{"id":30084,"date":"2023-06-02T13:23:36","date_gmt":"2023-06-02T11:23:36","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=30084"},"modified":"2023-06-02T13:26:20","modified_gmt":"2023-06-02T11:26:20","slug":"neural-networks-data-leaks","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/neural-networks-data-leaks\/30084\/","title":{"rendered":"Wie K\u00fcnstliche Intelligenz Ihre privaten Daten preisgeben kann"},"content":{"rendered":"

Ihre (neuronalen) Netzwerke haben Lecks<\/h2>\n

Forscher von Universit\u00e4ten in den USA und der Schweiz haben in Zusammenarbeit mit Google und DeepMind ein Papier<\/a> ver\u00f6ffentlicht, das zeigt, wie Daten aus Bildgenerierungssystemen, wie sie die maschinellen Lernalgorithmen DALL-E<\/a>, Imagen<\/a> oder Stable Diffusion<\/a> verwenden, an die \u00d6ffentlichkeit gelangen k\u00f6nnen. Benutzerseitig funktionieren alle gleich: Sie geben eine bestimmte Textabfrage ein\u00a0\u2013 beispielsweise \u201eein Sessel in Form einer Avocado\u201c\u00a0\u2013 und erhalten im Gegenzug ein generiertes Bild.<\/p>\n

\"Vom<\/a>

Vom neuronalen Netzwerk Dall-E generiertes Bild. Quelle: https:\/\/openai.com\/blog\/dall-e<\/a><\/p><\/div>\n

Alle diese Systeme werden mit einer gro\u00dfen Anzahl (Zehn- oder Hunderttausenden) von Bildern mit vorgefertigten Beschreibungen trainiert. Die Idee hinter solchen neuronalen Netzen ist, dass sie durch die Verarbeitung gro\u00dfer Mengen an Trainingsdaten neue, einzigartige Bilder erstellen. Das wichtigste Ergebnis der neuen Studie ist jedoch, dass diese Bilder gar nicht so einzigartig sind. In einigen F\u00e4llen ist es m\u00f6glich, das neuronale Netzwerk zu zwingen, ein zuvor f\u00fcr das Training verwendete Originalbild fast identisch zu reproduzieren. Und das bedeutet, dass neuronale Netze ungewollt private Informationen preisgeben k\u00f6nnen.<\/p>\n

\"Vom<\/a>

Vom neuronalen Netzwerk Stable Diffusion generiertes Bild (rechts) und das Originalbild aus dem Trainingssatz (links). Quelle<\/a>.<\/p><\/div>\n

Mehr Daten f\u00fcr den \u201eDatengott\u201c<\/h2>\n

Die Ausgabe eines lernf\u00e4higen Systems als Antwort auf eine Abfrage kann einem Nicht-Spezialisten wie Zauberei vorkommen: \u201ePuh\u00a0\u2013 das ist wie ein allwissender Roboter!\u201c! Aber tats\u00e4chlich ist da keine Magie im Spiel\u00a0\u2026<\/p>\n

Alle neuronalen Netze funktionieren mehr oder weniger gleich: Es wird ein Algorithmus erstellt, der anhand eines Datensatzes trainiert wird\u00a0\u2013 beispielsweise einer Serie von Bildern von Katzen und Hunden\u00a0\u2013 mit einer Beschreibung dessen, was in jedem Bild genau dargestellt wird. Nach dem Training wird dem Algorithmus ein neues Bild angezeigt und er wird aufgefordert, herauszufinden, ob es sich um eine Katze oder einen Hund handelt. Ausgehend von diesen bescheidenen Anf\u00e4ngen wandten sich die Entwickler solcher Systeme einem komplexeren Szenario zu: Ein Algorithmus, der mit vielen Katzenbildern trainiert wurde, erstellt auf Anfrage das Bild eines Haustieres, das es nie gegeben hat. Solche Experimente werden nicht nur mit Bildern, sondern auch mit Text, Video und sogar Sprache durchgef\u00fchrt: \u00dcber das Problem der Deepfakes<\/a> (also Videos, in denen (meist) Politikern oder Prominenten Dinge in den Mund gelegt werden, die sie nie gesagt haben) haben wir bereits berichtet.<\/p>\n

Ausgangspunkt f\u00fcr alle neuronalen Netze ist Satz von Trainingsdaten: Neuronale Netze k\u00f6nnen keine neuen Entit\u00e4ten aus dem Nichts erfinden. Um das Bild einer Katze zu erstellen, muss der Algorithmus Tausende von echten Fotos oder Zeichnungen dieser Tiere analysieren. Es gibt viele Argumente daf\u00fcr, diese Datens\u00e4tze nicht an die \u00d6ffentlichkeit zu geben. Einige von ihnen sind frei zug\u00e4nglich; andere Datens\u00e4tze sind geistiges Eigentum des Entwicklerunternehmens, das viel Zeit und M\u00fche investiert hat, um sich einen Wettbewerbsvorteil zu verschaffen. Andere wiederum stellen per Definition sensible Informationen dar. Beispielsweise laufen Experimente, um neuronale Netze zur Diagnose von Krankheiten auf der Grundlage von R\u00f6ntgenstrahlen und anderen medizinischen Untersuchungen zu verwenden. Dies bedeutet, dass die algorithmischen Trainingsdaten die tats\u00e4chlichen Gesundheitsdaten von echten Menschen enthalten, die aus offensichtlichen Gr\u00fcnden nicht in falsche H\u00e4nde geraten d\u00fcrfen.<\/p>\n

