SynthID: Google DeepMind stellt Wasserzeichen-Tool für KI-generierte Bilder vor
Es ist das erste Big-Tech-Unternehmen, das ein solches Tool vorstellt, nachdem eine Gruppe von ihnen im Juli im Weißen Haus ihre Entwicklung zugesagt hatte.
(Bild: Dilok Klaisataporn/Shutterstock.com)
- Melissa Heikkilä
Google DeepMind hat ein neues Wasserzeichen-Tool auf den Markt gebracht, das per KI-generierte Bilder kennzeichnet. SynthID wird zunächst nur den Nutzern von Googles KI-Bildgenerator Imagen zur Verfügung stehen, der auf der Google Cloud-Plattform Vertex für maschinelles Lernen gehostet wird. Die Nutzer können mit Imagen Bilder erstellen und dann wählen, ob sie ein Wasserzeichen hinzufügen möchten oder nicht. Die Hoffnung ist, Menschen dafür zu sensibilisieren, wenn durch KI erstellte Inhalte als echt ausgegeben werden. Auch sollen damit Urheberrechte geschützt werden.
Im vergangenen Jahr hat die große Popularität generativer KI-Modelle auch zur Verbreitung von KI-generierten Deepfakes, Nacktvideos ohne Einwilligung und Urheberrechtsverletzungen geführt. Wasserzeichen – eine Technik, bei der ein Signal in einem Text oder einem Bild versteckt wird, um es als KI-generiert zu kennzeichnen – ist zu einer der populärsten Ideen geworden, um Schäden dadurch einzudämmen.
Im Juli hatte das Weiße Haus bekanntgegeben, dass sich führende KI-Unternehmen wie OpenAI, Google und Meta freiwillig zur Entwicklung von Wasserzeichen-Tools verpflichtet haben, um Fehlinformationen und den Missbrauch von KI-generierten Inhalten zu bekämpfen. Auf der Google-Jahreskonferenz I/O im Mai sagte Geschäftsführer Sundar Pichai, das Unternehmen entwickle seine Modelle so, dass sie von Anfang an Wasserzeichen und andere Techniken enthalten. Google DeepMind ist nun das erste große Technologieunternehmen, das ein solches Tool öffentlich vorstellt.
Methode mit zwei neuronalen Netzen
Bisher wurden Bilder mit Wasserzeichen versehen, indem man sie mit einem sichtbaren Overlay versah oder Informationen in ihre Metadaten einfügte. Dieser Ansatz ist jedoch sehr anfällig und das Wasserzeichen kann verloren gehen, wenn Bilder beschnitten, in der Größe verändert oder bearbeitet werden, sagt Pushmeet Kohli, Vizepräsident für Forschung bei Google DeepMind.
SynthID wird mit zwei neuronalen Netzwerken erstellt. Das eine nimmt das Originalbild und erzeugt eine fast identisch aussehende Kopie, bei der aber einige Pixel subtil verändert wurden. So entsteht ein eingebettetes Muster, das für das menschliche Auge unsichtbar ist. Das zweite neuronale Netzwerk kann das Muster erkennen und informiert den Benutzer über eine der drei Optionen: 1. Es hat ein Wasserzeichen entdeckt, 2. Es vermutet, dass das Bild ein Wasserzeichen enthält, 3. Es hat kein Wasserzeichen entdeckt. Laut Kohli ist SynthID so konzipiert, dass das Wasserzeichen auch dann noch erkennbar ist, wenn das Bild als Screenshot aufgenommen oder bearbeitet wird, beispielsweise durch Drehen oder Ändern der Größe.
Wenngleich Google DeepMind das erste Big-Tech-Unternehmen ist, das nun ein derartiges Tool vorstellt, ist es nicht das einzige Unternehmen, das an dieser Art von Wasserzeichen arbeitet, sagt Ben Zhao von der University of Chicago. Er hat an Systemen gearbeitet, die verhindern sollen, dass KI-Systeme Bilder von Künstlern abgreifen. Ähnliche Techniken existieren bereits und werden im Open-Source-KI-Bildgenerator Stable Diffusion verwendet. Meta hat ebenfalls an Wasserzeichen geforscht, obwohl es noch keine öffentlichen Wasserzeichen-Tools auf den Markt gebracht hat.
