Seite 2: So schlimm wie Millionen Zeilen Fortran

Inhaltsverzeichnis

Neuronale Netze werden erst dann nützlich, wenn sie mit Millionen von Neuronen und Synapsen-Verbindungen die Eingabedaten gewichten. Zudem funktionieren sie besonders gut, wenn sie zahlreiche Schichten an Neuronen übereinander stapeln und die Schichten sich jeweils Daten vorverarbeiten und Muster extrahieren. Für Menschen ist diese Komplexität im Einzelnen nicht überschaubar. Zwar sind die Verarbeitungsschritte dabei einzeln nachvollziehbar, aber: „Es ist, als betrachte man ein Fortran-Programm mit Millionen Codezeilen, ohne Kommentierung oder verdeutlichende Struktur und mit unvorhersehbaren Sprungbefehlen in jeder Zeile“, versucht Brendel einen Vergleich. Was passiert, ist zwar Schritt für Schritt nachvollziehbar, aber der menschlichen Intuition nicht zugänglich.

In einer eigenen Forschungsarbeit hat Brendel mit Kollegen gezeigt, dass eine KI ein Objekt auf einem Foto eher an seiner Oberflächentextur erkennt als an seiner äußeren Form. Ebenso konnten die Tübinger Forscher belegen, dass ein Klassifikator Bilder auch dann noch gut zuordnet, wenn diese zuvor zerschnitten und in beliebiger Reihenfolge wieder zusammengesetzt worden sind. Solche Mosaike erkennen Menschen nur mit Mühe oder gar nicht. Für ein Convolutional Neural Network (CNN) mit seinen Faltungsebenen ist es dagegen fast egal, an welcher Stelle sich ein bestimmter Bildinhalt befindet. Ein Auge wird als Auge erkannt, egal ob es links oben oder rechts unten zu sehen ist. Dichte Haare auf dem Rücken bedeuten ebenso Fell wie auch am Bein. Die Bildklassifikation gelingt daher bei einem Mosaik aus falsch zusammengesetzten Ausschnitten nahezu genauso gut wie mit dem unzerschnittenen Originalbild.

Dieses Verhalten führt aber auch dazu, dass eine Collage voller Nasen mit Bestimmtheit als „Gesicht“ erkannt wird. Eine Nase ist ein Indiz für ein Gesicht, viele Nasen deuten sehr stark auf ein Gesicht hin. Das Fazit der Forscher: Die KI sieht ganz anders als der Mensch und es ist noch ein weiter Weg, ihr Weltwissen und eine objektbezogene Sichtweise beizubringen.

Physische Attacken

Dass sich tiefe neuronale Netze aufgrund ihrer Oberflächlichkeit auch ganz gezielt in der physischen Welt manipulieren lassen, zeigte beispielsweise Ivan Evtimov von der University of Washington 2018 an Beispielen gezinkter Stoppschilder. Viele Verkehrsschilder an den Straßen sind verdreckt, beschmiert oder beklebt. Autofahrer stören sich daran in der Regel nicht, solange sie die Zeichen noch korrekt zuordnen können. Mit wenigen Abwandlungen in Form von Aufklebern oder aufgemalten Zeichen gelang es den Forschern allerdings, Verkehrszeichen-Erkenner radikal zu täuschen. Zuvor hatten die untersuchten KIs alle Schilder auf dem LISA Traffic Sign Dataset erkannt, eine in den USA maßgebliche Sammlung von Verkehrsszenen und Videos des Laboratory for Intelligent & Safe Automobiles.

Die Täuschungen gelangen im Labor zu 100 Prozent. Wurden die manipulierten Stoppschilder vom Wagen aus aufgenommen, interpretierten die Klassifikatoren ihren Inhalt immer noch zu fast 85 Prozent falsch und sahen stattdessen ein Tempolimit von 45 Meilen pro Stunde. Das Tückische: Die Manipulationen an den Verkehrsschildern blieben immer noch unter der Wahrnehmungsschwelle der meisten menschlichen Fahrer. Sie bemerkten die Veränderungen erst gar nicht und konnten auch nicht ahnen, welchen fundamentalen Unterschied die kleinen Markierungen für die KI darstellen. Im Szenario der Forscher erschien ein Stoppschild für ein Fahrassistenzsystem oder ein autonomes Fahrzeug wie ein Tempolimit. Im Ernstfall macht eine solche Manipulation den Unterschied zwischen Anhalten und Gas geben. Die Täuschung gelang auf unterschiedlichste Entfernungen und unter verschiedenen Betrachtungswinkeln.

Die physische Attacke bildet eine reale Gefahr für das autonome Fahren. Forscher gehen davon aus, dass die nicht-physischen Attacken, also die Bildmanipulationen mit direktem Zugriff auf den Bildspeicher, eher eine theoretische Gefahr darstellen. „Ein Hacker, der einem Fahrzeug manipulierte Bilddaten vorgaukeln kann, muss dazu bereits tiefen Zugang zum System haben. Er könnte wahrscheinlich ebenso gut direkt Gas- und Bremspedal ansprechen“, verdeutlicht Dr.-Ing. Andreas Geiger am Max-Planck-Institut für Intelligente Systeme (MPI-IS) und zudem Professor an der Universität Tübingen. Die Real-World-Attacke über Aufkleber und physische Markierungen ist indirekter und prinzipiell schwerer zu konzipieren. Sie muss robust sein gegenüber zahlreichen Unwägbarkeiten wie den Einflüssen der Linse bei der Aufnahme oder dem Rauschen des Bildsensors. Aber wenn die Attacke funktioniert, dann erfordert sie nicht mehr als einen unscheinbaren Aufkleber am Straßenrand. Damit ist diese Art der Manipulation geeignet, das autonome Fahren nach aktuellem Stand der Technik infrage zu stellen.