Zuverlässige KI: Absicherung künstlicher neuronaler Netze

Inhaltsverzeichnis

Wissen, Halbwissen und Falschinformationen liegen beim Thema Künstliche Intelligenz (KI) nahe beieinander. Nicht erfüllte oder übererfüllte Erwartungen gehen häufig einher mit Überraschungsmomenten, wenn klar wird, wie lange es KI gibt und wie stark sie inzwischen den Alltag privat wie beruflich durchdringt. Dieses Hineinwirken in zahlreiche gesellschaftliche Bereiche bedingt, dass der öffentliche Diskurs über KI intensiver ist und auch sein sollte als für andere Technologien.

Neben dem lebhaften Diskurs in der Gesellschaft existieren rechtliche Fragen und Hürden, die Unternehmen angehen müssen, wenn sie Künstliche Intelligenz sicher einsetzen möchten. Mit der steigenden Zahl der KI-Anwendungen wächst die Notwendigkeit zu prüfen, inwieweit bestehende Normen, Standards und Regularien für sie greifen oder ob es weiterer Maßnahmen für eine rechtssichere Anwendung bedarf.

Licht und Schatten beim Einsatz von KI

Der aktuelle Wirbel um KI ist das Ergebnis einer jahrzehntelangen Forschungsarbeit seit den 1950er Jahren. In der letzten Zeit häufen sich die Erfolgsmeldungen: ChatGPT beeindruckt in diversen Domänen mit flüssig formulierten und gut lesbaren Texten. Die Sprachassistenten Siri und Alexa sind in viele Haushalte eingezogen. Das Computerprogramm AlphaGo von DeepMind schlug 2016 einen der weltbesten Go-Spieler. Und mit AlphaFold hat Google eine KI trainiert, die extrem präzise die räumliche Struktur von Proteinen vorhersagen kann.

Die Erfolge sind nur die eine Seite der Medaille. Auf der anderen Seite stehen ethische und sicherheitsrelevante Herausforderungen. So setzte Amazon beispielsweise eine KI-basierte Software für den Vorauswahlprozess neuer Mitarbeiter ein, die aufgrund der Trainingsdaten Frauen benachteiligte. Breit durch die Medien gingen zudem zwar seltene, aber schwere Unfälle mit Autos, die autonom fuhren und deren Bildverarbeitung nicht richtig funktionierte. Ein wahrer Misserfolg war der Chatbot Tay, der auf Twitter von den Nutzern lernen sollte, die ihm aber schnell rassistische Äußerungen beibrachten. Es ist kein Selbstläufer, KI-Techniken sinnvoll und rechtskonform einzusetzen.

Die Vertrauensfrage

Das ambivalente Bild bewirkt etwas bei Menschen und ihrer Haltung gegenüber KI. Der 2020 von Bosch umgesetzt "KI-Zukunftskompass" zeigt, wo die befragten Personen eher Menschen oder einer KI vertrauen würden. Die Umfrage ergab, dass KI in jenen Bereichen hohes Vertrauen genießt, in denen das Umfeld stark technisiert ist und keine direkten Bezüge zum Menschen hat, etwa in der industriellen Produktion oder der Herstellung von Autos und Flugzeugen. Zwischen 38 und 57 Prozent der Befragten sprachen einer Maschine in dem Bereich mehr Vertrauen aus als einem Menschen, für den die Werte zwischen 11 und 22 Prozent lagen.

Allerdings sinkt das Vertrauen in Maschinen, wenn eine Anwendung Menschen direkt betrifft: Zwischen 65 und 79 Prozent der Befragten vertrauten Menschen, wenn es um gesundheitliche Anforderungen, die Pflege oder Personalentscheidungen geht. Nur sechs bis zehn Prozent vertrauten in den Bereichen den Maschinen stärker. Je näher eine KI-basierte Entscheidung oder Aktion dem Menschen rückt und je mehr sie sein Leben beeinflussen könnte, umso kritischer wird der Umgang mit KI – ein nachvollziehbarer Befund.

