Künstliche Intelligenz: Wie lassen sich KI-generierte Bilder enttarnen?
Papst Franziskus in einer stylischen weißen Daunenjacke, Ex-US-Präsident Donald Trump, der sich gegen eine Festnahme von Polizisten wehrt, oder der Kniefall des russischen Präsidenten Wladimir Putin vor Chinas Regierungsoberhaupt Xi Jinping: Diese Bilder gingen in den zurückliegenden Wochen um die Welt und sorgten für Furore. Der Grund war nicht ihr Inhalt, sondern ihr Ursprung. Denn auch wenn sie überzeugend echt aussehen, hat eine KI-Software sie erzeugt.
Solche realistischen Fälschungen tauchen in Bild- oder Videoform inzwischen immer häufiger auf und sind als »Deepfakes« bekannt. Während überzeugende Ergebnisse früher sehr viel Aufwand und Mühen erforderten, ermöglichen heutige Programme wie »Dall-E«, »Stable Diffusion« oder »Midjourney«, ein Deepfake in nur wenigen Sekunden zu erzeugen: Man tippt eine kurze Beschreibung der Szene ein, die man darstellen möchte, und erhält nach kurzer Rechenzeit – sofern die Eingabe passend formuliert war – eine fotorealistische Ausgabe.
Die viral gegangenen Deepfakes des Papstes sowie von Trump und Putin stammen von einer im März 2023 aktualisierten Version der Software »Midjourney«, die Ergebnisse in noch besserer Qualität liefert als bisherige Algorithmen. Damit liefern sich bilderzeugende KIs und entsprechende Detektionssoftware, die solche Fälschungen enttarnen soll, ein Katz-und-Maus-Spiel – wobei es scheint, als würden Erstere die Oberhand gewinnen. Doch Informatikerinnen und Informatiker lassen sich davon nicht entmutigen. Im Gegenteil: Sie entwickeln immer ausgeklügeltere Tricks, um KI-generierte Bilder zu entlarven. Zum Beispiel, indem sie biomedizinische Informationen wie Blutströme in Gesichtern untersuchen oder KI-Programmen beibringen, Fälschungen zu erkennen. Doch die Bemühungen scheinen zum Scheitern verurteilt: Jeder Algorithmus, der dabei herauskommt und der in der Lage ist, Deepfakes aufzuspüren, lässt sich wiederum dafür verwenden, die bilderzeugenden KIs zu trainieren, damit sie noch überzeugendere Ergebnisse liefern.
Wie erschafft man ein realistisches Bild aus einfachen Erklärungen?
Ein Computer nimmt ein Bild vollkommen anders wahr, als Menschen es tun: Für einen Rechner ist ein Bild kein zweidimensionales Objekt mit verschiedenen Konturen und Farben, sondern einfach nur eine lange Liste von Zahlen. Diese kann man sich als Punkt in einem hochdimensionalen Raum vorstellen: Jeder Eintrag in der Liste entspricht einer Koordinate. Umgekehrt kann man jeden Punkt in diesem Raum in ein Bild umwandeln. Damit ein Algorithmus ein neuartiges Bild erschafft, muss er zunächst lernen, was realistische Ergebnisse sind. Dafür füttert man das Programm mit riesigen Mengen an Beispielbildern. Der Algorithmus verzeichnet damit Datenpunkte in einem hochdimensionalen Raum.
Wie sich herausstellt, lassen sich auf diese Weise bereits Gemeinsamkeiten realistischer Bilder erkennen: Die Datenpunkte häufen sich in manchen Bereichen, so dass Punkte in dieser Umgebung mit hoher Wahrscheinlichkeit einem realistischen Motiv entsprechen. Indem man also den hochdimensionalen Raum nach Häufungspunkten absucht, kann man eine Wahrscheinlichkeitsverteilung definieren: Je dichter der Haufen, desto wahrscheinlicher entspricht ein Punkt in dieser Umgebung einem überzeugenden Ergebnis. Ziel ist es also, einen Algorithmus während des Trainings die gesuchte Wahrscheinlichkeitsverteilung ermitteln zu lassen. Um ein neues Bild zu erzeugen, muss das Programm dann eine Liste mit Zufallszahlen generieren, wobei die Einträge der Wahrscheinlichkeitsverteilung folgen.
