Wie man KI austrickst

Systeme für künstliche Intelligenz werden immer leistungsfähiger, aber wirklich intelligent sind sie noch nicht. Wie Forscher jetzt gezeigt haben, lassen sie sich relativ leicht in die Irre führen.

In Pocket speichern vorlesen Druckansicht 7 Kommentare lesen
Lesezeit: 4 Min.
Von
  • Jamie Condliffe

Künstliche Intelligenz kann Objekte auf einem Bild identifizieren oder von Menschen gesprochene Worte erkennen, doch die Algorithmen dafür arbeiten anders als das menschliche Gehirn – und dadurch lassen sie sich auch mit Methoden austricksen, die bei Menschen nicht funktionieren.

Wie der New Scientist berichtet, haben Forscher der Bar-Ilan Universität in Israel und im KI-Team von Facebook gezeigt, dass das unter anderem bei Audio-Aufzeichnungen möglich ist: Sie lassen sich so subtil verändern, dass ein Mensch alles normal versteht, KI für Spracherkennung aber etwas vollkommen anderes. Dazu legten die Forscher eine leise Schicht von Rauschen mit speziellen Mustern, die ein neuronales Netz mit Worten in Verbindung bringt, über eine Aufzeichnung.

Mehr Infos

Der Houdini genannte Algorithmus wurde auf eine Reihe von Aufzeichnungen angewendet, die dann von Google Voice transkribiert wurden. Beispielsweise hieß es in einer davon:

Her bearing was graceful and animated she led her son by the hand and before her walked two maids with wax lights and silver candlesticks.

(Ihre Haltung war würdevoll und lebhaft sie führte ihren Sohn an der Hand und vor ihr gingen zwei Jungfrauen mit Teelichtern und silbernen Leuchtern)

Google Voice transkribierte diese Aufnahme mit:

The bearing was graceful an animated she let her son by the hand and before he walks two maids with wax lights and silver candlesticks.

(Die Haltung war würdevoll und lebhaft sie ließ ihren Sohn an der Hand und vor er geht zwei Jungfrauen mit Teelichtern und silbernen Leuchtern)

Bei der überarbeiteten Version bestätigten die Forscher zunächst mit Tests mit Menschen, dass sie für menschliche Ohren vom Original nicht zu unterscheiden ist. Transkribiert wurde sie mit:

Mary was grateful then admitted she let her son before the walks to Mays would like slice furnace filter count six.

(Mary war dankbar und gab dann zu dass sie ihren Sohn ließ vor den Gängen zu Mays würde wie Scheibe Backofen Filter Zahl sechs).

Die Arbeit der Forscher lässt sich auf andere Algorithmen für Maschinenlernen anwenden. Mit Veränderungen an Bildern von Menschen zum Beispiel kann man für die Erkennung der Körperhaltung ausgelegte Algorithmen dazu bringen, eine andere Haltung zu erkennen, wie die Bilder unten zeigen. Durch Rauschen in einem Bild von einer Straßenszene ließ sich auch ein Algorithmus austricksen, der ansonsten für die Erkennung von Straßen und Schildern in autonomen Autos genutzt wird: Er sah stattdessen – eine Minion-Figur. Ähnliche Ergebnisse mit Bildern hatten Forscher bei den Maschinenlern-Projekten OpenAI und Google Brain bereits im vergangenen Jahr publiziert.

Auch Algorithmen zur Bilderkennung lassen sich austricksen, so dass sie etwa die Körperhaltung eines Menschen falsch ermitteln.

(Bild: Mr Tech)

Diese so genannten "Adversarial Examples" mögen als Forschungsgebiet merkwürdig wirken, doch sie lassen sich für Stresstests an Maschinenlern-Algorithmen nutzen. Beunruhigender ist, dass man sie auch mit böser Absicht einsetzen und KI-Systeme dazu bringen könnte, Dinge zu sehen oder zu hören, die gar nicht da sind – so könnte man autonomen Autos nicht existierende Fahrzeuge vorgaukeln oder intelligenten Lautsprechern falsche Anweisungen. Allerdings sind solche Angriffe in der Praxis viel schwieriger als im Labor, nicht zuletzt, weil sich die ausgewerteten Daten nicht so einfach verändern lassen.

Am interessantesten an all dem ist vielleicht, dass es ausgesprochen schwierig ist, KI vor derartigen Tricks zu schützen. Wie neuronale Netze tief in ihrem Inneren funktionieren, ist noch nicht wirklich verstanden, also wissen wir auch nicht, warum sie auf subtile Merkmale von Sprachaufzeichnungen oder Bildern reagieren. Bis sich das ändert, dürfte es das Problem mit der Irreführung von Maschinen weiter geben.

(sma)