Menschzentrierte und zuverlässige KI als Ziel

Umso wichtiger ist es, Gefahren und Skepsis auf Anwenderseite beim Entwickeln von KI-Anwendungen im Fokus zu haben. Das versteht das Team im Stuttgarter KI-Fortschrittszentrum "Lernende Systeme und Kognitive Robotik", geleitet von den beiden Fraunhofer-Instituten für Produktionstechnik und Automatisierung IPA sowie für Arbeitswirtschaft und Organisation IAO und gefördert vom Wirtschaftsministerium Baden-Württemberg, unter einer menschzentrierten KI. Dass diese zuverlässig und vertrauenswürdig ist, zeigt sich in sechs Aspekten:

1. Menschlichem Handeln und Aufsicht,
2. Fairness,
3. Datenschutz,
4. Sicherheit,
5. Verlässlichkeit und
6. Transparenz.

Die ersten drei Aspekte betreffen überwiegend ethische Themen. Die Schwerpunkte des KI-Fortschrittszentrums liegen auf den sicherheitsrelevanten Aspekten vier bis sechs. Zunächst ist jedoch eine kurze Einordnung erforderlich: Künstliche Intelligenz steht in diesem Artikel für Methoden und Verfahren zur Problemlösung, für die Menschen üblicherweise intelligent handeln müssen. Ein prominentes und momentan das am stärksten genutzte Teilgebiet von KI ist Machine Learning (ML), also das überwachte oder unüberwachte Lernen anhand von Mustern in Daten. Künstliche neuronale Netze mit Verfahren des Deep Learning gehören dazu.

Sicherheit durch formale Verifikation

Ein Beispiel des Straßenverkehrs [1], in dem ein autonom fahrendes Auto entscheiden muss, verdeutlicht ein grundlegendes Sicherheitsproblem beim Einsatz neuronaler Netze: Kleine Änderungen an den Eingabedaten können zu großen Änderungen beim ausgegebenen Ergebnis führen. Beispielsweise könnte die im Auto eingebaute Kamera aufgrund von Sensorrauschen ein Verkehrszeichen oder einen Verkehrsteilnehmer falsch erkennen. Das kann zu fehlerhaften Fahrbefehlen führen und somit die Insassen oder andere Verkehrsteilnehmer gefährden.

Dieses Verhalten lässt sich als fehlende Robustheit bezeichnen und sogar vorsätzlich durch sogenannte Adversarial Attacks ausnutzen. Die Angriffe verändern die Eingabedaten bewusst, um gezielt ein falsches Ergebnis zu erzeugen (siehe Abbildung 1).

Damit ein neuronales Netz sicher und robust ist, wäre es erforderlich, alle denkbaren Eingabedaten auszuprobieren, was aufgrund der potenziell unendlichen Anzahl an Daten in vielen Anwendungsbereichen unmöglich ist. Bisher ist der Standard, statistische Aussagen über die Sicherheit des Netzes zu treffen, indem man es auf einer endlichen Teilmenge an Daten testet.

Eine Alternative ist die formale Verifikation. Sie beweist automatisch, dass ein Netz gewisse Eigenschaften für unendlich viele Daten erfüllt. Beispielsweise soll gezeigt werden, dass sich in einem binären Klassifikationsproblem ein neuronales Netz f(x) für alle Eingabedaten x ∈ B ⊂ Rⁿ immer für eine der beiden Klassen -1 oder 1 entscheidet. Häufig ist die Menge B konvex, beispielsweise eine Hyperkugel, die um einen bestimmten Datenpunkt x₀ zentriert ist. Damit lässt sich nachweisen, dass das Netz bei kleineren Abweichungen von x₀ seine Entscheidung für eine Klasse nicht ändert. Es wäre somit robust gegenüber kleinen Änderungen, die etwa durch Rauschen entstehen.

