Angriff auf neuronale Netze

Maschinelles Lernen hat die Leistung von Gesichtserkennungs-Systemen drastisch verbessert. Es macht die Systeme zugleich aber sehr angreifbar.

In Pocket speichern vorlesen Druckansicht 65 Kommentare lesen
Angriff auf neuronale Netze

(Bild: Shutterstock)

Lesezeit: 3 Min.

Die Stärke von Gesichtserkennungs-Software, die Methoden des maschinellen Lernens verwendet, um Unterscheidungskriterien zwischen Gesichtern eigenständig zu ermitteln, könnte sich als ihre große Schwäche erweisen. Denn mehrere Forschungsgruppen haben bereits gezeigt, dass man neuronale Netze nutzen kann, um andere neuronale Netze gezielt in die Irre zu führen. Das funktioniert sogar dann, wenn der Angreifer keine Informationen über den inneren Aufbau des angegriffenen Systems hat, berichtet Technology Review in seiner aktuellen Ausgabe (im gut sortierten Zeitschriftenhandel und im heise shop erhältlich).

Das Problem ist seit einiger Zeit bekannt: Bereits 2014 wies der Google-Forscher Christian Szegedy erstmals darauf hin, dass tiefe neuronale Netze leicht durcheinanderzubringen sind, wenn man in Bildern an der richtigen Stelle einige Pixel verändert. Forscher am Institut von David Cox von der Harvard University programmierten daraufhin ein Online-Werkzeug, das jedes hochgeladene Foto so manipuliert, dass ein neuronales Netz darauf einen Strauß erkennt.

Die wissenschaftliche Community hielt solche Attacken bislang für Spielerei. Niemand schiebe einer Gesichtserkennung ein gezielt manipuliertes Bild unter. Wer nicht erkannt werden will, mache sich einfach durch Verkleidung oder Vermummung unkenntlich. Im Oktober 2016 ließ Mahmood Sharif von der Carnegie Mellon University dieses Argument jedoch hart auf den Boden der Realität prallen. Er präsentierte auf der Conference on Computer and Communications Security in Wien ein Verfahren, um Gesichtserkennungssysteme mit Mustern auf Brillen gezielt in die Irre zu führen.

Sharif und seine Kollegen wussten, wie die Gesichtserkennung arbeitet, die sie austricksten. Solch eine "White Box"-Attacke ist sehr viel einfacher als ein Angriff auf eine unbekannte "Black Box". Aber auch sie ist möglich, wie unter anderem Nicolas Papernot von der Pennsylvania State University und Ian Goodfellow von der Non-Profit-Organisation OpenAI demonstriert haben: Sie führten das Deep-Learning-Netzwerk der Firma MetaMind in die Irre. Es ist darauf getrimmt, in Daten von Geschäftskunden auffällige Muster zu erkennen. Die KI ist online zugänglich, aber kein Außenstehender weiß, mit welchen Algorithmen sie arbeitet. Den Forschern gelang es dennoch, eine Angriffssoftware zu programmieren, die ihr ein X für ein U vormachte. Goodfellow ist pessimistisch: "Alles Böse, was man mit maschinellem Lernen anstellen kann, kann heute schon gemacht werden", sagte er im Dezember auf der Konferenz NIPS 2016 in Barcelona. "Eine Verteidigung dagegen ist sehr, sehr schwer."

(jle)