DARPA will KI gegen Täuschungsversuche immun machen
Der Pentagon-Forschungsarm DARPA hat ein Forschungsprogramm gestartet, um KI-Systeme vor hinterlistigen Angriffen zu schützen.
(Bild: sdecoret/Shutterstock.com)
Die Defense Advanced Research Projects Agency (DARPA) will Angriffe auf automatisierte Erkennungssysteme bekämpfen, mit denen sich diese vergleichsweise einfach übertölpeln lassen. Dazu hat sie sich mit einigen Technologie-Schwergewichten der USA zusammengetan. Mit dem millionenschweren Programm "Guaranteeing AI Robustness against Deception" (GARD) will der Forschungsarm des Pentagons einen Schutzschirm über der Technik aufspannen. Die Initiative werden Intel und die Uni Georgia Tech leiten, wie der Konzern und die Technische Hochschule am Donnerstag bekanntgaben.
Technik lässt sich leicht täuschen
Modelle für Künstliche Intelligenz (KI) und Maschinenlernen ziehen verstärkt in mehr oder weniger autonome Systeme ein. Sie bilden die Grundlage etwa für biometrische Instrumente zur Gesichts- oder Spracherkennung, selbstfahrende Autos und Abwehrprogramme für Waffen. Die Technik lässt sich aber recht einfach täuschen: Viel zitiert wird ein Beispiel, in dem ein Autopilot in einem Fahrzeug in einem Stopp-Schild eine Geschwindigkeitsfreigabe für 45 Meilen pro Stunde erkannte, nachdem auf das Zeichen zwei schwarze und zwei weiße Striche gesprüht worden waren.
Über solche Manipulationen lassen sich sogenannte "Adversarial Attacks" ausführen. Die Angreifer spiegeln den Erkennungssystemen dabei quasi optische Täuschungen vor: Minimale Änderungen, die das menschliche Auge gar nicht ernsthaft wahrnimmt, erzeugen für eine KI eine völlig neue Bedeutung. Aus einem Vogel in einem Bild wird so etwa anhand ein paar eingefügter Pixel ein Fahrrad, aus einem Mensch mit einem Papageienfoto auf seinem T-Shirt ein Flügeltier.
(Bild: Intel Corporation)
Vorbild Immunsystem
GARD soll laut der DARPA über die nächsten vier Jahre hinweg eine breit angelegte Verteidigungslinie gegen solche Attacken und die damit verknüpften desaströsen Folgen in möglichst vielen Szenarien finden. Als Vorbild nennt Hava Siegelmann, Programmleiterin im Innovationsbüro der Forschungseinrichtung des US-Verteidigungsministeriums, das menschliche Immunsystem. Dieses identifiziere Angriffe durch Viren oder Bakterien, speichere die Details dazu ab und schaffe darauf effizientere Abwehrmethoden für künftige Kontakte mit derlei Eindringlingen.
Einschlägige gegnerische Angriffe auf KI befänden sich zwar noch in einem frühen Stadium, erläutert Siegelmann. Es sei aber absehbar, dass sie künftig überaus zerstörerisch wirken könnten. Die Informatikerin fordert daher: "Wir müssen sicherstellen, dass Maschinenlernen sicher ist und nicht getäuscht werden kann." Der Gartner-Analyst Arun Chandrasekaran erklärte, dass die Beratungsfirma eine Zunahme von Attacken festgestellt habe, die mithilfe "Generative Adversarial Networks" (GAN) erzeugt würden. Diese dürften zunehmen, da algorithmische Regelsets und Trainingsdaten zunehmend auch für Hacker verfügbar würden.
Bilderkennung im Fokus
Die im GARD-Programm beteiligten Forscher werden sich der DARPA zufolge zunächst auf Bild-basiertes Maschinenlernen gemäß dem Stand der Technik konzentrieren, später aber auch komplexere Systeme mit Video- und Audioverarbeitung sowie automatisierter Entscheidungsfindung in den Blick nehmen. Beteiligt sind auch die Universitäten Johns Hopkins und Carnegie Mellon, das Massachusetts Institute of Technology (MIT), das Stanford-Forschungsinstitut SRI International und IBMs Almaden Research Center, wie das US-Magazin "Protocol" schreibt.
Dem Bericht nach wollen die Projektleiter etwa mit ImageNet und Microsofts Common Objects in Context einige der größten Open-Source-Bilddatenbanken verwenden und auf dieser Basis Ansätze austüfteln, mit denen die Erkennungssysteme ganzheitlicher vorgehen und dem gesunden Menschenverstand näherkommen sollen. So sollen etwa Prüfverfahren eingebaut werden, um zu checken, ob bei einem ausgemachten Fahrrad auch ein Lenker, ein Sattel und Pedale ersichtlich sind. Eine Gruppe werde theoretische neue Angriffsformen aushecken, eine zweite Verteidigungsformen üben und eine dritte das Vorgehen evaluieren.
Nach Angaben Intels kooperiert der Chip-Hersteller schon seit einigen Jahren mit Georgia Tech, um gemeinsam Täuschungsangriffe zu erforschen sowie Schwachstellen aufzudecken und zu schließen. Das kalifornische Unternehmen hat 2017 das auf Fahrerassistenz- und Erkennungssysteme spezialisierte israelische Unternehmen Mobileye gekauft und sich auch über eine Partnerschaft mit BMW für den Wettlauf rund um selbstfahrende Autos in Stellung gebracht. (hob)