Das ist aber nicht so einfach, wie es vielleicht klingen mag. Zum einen ist die Wahrscheinlichkeitsverteilung so kompliziert, dass KI-Algorithmen sie oft nicht vollständig ermitteln können. Zum anderen lassen sich aus der Verteilung (selbst wenn man sie hat) keine sinnvollen Zufallszahlen erzeugen, weil die Verteilung zu komplex ist. Um diese Probleme zu lösen, nutzen aktuelle Algorithmen einen Trick, der ursprünglich aus der Nichtgleichgewichtsphysik stammt, um Phänomene wie Diffusion zu beschreiben.
Denn tatsächlich stößt man in der Thermodynamik auf ähnliche Probleme wie beim Erzeugen realistischer Bilder: Wenn man etwa Tinte in ein Wasserglas tropft, ist es extrem schwierig vorauszusagen, in welchen Bereichen sich ein Tintenmolekül aufhalten wird. Die Tinte wird sich anfangs um einen Bereich herum konzentrieren und dann langsam ausbreiten, bis letztlich das gesamte Wasser gleichmäßig hellblau gefärbt ist. In der Physik hilft man sich damit, zunächst den einfachen Endzustand des Diffusionsprozesses zu betrachten, wenn die Flüssigkeiten im Gleichgewicht sind und die Tinte vollkommen gleich verteilt ist. Dann rechnet man Schritt für Schritt zurück, wie sich die Aufenthaltswahrscheinlichkeit der Tintenmoleküle entwickelt hat – bis man schließlich beim komplizierten Anfangszustand angelangt. Gleiches muss sich auf KI-Algorithmen übertragen lassen, überlegte sich der Informatiker Jascha Sohl-Dickstein im Jahr 2015.
Statt einen Algorithmus die komplizierte Wahrscheinlichkeitsverteilung von Bildern ermitteln zu lassen, kann er zunächst eine deutlich einfachere Verteilung lernen (wie jene im Gleichgewicht am Ende einer Diffusion), daraus Zufallszahlen in einer Liste erzeugen und das Ergebnis dann Schritt für Schritt zu einem stimmigen Bild zurückrechnen – so, wie man auch die Diffusion der Tinte im Wasserglas ermitteln kann. Dafür sind folgende Schritte nötig:
- Man nimmt ein Bild aus den Trainingsdaten und addiert zu jedem Pixel nach und nach ein wenig mehr zufälliges Rauschen, bis das Bild nicht mehr erkennbar ist.
- Das wiederholt man mit allen Trainingsdaten.
- Aus den verrauschten Ergebnissen ermittelt man nun die Häufungspunkte und berechnet daraus die Wahrscheinlichkeitsverteilung.
- Dann bringt man einem KI-Algorithmus bei, die Diffusionsschritte umzukehren und schrittweise aus einem verrauschten Bild ein weniger verrauschtes Ergebnis zu erzeugen. Das wiederholt man so lange, bis man bei einem klaren Bild angekommen ist.
Aus der einfachen Wahrscheinlichkeitsverteilung (dritter Schritt) lässt sich nun problemlos eine Liste mit Zufallszahlen erzeugen. Indem man diese an den KI-Algorithmus von Schritt vier übergibt, erhält man ein Bild mit einem realistischen Motiv, das den Trainingsdaten ähnelt.
Solche Algorithmen heißen Diffusionsmodelle und wurden in den letzten Jahren immer wieder verfeinert, um sie leistungsfähiger zu machen: Die Rechenzeit wurde kürzer, die Ergebnisse wurden überzeugender. Insbesondere führte aber eine Erkenntnis von Forscherinnen und Forschern von Google Research im Jahr 2021 zu einem Durchbruch auf dem Gebiet der generativen KI: Die Diffusionsmodelle lassen sich mit Sprachmodellen verbinden. Damit kann eine kurze Beschreibung den Diffusionsprozess in der KI leiten. Wenn man »Dall-E« von OpenAI sagt, man möchte eine Ausgabe im Comic-Stil, braucht die Software sich nur an jenen Trainingsdaten zu orientieren, die comicartig sind.
Einige Firmen wie OpenAI haben Filter in ihre Software eingebaut, damit sie beispielsweise keine Bilder von berühmten Persönlichkeiten oder pornografische Motive erzeugen. Mit solchen Vorsichtsmaßnahmen wollen die Unternehmen der Erzeugung von Fake News zuvorkommen. Allerdings setzen das nicht alle Unternehmen um, so kann man etwa mit »Midjourney« durchaus Motive mit bekannten Personen erzeugen. Zudem sind einige der generativen Algorithmen quelloffen, also für jedermann frei zugänglich. Damit kann jede Person auf den zu Grunde liegenden Quellcode zugreifen und theoretisch ein eigenes Diffusionsmodell ohne jegliche Filter erzeugen – sofern sie über genug Rechenleistung und Trainingsdaten verfügt.
