Sechs Fragen und Antworten zu Wasserzeichen fĂĽr KI generierte Inhalte
Um zu verdeutlichen, dass ein Text oder ein Bild aus dem Rechner kommt, arbeiten KI-Firmen an einer Kennzeichnung. Aber wird das wirklich Vertrauen schaffen?
- Claire Leibowicz
Im letzten Frühjahr sah es fast danach aus, als stünde das amerikanische Verteidigungsministerium nach einem Anschlag in Flammen – zumindest zeigte das ein virales Online-Bild. So echt wirkte es, dass einige Kilometer entfernt vom möglichen Explosionsort Mitarbeiter des Weißen Hauses sowie Reporter herauszufinden versuchten, ob die Aufnahme tatsächlich echt war. Natürlich war es nicht so. Stattdessen stammte das Bild von einem – tatsächlich recht guten – KI-Bildgenerator. Dennoch gelang es Regierungsvertretern, Journalisten und sozialen Netzwerken nicht, den Fake wieder einzufangen. Es sorgte nicht nur für Verwirrung, sondern ließ kurzzeitig auch die US-Finanzmärkte einbrechen.
Manipulierte und irreführende Inhalte sind natürlich kein neues Phänomen. KI ermöglicht jedoch ein ganz neues Level. Einfach bedienbare Werkzeuge erlauben immer ausgefeiltere und realistischere Darstellungen. Sie lassen sich einerseits für sinnvolle und gute Zwecke – etwa der Kunst – nutzen. Andererseits sind sehr einfach Missbrauch und Propaganda möglich, sie säen Zweifel, diffamieren, belästigen, helfen beim Betrug.
Es gibt daher einige gute Gründe, mittels Wasserzeichen zu kennzeichnen, ob ein Inhalt aus einer KI stammt – sei es nun zur Förderung der Integrität von Wahlen, zum Schutz von Beweismaterial in Gerichtsprozessen, zur Eindämmung von Fake News oder zur Bewahrung historischer Fakten. Wäre das falsche Bild des Pentagon-Angriffs entsprechend gekennzeichnet gewesen, hätten die Plattformen möglicherweise schneller reagieren können; die Verbreitung des Bildes hätte sofort eingeschränkt werden können. So wäre es dem Publikum leichter möglich gewesen, die Aufnahme als Fälschung zu erkennen, was wiederum der Wall Street gut getan hätte.
Eine transparente Vorgehensweise, die Nutzern ermöglicht, zwischen echten und synthetischen Inhalten zu unterscheiden, tut also not. Und die Branche scheint das auch so zu sehen. Letzten Monat hat sich das Weiße Haus zum Thema geäußert und kündigte an, dass sieben der bekanntesten KI-Unternehmen sich verpflichtet hätten, "robuste technische Maßnahmen zu entwickeln, um sicherzustellen, dass die Nutzer erkennen können, dass es sich um einen KI-Inhalt handelt". Insbesondere von Wasserzeichen war die Rede.
Claire Leibowicz ist Leiterin des Programms für KI und Medienintegrität bei der "Partnership on AI", bei der sie die Entwicklung von Richtlinien für generative Medien (synthetic media) leitete. Zudem ist sie Doktorandin in Oxford. Sie beschäftigt sich insbesondere mit den Themen KI-Governance und generative Medien.
Transparenz ist notwendig
Solche technischen Methoden wären ein guter Anfang. Sie sind jedoch kompliziert in die Praxis umzusetzen und vor allem keine schnelle Lösung. Es ist unklar, ob ein solches Wasserzeichen den Twitter-Nutzern geholfen hätte, das gefälschte Bild des Pentagons zu erkennen oder auch nur kürzlich die Stimme von Donald Trump in einer Werbekampagne als synthetisch zu identifizieren. Hätten andere Methoden, wie die Offenlegung der Herkunft eines Inhalts und seine Metadaten, vielleicht mehr Wirkung gezeigt? Und vor allem: Kann die bloße Offenlegung, dass es sich um KI-Inhalte handelt, dem Publikum helfen, Fakten von Fiktion zu unterscheiden und Schäden in der realen Welt reduzieren?
Um diese Fragen zu beantworten, müssen wir zunächst klären, was unter Wasserzeichen und anderen Arten von KI-Transparenz zu verstehen ist. Was können wir vernünftigerweise von ihnen erwarten und welche Probleme bestehen auch nach ihrer Einführung weiter? So pedantisch die Debatte scheinen mag, trägt die breite Verwendung eines Begriffs wie "Wasserzeichen" derzeit zu Verwirrung und mangelnder Koordinierung im gesamten KI-Sektor bei. Die Definition dessen, was wir mit diesen verschiedenen Techniken meinen, ist eine entscheidende Voraussetzung dafür, dass die KI-Branche zusammenarbeiten und sich überhaupt auf Standards für die Offenlegung einigen kann. Ansonsten reden alle nur aneinander vorbei.
