Wie schnell es gehen kann, dass Fotos von einer KI-Software manipuliert werden, haben wir bereits an vielen prominenten Beispielen gesehen. So wurde aus dem frommen Papst Franziskus plötzlich ein hipper Typ mit Steppjacke und Donald Trump wurde von der Polizei abgeführt, obwohl er in der Realität nicht verhaftet wurde.

KI-Bildgeneratoren wie Midjourney erzeugen in wenigen Minuten auf Sprachbefehl eines:einer User:in jedes beliebige Foto – sei es noch so verrückt. Es ist auch keine Seltenheit, dass diese täuschend echt wirkenden KI-Bilder die Personen, die abgebildet sind, in unangenehme Situationen bringen.

Ein Forschungsteam unter der Leitung von Informatikprofessor Aleksander Madry am Massachusetts Institute of Technology (MIT) hat nun ein Programm namens Photoguard entwickelt, das verhindern soll, dass solche KI-Programme die Fotos einer Person manipulieren und sie für Deepfakes verwenden können.

In einer im letzten Monat veröffentlichten Studie zeigt das Team, wie Photoguard Fotos gegen KI-Bearbeitungen „immunisieren“ kann. Das Programm verwendet Datenvergiftungstechniken, um Pixel innerhalb eines Fotos zu stören und ein unsichtbares Rauschen in einem Bild zu erzeugen. Das macht es KI-Bildgeneratoren praktisch unmöglich, realistische Deepfakes basierend auf den Fotos zu erstellen, mit denen das System gefüttert und trainiert wurde.

Wie Photoguard funktioniert, demonstrierten die Forscher:innen eindrucksvoll an einem Foto der Komiker Trevor Noah und Michael Kosta, die ein Tennismatch besuchten.

Ohne Photoguard wäre es extrem einfach für die KI-Technologie, das Foto der Komiker zu manipulieren. Dank des Programms wird aber ein störendes unsichtbares Rauschen erstellt, das verhindert, dass der KI-Bildgenerator ein neues Bild damit erstellen kann. Das Originalfoto wird damit sozusagen immun gegen bösartige Bearbeitungen durch KI-Technologie, während der:die Betrachter:in davon gar nichts mitbekommt.

„Die Encoder-Attacke lässt das Modell glauben, dass das Eingangsbild (das bearbeitet werden soll) ein anderes Bild ist (zum Beispiel ein graues Bild)“, sagt Hadi Salman, Doktorand am MIT und Hauptautor der Studie. „Die Diffusionsattacke zwingt das Diffusionsmodell, Bearbeitungen in Richtung eines Zielbildes vorzunehmen (das ebenfalls ein graues oder zufälliges Bild sein kann).“

In einem Interview mit Gizmodo erklärte Salman, dass Photoguard nur wenige Sekunden benötigt, um ein Rauschen in ein Foto einzufügen. Hochaufgelöste Bilder würden sogar besser funktionieren, da sie mehr Pixel enthalten, die fein gestört werden können.

Er hofft, dass die Photoguard-Technologie von Social-Media-Unternehmen übernommen werden kann, um sicherzustellen, dass hochgeladene Bilder von Einzelpersonen gegen KI-Modelle immunisiert sind.

„Ein kooperativer Ansatz, der Modelentwickler:innen, Social-Media-Plattformen und politische Entscheidungsträger:innen einschließt, bietet eine robuste Verteidigung gegen unbefugte Bildmanipulationen“, sagt Salman. „Und obwohl ich froh bin, zu dieser Lösung beizutragen, ist noch viel Arbeit erforderlich, um diesen Schutz praktisch umsetzbar zu machen. Unternehmen, die diese Modelle entwickeln, müssen in robuste Immunisierungen gegen mögliche Bedrohungen durch diese KI-Tools investieren.“

Wer sich und seine Bilder schützen möchte, kann damit aber schon mal anfangen: Das Forschungsteam hat den Code für Photoguard für alle abrufbar zur Verfügung gestellt.