Inhalt
summary Zusammenfassung
DEEP MINDS Podcast
Podcast über Künstliche Intelligenz und Wissenschaft
KI bei der Bundeswehr und der BWI | DEEP MINDS #16

Die Vergiftung von Daten mag Technologieunternehmen verärgern, kann aber eine innovative Lösung für unerlaubtes KI-Training sein. Aber ist das der richtige Weg?

Stellen Sie sich Folgendes vor. Sie benötigen das Bild eines Luftballons für eine Arbeitspräsentation und wenden sich an einen Text-Bild-Generator wie Midjourney oder DALL-E, um ein passendes Bild zu erstellen.

Sie geben den Text "roter Luftballon vor blauem Himmel" ein, aber der Generator liefert stattdessen das Bild eines Eis. Sie versuchen es noch einmal, aber diesmal zeigt der Generator das Bild einer Wassermelone.

Was ist hier los?

Anzeige
Anzeige

Möglicherweise wurde der Generator "vergiftet".

Was ist "Data Poisoning"?

Text-zu-Bild-Generatoren arbeiten, indem sie mit großen Datensätzen trainiert werden, die Millionen oder Milliarden von Bildern enthalten. Einige Generatoren, wie die von Adobe oder Getty, werden nur mit Bildern trainiert, die dem Hersteller des Generators gehören oder für die er eine Lizenz besitzt.

Andere Generatoren wurden jedoch durch wahlloses Scrapen von Online-Bildern trainiert, von denen viele urheberrechtlich geschützt sein können. Dies hat zu einer Reihe von Fällen von Urheberrechtsverletzungen geführt, in denen Künstler große Technologieunternehmen beschuldigt haben, ihre Werke zu stehlen und davon zu profitieren.

Hier kommt auch die Idee des "Giftes" ins Spiel. Forschende, die Einzelkünstler:innen unterstützen wollen, haben vor kurzem ein Tool namens "Nightshade" entwickelt, um sich gegen unerlaubtes Bilderklauen zu wehren.

Das Tool verändert die Pixel eines Bildes auf subtile Weise, sodass das Bild für den Computer nicht mehr erkennbar ist, für das menschliche Auge aber unverfälscht bleibt.

Empfehlung

Verwendet ein Unternehmen nun eines dieser Bilder, um ein zukünftiges KI-Modell zu trainieren, wird dessen Datenpool "vergiftet". Dies kann dazu führen, dass der Algorithmus lernt, ein Bild als etwas zu klassifizieren, das ein Mensch als falsch einordnen würde. Infolgedessen kann der Generator unvorhersehbare und unbeabsichtigte Ergebnisse liefern.

Symptome einer Vergiftung

Wie in unserem vorherigen Beispiel könnte ein Luftballon zu einem Ei werden. Eine Anfrage nach einem Bild im Stil von Monet könnte stattdessen ein Bild im Stil von Picasso liefern.

Einige der Probleme früherer KI-Modelle, wie etwa Probleme bei der genauen Reproduktion von Händen, könnten wieder auftreten. Die Modelle könnten auch andere seltsame und unlogische Merkmale in die Bilder einbringen, wie zum Beispiel sechsbeinige Hunde oder verformte Sofas.

Je höher die Anzahl der "vergifteten" Bilder in den Trainingsdaten ist, desto größer sind die Störungen. Aufgrund der Funktionsweise der generativen KI wirkt sich die Schädigung durch "vergiftete" Bilder auch auf verwandte Suchbegriffe aus.

Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!
Anzeige
Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!

Wenn beispielsweise ein "vergiftetes" Bild eines Ferraris in den Trainingsdaten verwendet wird, können auch Suchergebnisse für andere Automarken und andere verwandte Begriffe wie "Fahrzeug" und "Automobil" betroffen sein.

Der Entwickler von Nightshade hofft, dass das Tool die großen Technologieunternehmen dazu bringen wird, das Urheberrecht besser zu respektieren, aber es ist auch möglich, dass Nutzer:innen das Tool missbrauchen und absichtlich "vergiftete" Bilder auf Generatoren hochladen, um deren Dienste zu stören.

Gibt es ein Gegenmittel?

Als Antwort auf dieses Problem haben die Beteiligten eine Reihe von technischen und personellen Lösungen vorgeschlagen. Die naheliegendste besteht darin, der Herkunft der Eingabedaten und ihrer Verwendung mehr Aufmerksamkeit zu widmen. Dies würde dazu führen, dass weniger wahllos auf Daten zugegriffen wird.

