CISPA-Forscher entwickelt Verfahren zum Schutz vor Deepfakes
Ein wesentliches Merkmal zeitgenössischer Online-Kommunikation in sozialen Netzwerken ist der Austausch von digitalen Bildern zwischen verschiedenen Nutzer:innen. Einmal hochgeladen, bleiben die Bilder meist für sehr lange Zeit verfügbar. Damit ist auch einer manipulativen Verwendung Tür und Tor geöffnet. Neben dem Identitätsklau, bei dem mit realen Bildern falsche Profile angelegt werden, ist ein weiteres Risiko, dass diese Bilder in KI-Bildgeneratoren eingespeist und für Deepfakes genutzt werden. Deepfakes sind Manipulationen an Bildern, die mit dem bloßen Auge nicht erkennbar sind. Insbesondere Politiker:innen und Personen des öffentlichen Lebens sind diesem Risiko ausgesetzt. „Meist wissen die Personen auf den Fotos nichts von der Manipulation und können sich nicht mal dagegen wehren", so CISPA-Forscher Zheng Li. Desinformationen ist damit Tür und Tor geöffnet. „Deshalb stellen Deepfakes auch eine echte Gefahr für die Demokratie dar." Erstellt werden können Deepfakes mit Hilfe verschiedener Verfahren auf Basis künstlicher Intelligenz, wie etwa durch die Nutzung sogenannter GANs.
GAN ist die Abkürzung für Generative Adversarial Network und bezeichnet ein Modell des maschinellen Lernens. GANs bestehen aus zwei künstlichen neuronalen Netzen, die miteinander kommunizieren. Vereinfacht gesagt generiert eines der beiden Netze neue Daten, also zum Beispiel Bilder, während das andere diese Daten ausgehend von einem bestehenden Datensatz bewertet. Dazu vergleicht es die Unterschiede zwischen den bestehenden und den neu generierten Daten. Diese Bewertung wird an das generierende Netz zurückgespielt und von diesem für Verbesserungen genutzt, etwa damit die generierten Bilder realen Bildern immer ähnlicher werden, was auch den Algorithmus an sich verbessert. Im gleichen Maße, wie die Bildauflösung immer besser sowie der Look immer fotorealistischer wird, erweitern sich auch die Möglichkeiten, Bilder realer Personen zu manipulieren. Hier geht es vor allem um den Bereich der „Face Manipulation“ – auf Deutsch übersetzt Bildmanipulation von Gesichtern – bei der einzelne Merkmale, wie etwa der Gesichtsausdruck oder die Haarfarbe, verändert werden können. Eine wichtige Methode zur Generierung von Deepfakes ist die GAN-Inversion, ein spezielles Verfahren zur Verarbeitung von Bildern in KI-Bildgeneratoren.
Die Entwicklung von UnGANable
„Unser Ausgangspunkt war die Erkenntnis, dass es bis dato keine Möglichkeit gab, Deepfakes zu verhindern, die auf der Methode der GAN-Inversion basieren“ erzählt Li. „Unser Verfahren haben wir deswegen UnGANable genannt“, so der CISPA-Forscher weiter: „Vereinfacht gesagt versucht UnGANable, Bilder von Gesichtern vor Deepfakes zu schützen.“ Damit GANs Bilder überhaupt verarbeiten können, müssen sie sie zuerst in mathematische Vektoren, den sogenannten „latent code“ umwandeln. Dies wird als GAN-Inversion bezeichnet und stellt eine Art Bildkomprimierung dar. Mit Hilfe des „latent code“ eines realen Bildes kann ein Generator neue Bilder generieren, die ihrem realen Vor-Bild täuschend ähnlich sind.
An dieser Stelle greift nun das von Li und seinen Kolleg:innen entwickelte Verfahren, das die GAN-Inversion und damit die Fälschungen erschwert. Dafür produziert UnGANable auf Ebene der mathematischen Vektoren maximale Abweichungen, in der Fachsprache „noise“ genannt, die auf Bildebene jedoch nicht sichtbar sind und die Umwandlung in „latent code“ erschweren. Damit läuft das GAN – einfach gesprochen – quasi trocken, weil es keine Daten findet, mit deren Hilfe neue Bilder erstellt werden können. Und wenn keine dem Originalbild ähnlichen Kopien auf Basis des „latent code“ erstellt werden können, ist auch keine Bildmanipulation möglich. Tests mit UnGANable bei verschiedenen GAN-Inversion-Verfahren ergaben zufriedenstellende Resultate. Darüber hinaus konnten Li und Kolleg:innen nachweisen, dass ihr Verfahren auch besser schützt als alternative Mechanismen wie etwa das Programm Fawkes. Das von einer Forschungsgruppe des Sand Lab in Chicago entwickelte Programm arbeitet mit einem Verzerrungsalgorithmus, der an Fotos mit dem menschlichen Auge nicht wahrnehmbare Veränderungen auf Pixelebene vornimmt.
Anwendungsbereiche des Verfahrens
Die Arbeit des CISPA-Forschers ist ein wichtiger Schritt hin zur Entwicklung neuer Verfahren zum Schutz vor „Face Manipulation“. „Mir ist es wichtig, die Menschen vor der böswilligen Manipulation ihrer Bilder zu schützen“, erklärt Li. Der Code für das von ihm mitentwickelte Verfahren ist Open-Source, also öffentlich zugänglich, und kann so auch von anderen Forschenden genutzt werden. Und wer im Umgang mit Codes versiert ist, kann diesen auch bereits jetzt dafür nutzen, die eigenen Bilder vor missbräuchlicher Nutzung zu schützen. Aber damit die breite Masse der User:innen dies anwenden kann, müsste noch eine entsprechende Software programmiert werden. Während CISPA-Forscher Li sich schon wieder anderen Projekten zugewendet hat, forschen einige seiner Kolleg:innen weiter an ähnlichen Fragestellungen, etwa ob der gefundene Mechanismus auch für KI-Verfahren genutzt werden kann, die aus Texteingaben Bilder generieren. „Und vielleicht lässt sich das Verfahren in Zukunft auf für Videos einsetzen“, überlegt Li. Sicher ist in jedem Fall, dass angesichts der exponentiellen Lernkurve von GAN-basierten Verfahren zur Bildgenerierung und damit auch zur Bildmanipulation die Notwendigkeit zur Entwicklung von Abwehrmechanismen weiter steigen wird.