Der Begriff Wasserzeichen kann sich einerseits auf Signale beziehen, die für den Endnutzer sichtbar sind (zum Beispiel der überlagerte Text "Getty Images" auf den Medien des Bildanbieters). Andererseits kann der Begriff auch für technische Verfahren verwendet werden, die in Inhalte eingebettet und mit bloßem Auge oder Ohr nicht wahrnehmbar sind. Beide Arten von Wasserzeichen, die als "direkte" (erstes Beispiel) und "indirekte" Transparenz (zweites Beispiel) bezeichnet werden können, müssen unbedingt richtig eingesetzt werden, um diese zu gewährleisten. Bei jeder Diskussion über die Herausforderungen und Möglichkeiten solcher Wasserzeichen muss daher deutlich werden, welche Art gemeint ist.
Erschwerend kommt hinzu, dass Wasserzeichen oft als "Sammelbegriff" für die allgemeine Kennzeichnung von Inhalten verwendet werden, obwohl es viele Methoden dafür gibt. Bei genauerer Lektüre des Plans des Weißen Hauses wird eine andere Methode beschrieben, die als "Provenance" bekannt ist und auf kryptografischen Signaturen beruht. In den Medien wird dies jedoch oft als Wasserzeichen bezeichnet. Wenn man dieses Sammelsurium an Begriffen verwirrend findet, ist man nicht allein. Aber Klarheit ist wichtig: Der KI-Sektor kann keine kohärenten und soliden Maßnahmen zur Transparenz umsetzen, wenn nicht einmal Einigkeit darüber besteht, wie wir die verschiedenen Techniken bezeichnen. Daher folgen nun sechs Fragen zur Bewertung von verschiedenen KI-Wasserzeichen.
Können KI-Wasserzeichen selbst verfälscht werden?
Ironischerweise können technische Maßnahmen, die der Beurteilung der Herkunft von Inhalten dienen und Manipulationen ausschließen sollen, manchmal selbst manipuliert werden. Es ist zwar schwierig, aber sowohl unsichtbare als auch sichtbare Wasserzeichen lassen sich entfernen oder verändern, so dass sie uns nicht mehr sagen können, welcher Inhalt künstlich ist und welcher nicht. Wie leicht KI-Wasserzeichen manipuliert werden können, hängt dabei von der Art des Inhalts ab, mit dem man es zu tun hat.
Ist die Haltbarkeit eines KI-Wasserzeichens fĂĽr verschiedene Arten von Inhalten gleich?
Obwohl unsichtbare Wasserzeichen oft als umfassende Lösung für den Umgang mit generativer KI angepriesen werden, lassen sie sich in Texten viel leichter manipulieren als in audiovisuellen Inhalten. Das erklärt wahrscheinlich, warum die Zusammenfassung des Konzepts des Weißen Hauses vorschlägt, dass Wasserzeichen auf alle Arten von KI angewandt werden sollen, im Volltext dann aber klargestellt wird, dass sich die Unternehmen nur zum Einbau bei audiovisuellen Inhalten verpflichten wollen. Bei der Gestaltung einer KI-Regulierung muss also genau darauf geachtet werden, wie sich solche Verfahren technisch überhaupt umsetzen lassen und wie lange sie halten. KI-Wasserzeichen können bei audiovisuellen Inhalten robust sein, für Text aber unbrauchbar.
Wer kann KI-Wasserzeichen ĂĽberhaupt auslesen?
Selbst wenn sich die KI-Branche bereit erklärt, unsichtbare Wasserzeichen einzuführen, wird sich unweigerlich die Frage stellen, wer in der Lage ist, diese überhaupt auszulesen und darauf basierende Aussagen zu treffen. Wer ist die Instanz, die entscheidet, ob es sich um KI-generierte Inhalte handelt – und damit vielleicht auch, ob sie irreführend sind? Wenn jeder Nutzer KI-Wasserzeichen auslesen kann, könnte dies sogar dazu führen, dass die Technik von problematischen Akteuren missbraucht wird.
Andererseits könnte ein eingeschränkter Zugang zum Auslesen unsichtbarer Wasserzeichen – vor allem, wenn er von großen KI-Unternehmen diktiert wird – Transparenz und Offenheit beeinträchtigen und den Wettbewerb einschränken. Wenn man KI-Wasserzeichen einführt, ohne zu klären, wie sie überhaupt geregelt sind, könnte dies dazu führen, dass die Nutzer ihnen misstrauen und sie damit unwirksam werden. Schließlich gilt: Setzen sich generative KI-Systeme mit Wasserzeichen erst gar nicht durch, könnten problematische Akteure schlicht auf Open-Source-Technologien zurückgreifen, denen unsichtbare Wasserzeichen grundsätzlich fehlen.