So kann man Selfies vor KI-Missbrauch schützen

Wer nicht will, dass persönliche Fotos im Web zur Trainingshilfe für Gesichtserkennungssysteme wird, kann sie so verändern, dass die KI sie nicht nutzen kann.​

Lesezeit: 7 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 70 Beiträge

(Bild: Ms Tech / Unsplash)

Von
  • Will Douglas Heaven

Beim Hochladen persönlicher Fotos ins Internet muss man sich inzwischen fragen: Wer wird alles Zugang zu ihnen haben, was passiert mit ihnen und welche Algorithmen für maschinelles Lernen werden sie für ihr Training nutzen? Gerade die letzte Frage wird zunehmend wichtiger.

So hat etwa das Unternehmen Clearview US-Strafverfolgungsbehörden bereits ein Gesichtserkennungs-Tool zur Verfügung gestellt, das mit Fotos aus dem öffentlichen Internet von Millionen von Menschen trainiert ist. Aber das war wahrscheinlich erst der Anfang. Inzwischen kann jeder mit grundlegenden Programmierfähigkeiten Gesichtserkennungssoftware entwickeln. Es gibt also mehr Potenzial denn je dafür, die Technologie weiträumig zu missbrauchen: von sexueller Belästigung und Rassendiskriminierung bis hin zu politischer Unterdrückung und religiöser Verfolgung.

Mehr von MIT Technology Review Mehr von MIT Technology Review

Eine Reihe von Künstliche-Intelligenz-Forschern will deshalb sicherstellen, dass Künstliche Intelligenzen (KI) nicht aus persönlichen Daten lernen können. Zwei der neuesten Strategien dafür wurden Anfang Mai auf der Internationalen Konferenz für Lernrepräsentationen (ICLR) vorgestellt. "Ich mag es nicht, wenn Leute mir Dinge wegnehmen, die sie eigentlich nicht haben sollten", beschreibt Emily Wenger von der University of Chicago, die im vergangenen Sommer mit ihren Kollegen eines der ersten Werkzeuge namens "Fawkes" dafür entwickelt hat, ihre Motivation. "Ich denke, viele von uns hatten gleichzeitig eine ähnliche Idee", sagt die Forscherin.

"Die Technologie dient gleichsam als Schlüssel, um ihre Daten zu sperren", sagt Sarah Erfani von der University of Melbourne in Australien. "Es ist eine neue Vorwärtsverteidigung zum Schutz der digitalen Rechte der Menschen im Zeitalter der KI." Solche sogenannte Datenvergiftungsstrategien sind an sich nicht neu.

Sie setzen auf Aktionen wie das Löschen von Daten, die Unternehmen über einen selbst gesammelt haben, oder auf das bewusste Verunreinigen von Datensätzen mit gefälschten Beispielen, um es Unternehmen zu erschweren, genaue Modelle für maschinelles Lernen zu trainieren. Diese Bemühungen erfordern jedoch kollektive Maßnahmen von Hunderten oder gar Tausenden Menschen, um eine Wirkung zu erzielen. Im Unterschied dazu funktionieren die neuen Techniken für Fotos einzelner Personen.

Die meisten Werkzeuge einschließlich Fawkes verfolgen denselben Ansatz. Sie nehmen winzige Änderungen an einem Bild vor, die mit bloßem Auge schwer zu erkennen sind, eine KI jedoch in die Irre leiten. Sie identifiziert dann falsch, wen oder was sie auf einem Foto sieht. Diese Technik ähnelt einer Art gegnerischem Angriff (adversarial attack), bei dem kleine Änderungen an den Eingabedaten Deep-Learning-Modelle dazu zwingen können, große Fehler zu machen. Auch Fawkes fügt Selfies Störungen auf Pixelebene hinzu. Im Gegensatz zu früheren Methoden, wie dem Tragen von AI-Spoofing-Gesichtsfarbe, sehen die Bilder für Menschen scheinbar unverändert aus.

Wenger und ihre Kollegen testeten ihr Werkzeug mit mehreren kommerziellen Gesichtserkennungssystemen, darunter Amazon AWS Rekognition, Microsoft Azure und Face++, die von der chinesischen Firma Megvii Technology entwickelt wurde. In einem Experiment mit einem kleinen Datensatz von 50 Bildern war Fawkes jeweils zu 100 Prozent wirksam und verhinderte, dass die Modelle später Bilder dieser Personen in neuen Bildern erkannten. Die manipulierten Trainingsbilder hatten die Dienste daran gehindert, eine genaue Repräsentation der Gesichter zu erstellen.

