Die Vergiftung von Daten mag Technologieunternehmen verärgern, kann aber eine innovative Lösung für unerlaubtes KI-Training sein. Aber ist das der richtige Weg?
Stellen Sie sich Folgendes vor. Sie benötigen das Bild eines Luftballons für eine Arbeitspräsentation und wenden sich an einen Text-Bild-Generator wie Midjourney oder DALL-E, um ein passendes Bild zu erstellen.
Sie geben den Text "roter Luftballon vor blauem Himmel" ein, aber der Generator liefert stattdessen das Bild eines Eis. Sie versuchen es noch einmal, aber diesmal zeigt der Generator das Bild einer Wassermelone.
Was ist hier los?
Möglicherweise wurde der Generator "vergiftet".
Was ist "Data Poisoning"?
Text-zu-Bild-Generatoren arbeiten, indem sie mit großen Datensätzen trainiert werden, die Millionen oder Milliarden von Bildern enthalten. Einige Generatoren, wie die von Adobe oder Getty, werden nur mit Bildern trainiert, die dem Hersteller des Generators gehören oder für die er eine Lizenz besitzt.
Andere Generatoren wurden jedoch durch wahlloses Scrapen von Online-Bildern trainiert, von denen viele urheberrechtlich geschützt sein können. Dies hat zu einer Reihe von Fällen von Urheberrechtsverletzungen geführt, in denen Künstler große Technologieunternehmen beschuldigt haben, ihre Werke zu stehlen und davon zu profitieren.
Hier kommt auch die Idee des "Giftes" ins Spiel. Forschende, die Einzelkünstler:innen unterstützen wollen, haben vor kurzem ein Tool namens "Nightshade" entwickelt, um sich gegen unerlaubtes Bilderklauen zu wehren.
Das Tool verändert die Pixel eines Bildes auf subtile Weise, sodass das Bild für den Computer nicht mehr erkennbar ist, für das menschliche Auge aber unverfälscht bleibt.
Verwendet ein Unternehmen nun eines dieser Bilder, um ein zukünftiges KI-Modell zu trainieren, wird dessen Datenpool "vergiftet". Dies kann dazu führen, dass der Algorithmus lernt, ein Bild als etwas zu klassifizieren, das ein Mensch als falsch einordnen würde. Infolgedessen kann der Generator unvorhersehbare und unbeabsichtigte Ergebnisse liefern.
Symptome einer Vergiftung
Wie in unserem vorherigen Beispiel könnte ein Luftballon zu einem Ei werden. Eine Anfrage nach einem Bild im Stil von Monet könnte stattdessen ein Bild im Stil von Picasso liefern.
Einige der Probleme früherer KI-Modelle, wie etwa Probleme bei der genauen Reproduktion von Händen, könnten wieder auftreten. Die Modelle könnten auch andere seltsame und unlogische Merkmale in die Bilder einbringen, wie zum Beispiel sechsbeinige Hunde oder verformte Sofas.
Je höher die Anzahl der "vergifteten" Bilder in den Trainingsdaten ist, desto größer sind die Störungen. Aufgrund der Funktionsweise der generativen KI wirkt sich die Schädigung durch "vergiftete" Bilder auch auf verwandte Suchbegriffe aus.
Wenn beispielsweise ein "vergiftetes" Bild eines Ferraris in den Trainingsdaten verwendet wird, können auch Suchergebnisse für andere Automarken und andere verwandte Begriffe wie "Fahrzeug" und "Automobil" betroffen sein.
Der Entwickler von Nightshade hofft, dass das Tool die großen Technologieunternehmen dazu bringen wird, das Urheberrecht besser zu respektieren, aber es ist auch möglich, dass Nutzer:innen das Tool missbrauchen und absichtlich "vergiftete" Bilder auf Generatoren hochladen, um deren Dienste zu stören.
Gibt es ein Gegenmittel?
Als Antwort auf dieses Problem haben die Beteiligten eine Reihe von technischen und personellen Lösungen vorgeschlagen. Die naheliegendste besteht darin, der Herkunft der Eingabedaten und ihrer Verwendung mehr Aufmerksamkeit zu widmen. Dies würde dazu führen, dass weniger wahllos auf Daten zugegriffen wird.
Dieser Ansatz stellt eine unter Informatiker:innen weit verbreitete Überzeugung infrage: dass Daten, die online gefunden werden, für jeden beliebigen Zweck verwendet werden können.
Andere technologische Lösungen umfassen auch die Verwendung von "Ensemble-Modellen", bei denen verschiedene Modelle auf vielen verschiedenen Teilmengen von Daten trainiert und verglichen werden, um bestimmte Ausreißer zu lokalisieren. Dieser Ansatz kann nicht nur für das Training verwendet werden, sondern auch, um mutmaßlich "vergiftete" Bilder zu erkennen und zu verwerfen.
Audits sind eine weitere Option. Ein Audit-Ansatz beinhaltet die Entwicklung einer "Testbatterie" - eines kleinen, stark kuratierten und gut beschrifteten Datensatzes - unter Verwendung von "Hold-out"-Daten, die nie für das Training verwendet werden. Dieser Datensatz kann dann verwendet werden, um die Genauigkeit des Modells zu überprüfen.
Strategien gegen die Technologie
Sogenannte "gegnerische Ansätze" (die KI-Systeme stören, verleugnen, täuschen oder manipulieren), einschließlich Datenvergiftung, sind nicht neu. In der Vergangenheit wurden auch Make-up und Kostüme verwendet, um Gesichtserkennungssysteme zu umgehen.
Menschenrechtsaktivist:innen zum Beispiel sind seit einiger Zeit besorgt über den wahllosen Einsatz von maschineller Bildverarbeitung in der Gesellschaft. Dies gilt insbesondere für die Gesichtserkennung.
Systeme wie Clearview AI, das eine riesige durchsuchbare Datenbank mit Gesichtern aus dem Internet betreibt, werden von Strafverfolgungs- und Regierungsbehörden weltweit eingesetzt. Im Jahr 2021 stellte die australische Regierung fest, dass Clearview AI die Privatsphäre der Australier verletze.
Als Reaktion auf die Verwendung von Gesichtserkennungssystemen zur Erstellung von Profilen bestimmter Personen, einschließlich rechtmäßiger Demonstrant:innen, haben Künstler:innen gegnerische Make-up-Muster mit gezackten Linien und asymmetrischen Kurven entwickelt, die verhindern, dass Überwachungssysteme sie genau identifizieren.
Es gibt eine klare Verbindung zwischen diesen Fällen und dem Problem der Datenvergiftung, da beide auf umfassendere Fragen der technologischen Governance hinweisen.
Viele Technologieanbieter betrachten Datenvergiftung als ein lästiges Problem, das durch technische Lösungen gelöst werden kann. Vielleicht ist es jedoch besser, Datenvergiftung als eine innovative Lösung für die Verletzung der grundlegenden moralischen Rechte von Künstler:innen und Nutzer:innen zu betrachten.
