Nightshade – Hat das Wettrüsten im Bereich der KI begonnen?
Die Universität von Chicago hat ein neues „revolutionäres“ Tool namens „Nightshade“ entwickelt, das darauf abzielt, die Trainingsdaten von KI-Modellen zu „vergiften“ um diese unbrauchbar zu machen oder besser umn die Ergebnisse, die die KI auf Basis dieser Trainingsdaten liefert, unbrauchbar zu machen. Es geht dabei vor allem um Bilder, die für das KI-Training verwendet werden um damit dann wieder neue Bilder mit der KI zu generieren.
Dieses „vergiften“ geschieht durch subtile Änderungen an oder besser in den Bildern, die für das menschliche Auge nicht sichtbar sind, aber von KI-Systemen in den Trainingssessions interpretiert werden können. Ziel ist, dass später der Nutzer der KI nicht das Bild bekommt, das er über den Prompt generieren will. Die Absicht dahinter: Die Werke – hier Bilder – von Urhebern, die explizit nicht wollen, dass ihre Werke zum Trainieren einer KI benutzt weden, sollen auf diesem technischen Wege geschützt werden. Der Name „Nightshade“, also „Nachtschatten“ dürfte daher rühren, das es in der Gattung der Nachtschattengewächse sehr viele Pflanzen gibt, die für den Menschen durchaus giftig sind.
Melde dich gerne zum Newsletter an!
Vor Nightshade, das man für diverse Betriebssysteme herunterladen kann, hatte die Universität von Chicago bereits einen ähnlichen Schutz namens „Glaze“ entwickelt. Damit konnte ein Künstler eine Art Tarnschleier über sein Bild legen, um der KI das Training zu erschweren. Glaze war eine Art Filter, durch den das Bild von der KI berachtet wird. Der mensch sieht keinen Unterschied, wenn er durch diesen digitalen Filter auf das Bild schaut. Aber die KI kann durch den Filter den Stil des Bildes nicht mehr erkennen und interpretieren. Ein Gemälde von Picasso würde durch diesen Filter also aussehen, wie ein Werk von Andy Warhol, um mal ein Beispiel zu konstruieren. Nightshadow aber manipuliert das Bild auf Pixelebene.
Funktionsweise von Nightshade
Das Tool in der aktuellen Version Nightshade 1.0 manipuliert die Bilder durch die Änderung einzelner Pixel innerhalb der „Pixelmasse“ der Bilder. Die Änderung der einzelnen über das Bild verteilten Pixel ist für den menschlichen Betrachter unsichtbar. Er sieht das Bild genau so, wie der Urheber es geschaffen hat. Die KI aber analysiert alles Pixel eines Bilder und daher beeinflussen diese abgeänderten Pixel, wie KI-Modelle die Bilder interpretieren.
Wenn eine signifikante Anzahl solcher manipulierter Bilder in die Trainingsdaten eines KI-Modells einfließt, kann dies dazu führen, dass das Modell fehlerhafte Ergebnisse generiert. Zum Beispiel könnte ein KI-Modell, das mit Nightshade-behandelten Bildern trainiert wurde, inkorrekte Klassifizierungen vornehmen, wie etwa eine Katze als Hund zu identifizieren. Später gibt der Nutzer dann einen Prompt ein, mit dem er das Bild eines Hundes generieren will und die KI liefert ihm durch diese vergifteten Trainingsdaten das Bild einer Katze. Schauen wir uns doch mal an, wie die Universität von Chicago selbst Nightshade beschreibt (übersetzt):
Nachtschatten (Nightshade) funktioniert ähnlich wie Glaze, ist jedoch anstelle einer Verteidigung gegen Stilnachahmung als Angriffswerkzeug konzipiert, um Merkmalsdarstellungen in generativen KI-Bildmodellen zu verzerren. Wie bei Glaze wird Nachtschatten als Multi-Objektiv-Optimierung berechnet, die darauf abzielt, sichtbare Veränderungen am Originalbild zu minimieren. Während menschliche Augen ein „beschattetes“ Bild sehen, das weitgehend unverändert vom Original ist, sieht das KI-Modell eine dramatisch andere Zusammensetzung im Bild. Beispielsweise könnten menschliche Augen ein „beschattetes“ Bild einer Kuh auf einem grünen Feld als weitgehend unverändert wahrnehmen, aber ein KI-Modell könnte eine große Ledertasche im Gras erkennen. Wird ein Modell mit einer ausreichenden Anzahl „beschatteter“ Bilder, die eine Kuh enthalten, trainiert, wird es zunehmend überzeugt sein, dass Kühe schöne braune lederne Henkel und glatte Seitentaschen mit einem Reißverschluss haben, und vielleicht ein reizvolles Markenlogo.
Wie bei Glaze sind die Effekte von Nachtschatten robust gegenüber normalen Veränderungen, die man an einem Bild vornehmen könnte. Man kann es zuschneiden, neu sampeln, komprimieren, Pixel glätten oder Rauschen hinzufügen, und die Wirkungen des Gifts bleiben bestehen. Man kann Screenshots machen oder sogar Fotos von einem Bild machen, das auf einem Monitor angezeigt wird, und die Schatteneffekte bleiben erhalten. Auch hier liegt das daran, dass es sich nicht um ein Wasserzeichen oder eine versteckte Botschaft (Steganografie) handelt und es nicht fragil ist.