Fawkes wurde bereits fast eine halbe Million Mal von der Projektwebsite heruntergeladen. Ein Nutzer hat darüber hinaus auch eine einfacher zu benutzende Online-Version erstellt, obgleich Wenger nicht für den Code Dritter bürgen will und warnt: "Sie wissen nicht, was mit Ihren Daten passiert, während diese Person sie verarbeitet."

Fawkes verhindert also möglicherweise, dass neue Gesichtserkennungssysteme wie das nächste Clearview Gesichter erkennen kann. Bestehende Systeme, die bereits mit unseren ungeschützten Bildern geschult wurden, sabotiert es nicht. Wenger glaubt jedoch, dass ein Werkzeug von Valeriia Cherepanova und Kollegen von der University of Maryland genau das zu tun vermag. "LowKey" geht über Fawkes‘ Funktionen hinaus, indem es Bilder mit Störungen versieht, die auf einer stärkeren Art von gegnerischem Angriff basieren. Dadurch kann es auch vorab trainierte kommerzielle KI-Modelle zum Narren halten. Wie Fawkes ist auch LowKey online verfügbar.

Den größten Effekt hat aber wohl das Werkzeug der Melbourner Forscherin Erfani und Kollegen. Zusammen mit Daniel Ma von der Deakin University und Forschern der University of Melbourne und der Peking University in Peking verwandeln sie Bilder in "nicht lernbare Beispiele", die eine KI dazu bringen, Selfies vollständig zu ignorieren. "Ich finde es großartig", sagt Wenger. "Fawkes trainiert ein Modell, um etwas Falsches über Sie zu lernen, und dieses Tool trainiert ein Modell, um nichts über Sie zu lernen."

Im Gegensatz zu Fawkes und ähnlichen Systemen basieren nicht-lernbare Beispiele nicht auf gegnerischen Angriffen. Anstatt Änderungen an einem Bild vorzunehmen, die eine KI dazu zwingen, einen Fehler zu machen, fügt das Team von Ma winzige Änderungen hinzu, die eine KI sie während des Trainings ignorieren lässt. Wenn die KI das Bild später präsentiert bekommt, wird ihre Bewertung des Inhalts nicht besser sein als eine zufällige Vermutung.

Nicht-lernbare Beispiele können sich als wirksamer erweisen als gegnerische Angriffe, da sie nicht trainiert werden können. Je mehr widersprüchliche Beispiele eine KI sieht, desto besser kann sie sie erkennen. Weil aber Erfani und ihre Kollegen KI-Systeme daran hindern, Bilder zum Trainieren zu nutzen, behaupten sie, dasselbe könne mit nicht-lernbaren Beispielen nicht passieren.

Wenger hat sich jedoch damit abgefunden, dass es sich um einen wohl endlosen Kampf handelt. Ihr Team hat kürzlich festgestellt, dass der Gesichtserkennungsdienst von Microsoft Azure von einigen Bildern nicht mehr aus der Bahn geworfen wurde. "Er wurde plötzlich irgendwie robust gegenüber unseren getarnten Bildern", sagt sie. "Wir wissen nicht, was passiert ist." Möglicherweise hat Microsoft seinen Algorithmus geändert, oder die KI hat einfach so viele Bilder von Personen gesehen, die Fawkes verwenden, dass sie gelernt hat, sie zu erkennen.

Wengers Team hat deshalb ein Update veröffentlicht, das gegen Azure wieder bestehen kann. "Es ist ein weiteres Katz-und-Maus-Wettrennen", sagt sie. Das treffe auch auf die Geschichte des Internets zu. "Unternehmen wie Clearview nutzen das, was sie als frei verfügbare Daten wahrnehmen, und verwenden es, um zu tun, was sie wollen", sagt sie. Regulierungen könnten auf lange Sicht helfen, aber das hindert Unternehmen nicht daran, Lücken auszunutzen.

"Es wird immer eine Entkoppelung zwischen dem geben, was rechtlich akzeptabel ist und dem, was die Leute tatsächlich wollen", sagt Wenger. "Werkzeuge wie Fawkes füllen diese Lücke. Geben wir den Menschen etwas Macht, die sie vorher nicht hatten." (vsz)