Deepfake Dschungel: KI-Fälscher am Steuer, Forscher auf Spurensuche

Die Tücken des KI-Wasserzeichens

Wenn der Versuch, computergenerierte Medien im Nachhinein zu erkennen, zu schwierig ist, besteht eine weitere Möglichkeit darin, sie im Voraus mit einem digitalen Wasserzeichen zu versehen. Wie bei der Papiervariante geht es darum, ein Unterscheidungsmerkmal hinzuzufügen, das so subtil ist, dass es die Qualität des Textes oder Bildes nicht beeinträchtigt, das aber für jeden, der danach sucht, offensichtlich ist.

Eine Technik zur Markierung von Text wurde im Juli 2023 von einem Team an der University of Maryland vorgeschlagen und von einem Team an der University of California, Santa Barbara, ergänzt, das seine Verbesserungen auf der NeurIPS vorstellte. Die Idee besteht darin, mit den Wortpräferenzen eines Sprachmodells zu spielen. Zunächst ordnet das Modell eine Gruppe von Wörtern, die es kennt, nach dem Zufallsprinzip einer „grünen“ Gruppe zu, während alle anderen in eine „rote“ Gruppe eingeordnet werden. Dann würfelt der Algorithmus bei der Erstellung eines bestimmten Textblocks und erhöht die Wahrscheinlichkeit, dass er ein grünes Wort anstelle eines seiner roten Synonyme wählt. Um zu prüfen, ob es sich um ein Wasserzeichen handelt, wird das Verhältnis zwischen grünen und roten Wörtern verglichen – da es sich um ein statistisches Verfahren handelt, ist es bei längeren Textabschnitten am zuverlässigsten.

Bei vielen Methoden für Wasserzeichen in Bildern werden die Pixel auf subtile Weise verändert, etwa durch Verschieben der Farben. Diese Änderungen sind für den menschlichen Betrachter zu subtil, können aber von Computern erkannt werden. Durch Zuschneiden, Drehen oder sogar Unschärfen und anschließendes Nachschärfen eines Bildes lassen sich solche Spuren jedoch entfernen.

Eine andere Forschergruppe bei NeurIPS hat ein Verfahren namens „Tree-Ring“-Wasserzeichen vorgestellt, das robuster sein soll. Bei Diffusionsmodellen, der fortschrittlichsten Art von Bilderzeugungssoftware, wird die digitale Leinwand zunächst mit Zufallsrauschen gefüllt, aus dem sich das gewünschte Bild langsam herausbildet. Bei der Baumring-Methode wird das Wasserzeichen nicht in das fertige Bild, sondern in das anfängliche Rauschen eingebettet. Wird die Software, mit der ein Bild erstellt wurde, umgekehrt ausgeführt, reproduziert sie das Wasserzeichen zusammen mit dem Rauschen. Entscheidend ist, dass diese Technik nicht so leicht durch Manipulationen am fertigen Bild zu umgehen ist.

Wettrüsten der Detektive

Aber es ist wahrscheinlich nicht unmöglich. Die Wasserzeichner befinden sich in einem Wettrüsten mit anderen Forschern, die versuchen, ihre Techniken zu überwinden. Ein anderes Team unter der Leitung von Hanlin Zhang, Benjamin Edelman und Boaz Barak, alle von der Harvard University, hat eine noch nicht begutachtete Methode vorgestellt, mit der Wasserzeichen angeblich gelöscht werden können. Sie funktioniert, indem sie eine Prise neues Rauschen hinzufügt und dann ein zweites, anderes KI-Modell einsetzt, um dieses Rauschen zu entfernen, das dabei das ursprüngliche Wasserzeichen beseitigt. Sie behaupten, dass sie in der Lage sind, drei neue, für das Jahr 2023 vorgeschlagene Verfahren zum Anbringen von Wasserzeichen zu vereiteln. Im September veröffentlichten Wissenschaftler der University of Maryland eine ebenfalls noch nicht begutachtete Arbeit, in der sie behaupteten, dass keine der derzeitigen Methoden zum Anbringen von Wasserzeichen in Bildern – einschließlich Tree-Rings – narrensicher ist.

Dennoch kündigte die amerikanische Regierung im Juli 2023 „freiwillige Verpflichtungen“ mit mehreren KI-Firmen, darunter OpenAI und Google, an, um die Investitionen in die Wasserzeichenforschung zu erhöhen. Unvollkommene Sicherheitsvorkehrungen sind sicherlich besser als gar keine, obwohl Open-Source-Modelle, die von den Nutzern frei verändert werden können, schwerer zu kontrollieren sind. Aber in der Schlacht zwischen den Fälschern und den Detektiven scheinen die Fälscher die Oberhand zu haben.