Woran lassen sich Deepfakes erkennen?
Deshalb ist es umso wichtiger, herauszufinden, wie man Deepfakes erkennt. Glücklicherweise gibt es bei KI-generierten Bildern aktuell noch Anhaltspunkte, die auf eine Fälschung hinweisen. Gerade bei hastig erstellten Fälschungen sind beispielsweise seltsame Formen im Hintergrund zu sehen oder die Schattenwürfe scheinen unpassend. Auch hochwertige Deepfakes lassen sich oft enttarnen, gerade wenn es sich dabei um Videos handelt. Das Massachusetts Institute of Technology (MIT) hat mehrere Tipps veröffentlicht, um KI-generierte Bilder zu erkennen:
- Beachten Sie das Gesicht: Fast immer handelt es sich bei Deepfakes um Transformationen des Gesichts.
- Sieht die Haut zu glatt oder zu runzelig aus? Passt das Alter des Gesichts zum Rest des Körpers?
- Sehen die Schattenwürfe rund um Augen und Augenbrauen echt aus? Deepfakes halten sich nicht immer an die physikalischen Gesetzmäßigkeiten einer Szene.
- Sehen die Spiegelungen in Brillengläsern realistisch aus?
- Wie wirkt die Gesichtsbehaarung? Gibt es zu viel davon oder zu wenig? Erscheint sie natürlich?
- Wie sehen die Grübchen aus?
- Bei Videos sollte man unbedingt auf das Zwinkern achten. Häufig zwinkern die Personen bei Deepfakes zu viel oder zu wenig.
- Auch die Lippenbewegungen und die Darstellung der Zähne können Fälschungen entlarven.
Wer sein Können unter Beweis stellen möchte, kann auf der Internetseite »DetectFakes« versuchen, KI-generierte Videos aufzuspüren. Aber Achtung: Selbst wenn man auf all diese Details achtet, ist die Aufgabe alles andere als einfach.
Dank der »DetectFakes«-Website konnten die Forscher und Forscherinnen des MIT untersuchen, wie gut Menschen gefälschte Videos erkennen. Wie sie in einer 2021 herausgegebenen Studie berichten, haben die mehr als 15 000 Teilnehmenden bei 69 bis 72 Prozent der Videos korrekt beurteilt, ob sie echt oder KI-generiert waren. Damit schnitten Menschen besser ab als Algorithmen: Mit demselben Datensatz rief das Tech-Unternehmen Meta 2019 zur »Deepfake Detection Challenge« auf, einem Wettbewerb, bei dem es darum ging, möglichst gute Detektionsalgorithmen zu entwickeln. Die Gewinner-Software konnte die Videos nur in etwa 65 Prozent der Fälle richtig einordnen.
»Für uns spiegeln Bilder meist die Realität wider. Selbst wenn sich hinterher herausstellt, dass ein Bild eine Fälschung war, bleibt immer etwas im Gedächtnis hängen«Philipp Slusallek, Informatiker
Auch wenn Menschen noch recht gut darin sind, gefälschte Videos zu erkennen, tun sie sich mit Bildern deutlich schwerer. So konnten menschliche Probanden in einer 2021 veröffentlichten Studie nicht unterscheiden, ob Porträtbilder echt oder von einer KI erzeugt wurden. Das ist ein Problem, erklärt der Informatiker Philipp Slusallek vom Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI). »Für uns spiegeln Bilder meist die Realität wider. Selbst wenn sich hinterher herausstellt, dass ein Bild eine Fälschung war, bleibt immer etwas im Gedächtnis hängen.«
KI kämpft gegen KI
Daher ist es wichtig, Methoden zu entwickeln, um Fälschungen aufzuspüren. In den letzten Jahren gab es einige Fortschritte auf diesem Gebiet. Ein Ansatz besteht darin, KI-Algorithmen mit dieser Aufgabe zu betrauen: Man trainiert die Programme mit möglichst vielen Bildern und Videos, die man mit »echt« oder »gefälscht« beschriftet. So soll die KI lernen, Fälschungen zu erkennen. Meist verwendet man dafür neuronale Faltungsnetzwerke: Dabei handelt es sich um eine spezielle Art von neuronalem Netz (einem Algorithmus, dessen Aufbau sich am visuellen Cortex von Säugetieren orientiert). Es verarbeitet die eingegebenen Informationen, etwa die Pixel eines Bilds, schrittweise, wobei das Netzwerk bei jedem Schritt gewisse Filter anwendet: So kann man zunächst beispielsweise die Konturen eines Motivs in einem Bild identifizieren und sich dann langsam zu den Details vortasten. Auf diese Weise können die Algorithmen Merkmale identifizieren, die ein echtes Bild von einem KI-generierten unterscheiden.