Nachtschatten versus Glaze. Eine häufige Frage ist, was der Unterschied zwischen Nachtschatten und Glaze ist. Die Antwort ist, dass Glaze ein Verteidigungswerkzeug ist, das einzelne Künstler zum Schutz gegen Stilnachahmungsangriffe verwenden können, während Nachtschatten ein Angriffswerkzeug ist, das Künstler als Gruppe verwenden können, um Modelle zu stören, die ihre Bilder ohne Zustimmung abgreifen (und damit alle Künstler gegen diese Modelle schützen). Glaze sollte bei jedem Kunstwerk verwendet werden, das Künstler online stellen, um sich selbst zu schützen, während Nachtschatten ein völlig optionales Feature ist, das verwendet werden kann, um skrupellose Modelltrainer abzuschrecken. Künstler, die ihre eigene Kunst online stellen, sollten idealerweise sowohl Glaze als auch Nachtschatten auf ihre Kunstwerke anwenden. Wir arbeiten an einer integrierten Veröffentlichung dieser Werkzeuge.
https://nightshade.cs.uchicago.edu/whatis.html
Die „beabsichtigen“ Vorteile von Nightshade
Wie gesagt, die Universität von Chicago, hat Nightshade entwickelt, um darüber einen technischen Urheberrechtsschutz zu realisieren und Bilder davor zu schützen, das diese gegen den Willen des Urhebers als „Trainingsfutter“ an eine KI verfüttert werden. Damit liegt der „beabsichtigte“ Hauptvorteil von Nightshade im Schutz des Urheberrechts. Künstler können sich damit gegen die nicht autorisierte Verwendung ihrer Werke in KI-Trainingsdaten wehren. Nightshade bietet eine innovative Möglichkeit, KI-Modelle so zu beeinflussen, dass sie die Rechte der Urheber respektieren müssen. Aber dies geschieht, indem die Trainingsdaten der KI eben unbrauchbar gemacht werden. Und damit kommen wir zum Nachteil des Ganzen.
Nachteile und Kontroversen
Ein wesentlicher Nachteil ist, dass Nightshade mit seiner Methode ja konkret darauf abzielt, Trainingsdaten, die für eine KI herangezogen werden, unbrauchbar zu machen. Die Absicht steht sehr unverholen im ersten Satz der Beschreinbung der Universität von Chicago: „… ist jedoch anstelle einer Verteidigung gegen Stilnachahmung als Angriffswerkzeug konzipiert…“. Hier wird also die Funktionalität der KI gezielt und gewissermaßen aggressiv angegriffen, um die KI funktionsuntüchtig zu machen.
Geschieht dies im größeren Umfang, schwächt das eine KI unter umständen massiv. Der Nutzer der KI erkennt das nicht und verlässt sich darauf, dass eine KI korrekt arbeitet. Nightshade „vergiftet“ Bilder für eine KI, aber diese Methode, dieses „Angriffswerkzeug“ lässt sich völlig problemlos auf andere Daten ausweiten. Ob es Daten wie Videos oder Musik sind oder eben auch textliche Inhalte. Dieses Vergiften funktioniert mit allen Trainingsdaten. Man stelle sich vor, man würde die historischen Daten über Hitler und das Dritte Reich, den Massenmord an den Juden und den zweiten Weltkrieg entsprechend manipulieren. Oder Daten, die sicherheitsrelevante Inhalte haben. Oder Daten, die juristische, fiskalische, wirtschaftliche oder ähnliche Bedeutung haben.
Damit kann und wird ein Ansatz wie Nightshade unbeabsichtigte Folgen haben, insbesondere wenn es um die Genauigkeit und Zuverlässigkeit von KI-Systemen geht. Es gibt daher bereits Bedenken hinsichtlich der potenziellen Missbrauchsgefahr, beispielsweise bei der Manipulation von Bildern in sicherheitskritischen Bereichen. Ich versuche mal, ein Beispiel zu konstruieren: Nehmen wir mal an, in der Zukunft unterstützt eine KI einen Autofahrer mti einer Assistenzfunktion zur Unfallverhütung. Und dann wird vielleicht durch eine fehlerhafte Bilderkennung aufgrund der vergifteten Trainingsdaten der Airbag oder eine Vollbremsung ausgelöst, ohne dass ein Unfallgeschehen bevorsteht.
Wettrüsten im Bereich KI
Damit nicht genug. Die Anbieter von KI-Modellen werden sich natürlich bemühen, Tools wie Nightshade irgendwie unbrauchbar zu machen umd ihre KI und deren Training zu schützen. Das, damit ihre KI-Modelle nicht unbrauchbar werden und damit ihr Geschäftsmodell Schaden nimmt. Und die Angreifer wie hier die Universtät von Chicago werden deshalb selbstverständlich ihre „Anti-KI-Waffenarsenal“ weiterentwickeln, um diese Abwehrmaßnahmen wieder zu überwinden. Daraus entsteht eine wahre Rüstungsspirale zwischen der Entwicklung von KI-Modellen und Gegenmaßnahmen wie Nightshade und anderen.