Lesen Sie auch
OpenAI zieht KI-Detektor zurück
Kohli behauptet, das Wasserzeichen von Google DeepMind sei widerstandsfähiger gegen Manipulationen als frühere Versuche, Wasserzeichen für Bilder zu erstellen, obwohl es immer noch nicht vollkommen immun dagegen ist. Zhao dagegen ist skeptisch. "Es gibt nur wenige oder gar keine Wasserzeichen, die sich auf Dauer als robust erwiesen haben", sagt er. Frühe Arbeiten zu Wasserzeichen für Texte haben gezeigt, dass sie leicht zu knacken sind, normalerweise innerhalb weniger Monate.
Mehr über die Stärken und Schwächen der Ansätze lernen
Menschen mit schlechten Absichten haben ein Interesse daran, Wasserzeichen zu zerstören, fügt er hinzu – zum Beispiel, um zu behaupten, dass gefälschte Inhalte echte fotografische Beweise für ein nicht existierendes Verbrechen oder Ereignis sind. "Ein Krimineller, der versucht, gefälschte Bilder als echt darzustellen oder ein echtes Foto als Fälschung zu diskreditieren, hat viel zu gewinnen und wird es nicht dabei belassen, Bilder zu beschneiden, verlustbehaftet zu komprimieren oder Farben zu ändern“, sagt Zhao.
Nichtsdestotrotz ist der Start von Google DeepMind ein guter erster Schritt und könnte zu einem besseren Informationsaustausch in diesem Bereich darüber führen, welche Techniken funktionieren und welche nicht, sagt Claire Leibowicz, Leiterin des AI and Media Integrity Program bei Partnership on AI. "Die Tatsache, dass dies [die Einführung von Wasserzeichen oder anderen Sicherheitstechniken] wirklich kompliziert ist, sollte uns nicht dazu verleiten, nichts zu tun", sagt sie.
Offen bleibt weiterhin, wie es um die robuste Kennzeichnung von KI-generierten Texten steht, da sich das Tool ausschließlich auf digitale Bilder anwenden lässt.
Kohli zufolge ist das Wasserzeichen-Tool "experimentell" und das Unternehmen wolle sehen, wie es von den Nutzern verwendet wird, und etwas über seine Stärken und Schwächen lernen, bevor es auf breiterer Basis eingeführt wird. Er sagte nicht, ob Google das Wasserzeichen zu seinen KI-Bilderzeugungssystemen hinzufügen wird. Kohli weigerte sich auch zu sagen, ob Google DeepMind das Tool auch für andere Bilder als die, die von Imagen generiert werden, zur Verfügung stellen könnte. Die Verwendung des Tools auch für Anbieter anderer KI-Modelle wäre aber sinnvoll, um die Sicherheit weiter zu erhöhen und die Unterscheidung zwischen Real und Fake zu erleichtern. Nichtdestotrotz wird es auch immer Anbieter geben, die ein Interesse daran haben, eben jene Kennzeichnung wegzulassen.
Diese Unklarheiten bei der Verfügbarkeit des Tools schränken seinen Nutzen ein, sagt Sasha Luccioni, eine KI-Forscherin beim Start-up Hugging Face. Die Entscheidung von Google, das Tool proprietär zu halten, bedeutet, dass nur Google in der Lage sein wird, diese Wasserzeichen einzubetten und zu erkennen, fügt sie hinzu. "Wenn man eine Wasserzeichenkomponente in alle Bilderzeugungssysteme einbaut, ist das Risiko von Schäden wie Deepfake-Pornografie geringer", sagt Luccioni.
Doch solange Google den Algorithmus nicht offenlegt, beruht das Verfahren beruht auf dem Grundsatz der "Sicherheit durch Geheimhaltung". Die Erfahrung hat gezeigt, dass so etwas auf Dauer nicht funktioniert. Es ist daher nur eine Frage der Zeit, bis der Mechanismus gehackt wird.
(jle)