Das Problem: Selbst wenn ein solcher KI-Algorithmus gut funktioniert, kann er nicht erklären, woran er festmacht, dass ein Inhalt gefälscht oder echt ist. Deshalb wenden sich manche Fachleute, wie das Team um Mohammad Monirujjaman Khan von der North South University in Bangladesch, dem Gebiet der »erklärbaren KI« (kurz: XAI) zu. Dafür lassen sie die Daten zunächst durch ein neuronales Faltungsnetzwerk untersuchen und wenden anschließend den so genannten Lime-Algorithmus an. Dieser ermöglicht es, abzuschätzen, welche Eigenschaften bestimmter Eingabedaten zu der Entscheidung des neuronalen Netzes beigetragen haben.
Für das Training solcher KI-Algorithmen braucht man viele Daten – also viele Fake-Inhalte, die man zum Beispiel mit Programmen wie »Midjourney« erstellen kann. Sobald aber eine neue Software herauskommt, die Bilder auf neuartige Weise generiert, wird die Detektions-KI höchstwahrscheinlich schlecht abschneiden. Deshalb arbeiten Forscherinnen und Forscher auch an anderen Methoden, um Fälschungen – insbesondere Videos – automatisiert zu entlarven.
Zum Beispiel haben Forschende um Umur Aybars Ciftci von der State University of New York im Jahr 2020 das Programm »FakeCatcher« vorgestellt, das farbliche Veränderungen auf der Haut untersucht, um auf den Blutfluss einer Person zu schließen. Diese als Photoplethysmografie (PPG) bekannte Methode wenden beispielsweise Smartwatches an, um die Herzfrequenz der Nutzerinnen und Nutzer zu ermitteln. »PPG-Signale sind überall auf der Haut zu finden«, sagte die Informatikerin Ilke Demir von Intel, die den FakeCatcher-Algorithmus mitentwickelt hat, dem US-amerikanischen Nachrichtenportal »Spectrum«. »Eine Änderung der Beleuchtung lässt sie nicht verschwinden. Aber bilderzeugende KIs eliminieren die Signale, weil die Art des Rauschens, die die Programme hinzufügen, die räumlichen, spektralen und zeitlichen Korrelationen durcheinanderbringt.« Auf diese Weise lasse sich untersuchen, ob beispielsweise eine Videoaufnahme echt ist. In den Tests von Ciftci und Demir erzielte »FakeCatcher« beeindruckende Ergebnisse: In 94 Prozent der Fälle sagte das Programm nicht nur voraus, ob ein Video gefälscht war, sondern gab auch an, welche KI es zuvor generiert hatte.
Einen ähnlichen Ansatz verfolgen auch Forscherinnen und Forscher um Ekta Prashnani von der University of California in Santa Barbara: Im November 2022 haben sie eine Kombination aus maschinellem Lernen und biomedizinischen Markern genutzt, um »PhaseForensics« zu entwickeln. Dieser Algorithmus konzentriert sich auf Lippenbewegungen in Videos und extrahiert spezifische Informationen daraus. Damit füttert man ein neuronales Netzwerk, das lernt, welche Bewegungen natürlich sind und welche KI-generiert.
Ein aussichtsloser Kampf?
Doch selbst wenn all diese Ansätze viel versprechend sind, nutzen sie auch der »gegnerischen« Seite. Bilderzeugende KI-Programme können anhand von Detektionsalgorithmen lernen, realistischere Bilder zu erzeugen: Die bilderzeugende KI schafft ein Bild, worauf die Detektionssoftware dieses bewertet. Wenn sie das Ergebnis als Fälschung einstuft, passt die generierende KI ihre internen Parameter an, um besser abzuschneiden. Auf diese Weise können sich die Programme schrittweise bei der Erzeugung von Deepfakes verbessern.