Für den Fall, dass positive Ausgabewerte des Netzes als Entscheidung für die Klasse 1 und negative Werte für die Klasse -1 gelten, lässt sich das Verifikationsaufgabe als folgendes Optimierungsproblem formulieren:

f^*>0 bedeutet, dass selbst im schlechtesten Fall das Netz immer einen positiven Wert ausgibt und zwar unabhängig vom betrachteten Wert x. Das Netz ist beweisbar robust. Ist hingegen f^*<0, gibt es Werte in B, bei denen sich das Netz für die Klasse -1 entscheidet.

Unglücklicherweise ist das Lösen des Optimierungsproblems äußerst aufwendig, weil neuronale Netze in jeder Schicht nichtlineare Aktivierungsfunktionen verwenden und f(x) somit keine konvexe Funktion ist. Eine Abhandlung [2] hat für ReLU-Netze – neuronale Netze mit ReLU-Aktivierungsfunktion (Rectified Linear Unit) – nachgewiesen, dass das Problem NP-vollständig ist und damit der Rechenaufwand exponentiell mit der Größe des Netzes ansteigt.

Um dennoch neuronale Netze praktikabler Größe verifizieren zu können, beschäftigt sich die Forschung mit näherungsweisen Lösungen des Optimierungsproblems. Beim Bewerten eines solchen Näherungsverfahrens ist darauf zu achten, ob das Verfahren korrekt und vollständig ist (siehe Abbildung 2). Idealerweise erfüllt das Verfahren beide Eigenschaften, da in dem Fall die Ergebnisse stets richtig sind.

Ein Beispiel für korrekte, aber nicht vollständige Näherungsverfahren sind solche, die das Netz f(x) durch eine untere Schranke abschätzen, beispielsweise durch eine lineare Funktion [3]:

Verwendet man g(x) statt f(x), ist das Optimierungsproblem häufig sogar geschlossen lösbar. Gilt dabei g^*>0, ist weiterhin garantiert, dass folgende Eigenschaft erfüllt ist: Das Netz entscheidet sich stets für die Klasse 1. Allerdings lässt sich für den Fall g^*<0 keine Aussage mehr treffen, da immer noch 0 < f^*≦ f(x) für alle x ∈ B gelten kann.

Die Heise-Konferenz zu Machine Learning

Am 10. und 11. Mai findet die Minds Mastering Machines in Karlsruhe statt. Die seit 2018 von iX, heise Developer und dpunkt.verlag ausgerichtete Fachkonferenz richtet sich in erster Linie an Data Scientists, Data Engineers und Developer, die Machine-Learning-Projekte in die Realität umsetzen.

Das Programm bietet an zwei Tagen gut 30 Vorträge unter anderem zu Sprachmodellen, Cybersecurity, Resilienz und Modelloptimierung.

Für ReLU-Netze kann man das Optimierungsproblem in ein sogenanntes Mixed-Integer Linear Program (MILP, gemischt ganzzahliges Optimierungsproblem) umwandeln, wofür spezielle Algorithmen wie Branch-and-Bound-Verfahren existieren. Damit ist es zwar immer noch NP-vollständig, aber die zuvor erwähnten schnellen schrankenbasierten Verfahren lassen sich mit Branch and Bound kombinieren [4], um die Verifikation zu beschleunigen. Zudem sind solche Verfahren vollständig und korrekt.

Gemeinsam mit der Firma Sick, einem Hersteller von Sensoren für industrielle Kontexte, gab es im KI-Fortschrittszentrum ein Projekt, bei dem es um die formale Verifikation anhand einer Anwendung aus der Sicherheitstechnik ging. Es galt nachzuweisen, dass ein neuronales Netz mittels Daten eines Laserscanners einen Menschen sicher erkennen kann. Untersucht wurde ein MILP-Verifikationsverfahren. Allerdings erwies es sich als schwierig, überprüfbare Sicherheitseigenschaften aus den Laserscannerdaten zu extrahieren. Zudem zeigte sich, dass bei der Skalierung auf extrem große neuronale Netze noch Forschungsbedarf besteht.