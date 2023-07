Jetzt ist es so weit: Alle deutschen Bundesländer haben Sommerferien. Wer kann und mag, fährt weg, mit der Familie – und fotografiert dabei natürlich. Damit die Daheimgebliebenen die Bilder sehen können, werden sie in irgendeine Cloud geladen. Und spätestens seit einem Jahr muss man sich dann fragen: Was passiert mit meinen Bildern? Werden sie für das Training von KI-Modellen verwendet?

Auch wenn man den Datenschutzerklärungen der großen Anbieter glauben will, schützt das immer noch nicht davor, dass zumindest öffentlich einsehbare Fotos von irgendjemandem kopiert und in KI-Modelle gesteckt werden. Und das passiert schon seit Jahren massenhaft und automatisiert, sonst könnte es den Datenschatz, mit dem Generative AI arbeitet, gar nicht geben. Selbst Unternehmen, die Scraping ihren Benutzern verbieten, bezahlen andere Dienstleister dafür, genau das zu tun – belegt wurde das unter anderem bei Meta alias Facebook.

Die Sammelei hört also nicht auf, und so ist es nur logisch, dass Wissenschaftler sich darüber Gedanken machen, wie man denn die de facto geklauten Bilder wenigstens für eine KI unbrauchbar machen könnte. Zwei Methoden haben jetzt Forscher des MIT unter dem Projektnamen PhotoGuard vorgestellt. Dabei geht es nicht darum, dass reale Fotos nicht mehr von einer KI für künstliche Bilder herangezogen werden können. Absolut lässt sich das wohl bisher technisch nicht unterbinden. Vielmehr soll verhindert werden, dass der Kontext einer Aufnahme verändert wird. Beispielsweise soll es so deutlich schwerer werden, eine Person in eine andere Umgebung zu montieren oder ihre Bekleidung zu ändern. Auch Photoshop erlaubt das geradezu lächerlich einfach.

Die verwirrte KI

Die MIT-Forscher haben dagegen zwei Techniken entwickelt, die sie wie bei der Behandlung von Sicherheitslücken in Software auch „Angriffe“ nennen. Sowohl Encoder- wie Diffusion-Angriff fügen realen Fotos für den Menschen nicht wahrnehmbare Daten hinzu, welche die KI durcheinanderbringen. Erfolgreich erprobt ist das bisher nur mit Modellen von Stable Diffusion. Die errechneten Bilder haben dann beispielsweise fehlende Bereiche, oder Personen sehen unnatürlich, verzerrt, auf jeden Fall: nicht real aus. Wie das funktioniert, zeigt ein ausführlicher deutscher Artikel, die wissenschaftliche Arbeit des MIT ist zudem als PDF verfügbar.

Natürlich ist das ein Wettrüsten, um den martialischen Begriff kommt man kaum herum – er ist aber auch bei technischer Security etabliert. Die Modelle könnten an die Immunisierung, so nennt es das MIT, von PhotoGuard angepasst werden. Dann ändert man die Verfahren des Bilderimpfens, und das Spiel geht von vorn los. Nicht anders funktioniert das aber beispielsweise auch bei der Erkennung von Schadsoftware auf dem eigenen Rechner. Auch bei der Behandlung von Bildern werden wir uns wohl daran gewöhnen müssen. Am besten wäre es, wenn, wie beim nachvollziehbaren Wasserzeichen der CAI, Fotos gleich in der Kamera mit einem Verfahren wie PhotoGuard geschützt würden.

Neuer Ansatz für Regulierung, nicht nur politisch

Das weckt doch mitten im KI-Hype ein wenig Hoffnung, hauptsächlich in Verbindung mit der Nachricht aus der letzten Woche, dass es eine umfassende Selbstverpflichtung der US-Tech-Industrie rund um KI gibt. Darin ist auch eine Kennzeichnungspflicht für errechnete Inhalte enthalten. Harte gesetzliche Regelungen, wie den überfälligen AI-Act der Europäischen Union, gibt es zwar immer noch nicht. Aber das Beispiel des MIT zeigt, dass das Problem wild wuchernder KI-Anwendungen nun auf technischer wie auch politischer Ebene angegangen wird.

Wer fotografiert, muss sich mit KI-Fakes auseinandersetzen. Das ist sicher auch Thema im Urlaub, die Frage: „Was machst Du mit den Fotos?“, die Fotografen gewohnt sind, wird immer mehr zu: „Wer macht noch etwas mit Deinen Fotos?“. Aber zuerst müssen die echten Aufnahmen auch gemacht werden. Und das tun wir jetzt auch, wir gehen raus, fotografieren, und lassen die Bilder lieber vorerst auf Speicherkarte und SSD. Dazu machen auch die Fotonews jetzt eine kurze Sommerpause von zwei Wochen. Die nächste Ausgabe dieser Kolumne erscheint am 12. August 2023.

(tho)