Außerdem forschen wesentlich mehr Menschen daran, leistungsstarke bilderzeugende KI-Programme wie »Midjourney« oder »Dall-E« zu entwickeln, als an der Herstellung von Detektionssoftware. »Wir sind unterlegen«, sagte Hany Farid, Professor für Informatik und Experte für digitale Forensik an der University of California in Berkeley 2019 der »Washington Post«. »Das Verhältnis der Personen, die an der Videosynthese arbeiten, beträgt 100 zu 1 im Vergleich zur Detektionsseite.«
»Wir brauchen eine Kennzeichnungspflicht für durch KI hergestellte Bilder«Jessica Heesen, Ethikerin
»Deshalb muss man da ganz anders rangehen«, sagt Philipp Slusallek. Wie viele andere Forschende plädiert er dafür, dass KI-Programme ihre Erzeugnisse kennzeichnen – durch eine Art Wasserzeichen. Auch die Ethikerin Jessica Heesen sagte gegenüber dem Science Media Center: »Um die Wahrheit, Wahrhaftigkeit und den Zweck von Kommunikation beurteilen zu können, brauchen wir eine Kennzeichnungspflicht für KI-generierte Texte, Bilder und Videos.« Eine Methode könnte etwa darin bestehen, jedem zehnten Pixel eines Bilds einen geraden Zahlenwert zuzuordnen. Durch diese leichte Werteverschiebung lässt sich optisch kein Unterschied zum ursprünglichen Bild erkennen. Da ein solches Muster aber sehr wahrscheinlich nicht auf natürliche Weise entsteht, wird beim Auslesen der Daten klar, dass es höchstwahrscheinlich von einer KI erzeugt wurde.
Ein solche Kennzeichnung lässt sich allerdings entfernen – genau wie jedes andere Wasserzeichen, das bei einem quelloffenen Algorithmus fest einprogrammiert ist (wie es etwa bei »Stable Diffusion« der Fall ist). Indem ein Nutzer die entsprechenden Zeilen im Quellcode entfernt, generiert die KI Bilder, ohne Spuren zu hinterlassen. »Aber diese Hürde würde bereits einen Großteil der Nutzerinnen und Nutzer abschrecken«, sagt Slusallek. Es gibt auch Vorschläge, die Wasserzeichen bereits in die Trainingsdaten einzuführen. Die KI erzeugt dann ganz automatisch Bilder mit demselben Muster. Selbst wenn das trainierte Programm quelloffen ist, lässt sich dieser Mechanismus nicht abschalten, da er fest darin verankert ist. Um die Kennzeichnung loszuwerden, müsste man das KI-Programm neu aufsetzen, also selbst trainieren, und dafür sowohl die erforderlichen Trainingsdaten als auch die Rechenkapazität besitzen.
Ein weiterer Ansatz besteht darin, echte Aufnahmen zu kennzeichnen – etwa durch eine kryptografische Signatur, die sich nicht fälschen oder ändern lässt. Diese Signatur ordnet eine Datei eindeutig einem Urheber zu. Sobald man die Datei verändert, wird die Signatur ungültig. »Die Technologie dafür ist schon da. Wir verwenden sie, um E-Mails oder PDF-Dokumente zu signieren«, erklärt Slusallek. »Das ließe sich auch auf Bilder übertragen.« Sobald ein Smartphone ein Bild aufnimmt, könnte es dieses signieren und damit dessen Echtheit zertifizieren. »Eine Kombination aus Wasserzeichen für KI-generierte Bilder und kryptografischen Zertifikaten von echten Aufnahmen könnte die Menge an Deepfakes bereits deutlich reduzieren«, sagt Slusallek.
Angesichts der rasanten Fortschritte auf dem Gebiet des maschinellen Lernens ist Ende März ein offener Brief veröffentlicht worden, der fordert, mit dem Training von leistungsstarken KI-Modellen für sechs Monate zu pausieren. Zu den Unterzeichnern gehören namhafte Personen wie der KI-Experte Yoshua Bengio oder der Mitgründer von Apple, Steve Wozniak, sowie der Unternehmer Elon Musk. »Leistungsstarke KI-Systeme sollten erst dann entwickelt werden, wenn wir sicher sind, dass ihre Auswirkungen positiv und ihre Risiken überschaubar sind«, steht darin. Dass es wirklich zu einem solchen Stopp kommt, glauben die wenigsten, und auch die sechsmonatige Pause erscheint recht kurz – doch die Botschaft ist klar: Wir sollten nicht nur versuchen, neue Technologien so schnell wie möglich voranzutreiben, sondern auch überlegen, wie wir damit umgehen möchten. Regulierungsversuche wie eine Kennzeichnungspflicht und kryptografische Zertifikate wären ein erster Schritt.
Schreiben Sie uns!
Beitrag schreiben