Voraus mit einem digitalen Wasserzeichen zu versehen. Wie bei der Papiervariante geht es darum, ein Unterscheidungsmerkmal hinzuzufügen, das so subtil ist, dass es die Qualität des Textes oder Bildes nicht beeinträchtigt, das aber für jeden, der danach sucht, offensichtlich ist.

Eine Technik zur Markierung von Text wurde im Juli 2023 von einem Team an der University of Maryland vorgeschlagen und von einem Team an der University of California, Santa Barbara, ergänzt, das seine Verbesserungen auf der NeurIPS vorstellte. Die Idee besteht darin, mit den Wortpräferenzen eines Sprachmodells zu spielen. Zunächst ordnet das Modell eine Gruppe von Wörtern, die es kennt, nach dem Zufallsprinzip einer „grünen" Gruppe zu, während alle anderen in eine „rote" Gruppe eingeordnet werden. Dann würfelt der Algorithmus bei der Erstellung eines bestimmten Textblocks und erhöht die Wahrscheinlichkeit, dass er ein grünes Wort anstelle eines seiner roten Synonyme wählt. Um zu prüfen, ob es sich um ein Wasserzeichen handelt, wird das Verhältnis zwischen grünen und roten Wörtern verglichen - da es sich um ein statistisches Verfahren handelt, ist es bei längeren Textabschnitten am zuverlässigsten.

Bei vielen Methoden für Wasserzeichen in Bildern werden die Pixel auf subtile Weise verändert, etwa durch Verschieben der Farben. Diese Änderungen sind für den menschlichen Betrachter zu subtil, können aber von Computern erkannt werden. Durch Zuschneiden, Drehen oder sogar Unschärfen und anschließendes Nachschärfen eines Bildes lassen sich solche Spuren jedoch entfernen.

Eine andere Forschergruppe bei NeurIPS hat ein Verfahren namens „Tree-Ring"-Wasserzeichen vorgestellt, das robuster sein soll. Bei Diffusionsmodellen, der fortschrittlichsten Art von Bilderzeugungssoftware, wird die digitale Leinwand zunächst mit Zufallsrauschen gefüllt, aus dem sich das gewünschte Bild langsam herausbildet. Bei der Baumring-Methode wird das Wasserzeichen nicht in das fertige Bild, sondern in das anfängliche Rauschen eingebettet. Wird die Software, mit der ein Bild erstellt wurde, umgekehrt ausgeführt, reproduziert sie das Wasserzeichen zusammen mit dem Rauschen. Entscheidend ist, dass diese Technik nicht so leicht durch Manipulationen am fertigen Bild zu umgehen ist.
 

Wettrüsten der Detektive

Aber es ist wahrscheinlich nicht unmöglich. Die Wasserzeichner befinden sich in einem Wettrüsten mit anderen Forschern, die versuchen, ihre Techniken zu überwinden. Ein anderes Team unter der Leitung von Hanlin Zhang, Benjamin Edelman und Boaz Barak, alle von der Harvard University, hat eine noch nicht begutachtete Methode vorgestellt, mit der Wasserzeichen angeblich gelöscht werden können. Sie funktioniert, indem sie eine Prise neues Rauschen hinzufügt und dann ein zweites, anderes KI-Modell einsetzt, um dieses Rauschen zu entfernen, das dabei das ursprüngliche Wasserzeichen beseitigt. Sie behaupten, dass sie in der Lage sind, drei neue, für das Jahr 2023 vorgeschlagene Verfahren zum Anbringen von Wasserzeichen zu vereiteln. Im September veröffentlichten Wissenschaftler der University of Maryland eine ebenfalls noch nicht begutachtete Arbeit, in der sie behaupteten, dass keine der derzeitigen Methoden zum Anbringen von Wasserzeichen in Bildern - einschließlich Tree-Rings - narrensicher ist.

Dennoch kündigte die amerikanische Regierung im Juli 2023 „freiwillige Verpflichtungen" mit mehreren KI-Firmen, darunter OpenAI und Google, an, um die Investitionen in die Wasserzeichenforschung zu erhöhen. Unvollkommene Sicherheitsvorkehrungen sind sicherlich besser als gar keine, obwohl Open-Source-Modelle, die von den Nutzern frei verändert werden können, schwerer zu kontrollieren sind. Aber in der Schlacht zwischen den Fälschern und den Detektiven scheinen die Fälscher die Oberhand zu haben.