Diffusion<\/h2>\n

Obwohl Algorithmen von lernf\u00e4higen Systemen f\u00fcr Au\u00dfenstehende gleich aussehen, unterscheiden sie sich in Wirklichkeit. In ihrer Arbeit widmen die Forscher den Diffusionsmodellen<\/em> des maschinellen Lernens besondere Aufmerksamkeit. Sie funktionieren wie folgt: Die Trainingsdaten (wiederum Bilder von Menschen, Autos, H\u00e4usern usw.) werden durch Rauscheffekte verzerrt. Anschlie\u00dfend wird das neuronale Netz darauf trainiert, solche Bilder wieder in ihrem urspr\u00fcnglichen Zustand herzustellen. Diese Methode erm\u00f6glicht es, Bilder von einigerma\u00dfen guter Qualit\u00e4t zu erzeugen, aber ein potenzieller Nachteil (im Vergleich zu Algorithmen in generativen gegnerischen Netzwerken<\/a> beispielsweise) ist ihre gr\u00f6\u00dfere Tendenz zur Freigabe der Daten.<\/p>\n

Die Originaldaten k\u00f6nnen auf mindestens drei Arten daraus extrahiert werden: Erstens k\u00f6nnen Sie das neuronale Netzwerk mithilfe bestimmter Abfragen dazu zwingen, ein bestimmtes Quellbild auszugeben statt eines einzigartigen, auf der Grundlage von Tausenden von Bildern generierten Bilds. Zweitens kann das Originalbild auch dann rekonstruiert werden, wenn nur ein Teil davon verf\u00fcgbar ist. Drittens kann einfach festgestellt werden, ob ein bestimmtes Bild in den Trainingsdaten enthalten ist oder nicht.<\/p>\n

Sehr oft sind neuronale Netze \u2026 faul<\/em>, und statt eines neuen Bildes erzeugen sie etwas aus dem Trainingssatz, wenn dieser mehrere Duplikate desselben Bildes enth\u00e4lt. Neben dem obigen Beispiel mit dem Foto von Ann Graham Lotz liefert die Studie noch einige andere \u00e4hnliche Ergebnisse:<\/p>\n

\"Ungerade<\/a>

Ungerade Zeilen: die Originalbilder. Gerade Zeilen: Bilder, die von Stable Diffusion V1.4 generiert wurden. Quelle<\/a>.<\/p><\/div>\n

Wenn ein Bild im Trainingssatz mehr als hundert Mal dupliziert wird, besteht eine sehr hohe Wahrscheinlichkeit, dass es nahezu in Originalform preisgegeben wird. Forscher konnten jedoch auch Beispiele zeigen, in denen Trainingsbilder abgerufen wurden, die im Originalsatz nur einmal vorkamen. Diese Methode ist weitaus weniger effizient: Von f\u00fcnfhundert getesteten Bildern hat der Algorithmus nur drei zuf\u00e4llig neu erstellt. Eine besonders ausgekl\u00fcgelte Methode, ein neuronales Netzwerk anzugreifen, besteht darin, ein Quellbild neu zu erstellen, indem nur ein Fragment davon als Eingabe verwendet wird.<\/p>\n

\"Die<\/a>

Die Forscher baten das neuronale Netzwerk, das Bild zu vervollst\u00e4ndigen, nachdem ein Teil davon gel\u00f6scht worden war. Auf diese Weise kann ziemlich genau ermittelt werden, ob ein bestimmtes Bild in der Trainingsmenge enthalten war. Wenn dies der Fall war, generierte der Algorithmus des lernf\u00e4higen Systems eine fast exakte Kopie des Originalfotos oder der Originalzeichnung. Quelle<\/a>.<\/p><\/div>\n

An dieser Stelle sollten wir uns der Frage der neuronalen Netze und des Urheberrechts zuwenden.<\/p>\n

Wer hat wem etwas gestohlen?<\/h2>\n

Im Januar 2023 verklagten<\/a> drei K\u00fcnstler die Macher von Bild generierenden Diensten, die lernf\u00e4hige Algorithmen verwendeten. Sie behaupteten (zu Recht), dass die Entwickler der neuronalen Netze sie mit Bildern trainiert hatten, die im Internet gesammelt wurden, ohne das Urheberrecht zu beachten. Ein neuronales Netzwerk kann tats\u00e4chlich den Stil eines bestimmten K\u00fcnstlers kopieren und ihn so um seine Eink\u00fcnfte bringen. Der Artikel weist darauf hin, dass Algorithmen aus verschiedenen Gr\u00fcnden regelrechte Plagiate erstellen k\u00f6nnen, wobei Zeichnungen, Fotografien und andere Bilder erzeugt werden, die mit der Arbeit realer Menschen fast identisch sind.<\/p>\n

Die Studie gibt Empfehlungen zur St\u00e4rkung der Privatsph\u00e4re des urspr\u00fcnglichen Trainingssatzes:<\/p>\n