Dieser Ansatz stellt eine unter Informatiker:innen weit verbreitete Überzeugung infrage: dass Daten, die online gefunden werden, für jeden beliebigen Zweck verwendet werden können.

Andere technologische Lösungen umfassen auch die Verwendung von "Ensemble-Modellen", bei denen verschiedene Modelle auf vielen verschiedenen Teilmengen von Daten trainiert und verglichen werden, um bestimmte Ausreißer zu lokalisieren. Dieser Ansatz kann nicht nur für das Training verwendet werden, sondern auch, um mutmaßlich "vergiftete" Bilder zu erkennen und zu verwerfen.

Audits sind eine weitere Option. Ein Audit-Ansatz beinhaltet die Entwicklung einer "Testbatterie" - eines kleinen, stark kuratierten und gut beschrifteten Datensatzes - unter Verwendung von "Hold-out"-Daten, die nie für das Training verwendet werden. Dieser Datensatz kann dann verwendet werden, um die Genauigkeit des Modells zu überprüfen.

Strategien gegen die Technologie

Sogenannte "gegnerische Ansätze" (die KI-Systeme stören, verleugnen, täuschen oder manipulieren), einschließlich Datenvergiftung, sind nicht neu. In der Vergangenheit wurden auch Make-up und Kostüme verwendet, um Gesichtserkennungssysteme zu umgehen.

Menschenrechtsaktivist:innen zum Beispiel sind seit einiger Zeit besorgt über den wahllosen Einsatz von maschineller Bildverarbeitung in der Gesellschaft. Dies gilt insbesondere für die Gesichtserkennung.

Systeme wie Clearview AI, das eine riesige durchsuchbare Datenbank mit Gesichtern aus dem Internet betreibt, werden von Strafverfolgungs- und Regierungsbehörden weltweit eingesetzt. Im Jahr 2021 stellte die australische Regierung fest, dass Clearview AI die Privatsphäre der Australier verletze.

Als Reaktion auf die Verwendung von Gesichtserkennungssystemen zur Erstellung von Profilen bestimmter Personen, einschließlich rechtmäßiger Demonstrant:innen, haben Künstler:innen gegnerische Make-up-Muster mit gezackten Linien und asymmetrischen Kurven entwickelt, die verhindern, dass Überwachungssysteme sie genau identifizieren.

Es gibt eine klare Verbindung zwischen diesen Fällen und dem Problem der Datenvergiftung, da beide auf umfassendere Fragen der technologischen Governance hinweisen.

Viele Technologieanbieter betrachten Datenvergiftung als ein lästiges Problem, das durch technische Lösungen gelöst werden kann. Vielleicht ist es jedoch besser, Datenvergiftung als eine innovative Lösung für die Verletzung der grundlegenden moralischen Rechte von Künstler:innen und Nutzer:innen zu betrachten.

Unterstütze unsere unabhängige, frei zugängliche Berichterstattung. Jeder Betrag hilft und sichert unsere Zukunft. Jetzt unterstützen:
Banküberweisung
Zusammenfassung
  • Data Poisoning ist eine Methode, mit der Bilder auf subtile Weise so verändert werden, dass Computer-Vision-Algorithmen gestört werden, aber für menschliche Augen unverändert erscheinen. Dies kann dazu führen, dass KI-Modelle unbeabsichtigte und unvorhersehbare Ergebnisse erzeugen.
  • Nightshade, ein von Forschenden entwickeltes Tool zur Unterstützung Einzelkünstler:innen, kann zur Bekämpfung von unautorisiertem Image Scraping eingesetzt werden, indem es den Trainingsdatenpool von KI-Modellen "vergiftet" und so deren Genauigkeit beeinträchtigt.
  • Mögliche Lösungen zur Bekämpfung von Data Poisoning bestehen darin, der Quelle und der Verwendung von Eingabedaten mehr Aufmerksamkeit zu schenken, Ensemble-Modellierung zur Erkennung von Ausreißern zu verwenden und Audits mit kuratierten Datensätzen durchzuführen, um die Modellgenauigkeit zu untersuchen.
T.J. Thomson und Daniel Angus

T.J. Thomson ist Dozent für visuelle Kommunikation und digitale Medien an der RMIT University.

Daniel Angus ist Professor für Digitale Kommunikation an der Queensland University of Technology.

Community beitreten
Kommt in die DECODER-Community bei Discord,Reddit, Twitter und Co. - wir freuen uns auf euch!