Gegenüberstellung der Interessen und ein Regelwerk nötig
Die Einführung von zunächst Glaze und jetzt Nightshade spiegelt die zunehmende Spannung zwischen den Interessen von KI-Entwicklern und Urheberrechtsinhabern wider. Es treffen unterschiedliche Interessen aufeinander. Während KI-Unternehmen auf umfangreiche und vielfältige Datensätze für das Training ihrer Modelle angewiesen sind, fordern Künstler und Urheberrechtseigentümer Respekt und Schutz ihrer geistigen Eigentumsrechte.
Tools wie Nightshade rücken damit derzeit ins Zentrum dieser Debatte in diesem Interessenkonflikt, indem es eine technologische Lösung bietet, die beide Seiten herausfordert. Durch dieses beginnende Wettrüsten wird mehr als deutlich, dass die rechtlichen Rahmenbedingungen für den Einsatz von KI längst nicht definiert und harmonisiert sind. Aber genau das ist nötig. Es müssen rechtliche und ethische Rahmenbedingungen ausgearbeitet und international etabliert werden. Die Interessen aller Beteiligten müssen gegenübergestellt und dann eben in Einklang gebracht werden.
Wenn genau das nicht passiert, wird es KI-Anbieter geben, die ihren Modellen für das Training einfach alles in den digitale Hals stopfen, was sie an Daten zusammenschaufeln können, ohne dabei auf berechtigte Ansprüche wie eben aus dem Urheberrecht Rücksicht zu nehmen. Und es wird dann eben genau so die „Anspruchsgegner“ geben, die wiederum alles daran setzen, genau das zu verhindern und ihre Rechte zu schützen.
Von den zwielichtigen Gruppierungen, die KIs aus unlauteren Absichten manipulieren und „hacken“ wollen, brauchen wir hier an dieser Stelle garnicht erst anzufangen. Denn wer illegale Absichten hat, wird entsprechende Regeln ignorieren. Aber zumindest für die regulären Teilnehmer am „KI-Markt“, die nach Recht und Gesetz spielen, muss ein solches Regelwerk ausgearbeitet und international etabliert werden.
Fazit auch in Bezug auf Journalismus
Nightshade markiert einen bedeutenden Einschnitt in der Diskussion um KI und Urheberrecht. Es bietet – rein technisch betrachtet – eine innovative Methode, um die Rechte von Künstlern zu schützen. Doch es wirft jedoch gleichzeitig Fragen über die zukünftige Entwicklung von KI-Technologien und deren Umgang mit urheberrechtlich geschützten Materialien auf. Nicht zuletzt die Formulierung „Angriffswerkzeug“ der Universität Chicago lässt auf ein Wettrüsten im Themenfeld KI schließen. Diese Entwicklung zeigt, wie wichtig es ist, ein Gleichgewicht zwischen technologischem Fortschritt und dem Schutz geistigen Eigentums zu finden.
Kommen wir jetzt noch zum Thema Journalismus und KI. Die Künstliche Intelligenz hat längst auch im Journalismus Einzug gehalten und wird dort in vielfältigen Bereichen angewendet. Unter anderem auch bei der Recherche und der Erstellung von Inhalten. Wie wirkt sich eine „vergiftete“ KI in diesem Bereich aus? Wie ist die Zuverlässigkeit KI-generierter Rechercheergebnisse zu bewerten? Was passiert mit automatisiert generierten Inhalten, wenn diese nicht mehr gegengelesen und faktengecheckt werden. So das typische „SEO-Füllmaterial“, das automatisiert einläuft und nicht unbedingt „frontal“ platziert und präsentiert wird? Fragen, die derzeit kaum zu beantworten sind.
So ist das Titelbild entstanden
Und hier ganz zum Schluss noch der Prompt, den ChatGPT für das Titelbild dieses Beitrages generiert hat, nachdem ich folgende Anweisung gegeben habe: „Probieren wir es mal im Stil des Filmes Metropolis. Es sollten Menschen zu sehen sein, die eine KI abwehren. Also beispielsweise eine Art Roboter, der für die KI steht und sich alle möglichen Bilder und Inhalte einverleibt.“
A second version of the caricature in the style of the film ‚Metropolis‘, showcasing humans defending against an AI represented by a robot. The setting is again a futuristic, dystopian cityscape similar to ‚Metropolis‘. The robot, as the embodiment of AI, is depicted as immense and mechanical, influenced by 1920s futurism, and is seen absorbing a multitude of images and contents, indicating its data-gathering nature. Surrounding it, humans are portrayed resisting, employing various strategies to safeguard their creative works and intellectual property. The style is distinctly reminiscent of ‚Metropolis‘, with intense, high-contrast lighting and highly stylized, dramatic character designs, highlighting the conflict between human creativity and technological encroachment.