Optische Täuschungen überlisten die KI

Optische Täuschungen überlisten die KI

Sogenannte Adversarial Attacks sind optische Illusionen für künstliche Intelligenz. Sie könnten selbstfahrenden Autos in Zukunft große Probleme bereiten.

Autonomes Fahren | Von Tobias Finger

Autonomes Fahren ist Zukunft, sagen zumindest die Automobilhersteller und –zulieferer. Während in den USA bereits seit 2015 selbstfahrende PKW zumindest in Testprojekten unterwegs sind, hat es hierzulande länger gedauert. Aber auch in der Bundesrepublik wird das Autonome Fahren auf bestimmten Straßen schon geprobt. Auch in Ländern wie China, Südkorea oder Russland gibt es Pilotprojekte.

Die Roboterautos sind also schon unter uns! Obwohl sich eine Mehrheit tendenziell gegen selbstfahrende Wagen ausspricht. In einer repräsentativen Studie der Consultingfirma Ernst & Young von 2017 gaben 30 Prozent der Befragten an, auf gar keinen Fall in einem autonom fahrenden Auto unterwegs sein zu wollen, 21 Prozent hielten es zumindest für unwahrscheinlich. Demgegenüber standen lediglich 26 Prozent, die uneingeschränkt dazu bereit waren, einem autonomen Wagen die Kontrolle zu überlassen.

Und ganz unberechtigt ist die Skepsis nicht. Klar, momentan sind alle Projekte nur Tests, Geh-, oder besser: Fahrversuche der immer noch jungen Technologie. Wer weiß, wie die Umfragewerte ausfallen werden, sobald die Entwicklung weiter fortgeschritten ist. Aber auf dem Weg dahin gilt es noch einige Antworten auf offene Fragen zu finden und Probleme zu überwinden.

Bilder, die KI überlisten

Zum Beispiel das der sogenannten "Adversarial Images", zu Deutsch etwa "gegensätzliche Bilder". Worum handelt es sich? Im Kontext von künstlicher Intelligenz, worum es sich bei der Kameraerkennung von autonomen Fahrzeugen nun mal handelt, sind diese adversarial Images solche Bilder und Gegenstände, die die Computer-Wahrnehmung bewusst täuschen sollen.

Sie haben bestimmte über das eigentliche Bild oder den Gegenstand gelegte Strukturen und Muster, die das System überlisten. Quasi eine optische Täuschung für die KI. Für das menschliche Auge sind diese Muster jedoch nicht sichtbar, die Bilder nicht zu unterscheiden. Wo Sie und jeder andere Mensch zum Beispiel eine Schildkröte sehen, erkennt die von Google entwickelte Wahrnehmungssoftware ... ein Gewehr.

So geschehen im Test von Labsix, einem Team von MIT-Studenten, das sich eingehend mit der Thematik befasst hat. "Im konkreten Fall", schreiben die Forscher, "kann das bedeuten, dass jemand ein Flohmarkt-Schild aufstellt, das für den menschlichen Fahrer komplett normal aussieht. Aber für ein selbstfahrendes Auto erscheint es als Fußgänger, der urplötzlich am Straßenrand auftaucht."

Und das kann ein Riesenproblem sein, sobald die Software eine dementsprechende Reaktion auslöst. Dann reißt sie womöglich ebenso plötzlich das Steuer herum, wie der Fußgänger auftauchte – und man landet im Straßengraben.

Bosch plant bereits Gegenmaßnahmen

Auch beim deutschen Automobilzulieferer und Marktführer in Sachen autonomes Fahren, Bosch, ist man sich des Problems bewusst. Christoph Peylo, Leiter des Centers für Artificial Intelligence bei Bosch, präzisiert es so: "Es lässt sich grob zwischen Black-Box Attacks und White-Box Attacks unterscheiden." Black-Box meint, "der Angreifer verfügt über kein relevantes Wissen über das System", während White-Box das Gegenteil, "der Angreifer verfügt über vollständiges Wissen", bedeutet.

Dementsprechend "kann man mit diesem vollständigen Wissen und den kompletten Zugriffsmöglichkeiten 'Angriffe' sehr genau planen", so Peylo. Dennoch sei die Risikobewertung schwierig. Angreifer müssten Gegenstände manipulieren, zum Beispiel Verkehrsschilder, "was die Skalierbarkeit von Angriffen deutlich einschränkt. Zudem kann bei Black Box Attacks die durchschlagende Wirkung des Angriffs nicht garantiert werden." Der Angreifer kennt das System nicht, weiß dementsprechend nichts über seine Schwachstellen und kann nicht so genau planen.

Trotzdem nimmt man das Problem bei Bosch sehr ernst und mehrere Forschungsgruppen sind damit beschäftigt, Lösungen zu finden. Diese bestehen einerseits darin "DL-Netze (Dienstleistungsnetzwerke) an sich robuster zu machen", sagt Peylo. "Durch das Hinzunehmen weiterer Sensorkanäle und externer Quellen würde es für einen Angreifer auch schwieriger werden, Wirkung zu erzielen, da redundante Quellen ausgewertet werden."

Weitere Kanäle wären beispielsweise Radar- oder Ladarsensoren, also eine optische Abstands- und Geschwindigkeitsmessung mit Hilfe eines Lasers. Externe Quellen könnten Backend-Dienste oder solche aus anderen Autos durch car2car-Vernetzung sein.

Die große Gefahr durch Adversarial Attacks droht nicht

Einem Angreifer wird es also aus verschiedenen Gründen schwer sein, die künstliche Intelligenz zu überlisten. Gerade, wenn er oder sie kein umfassendes Wissen über die Schwachstellen des KI-Systems hat. Eine überbordende Gefahr für die Allgemeinheit stellen die Angriffe nicht dar. Sie sind nur unter bestimmten Umständen effektiv und der Aufwand ist verhältnismäßig groß. "Ein Angreifer könnte daher mit traditionellen Mitteln, wenn er den Schaden anrichten möchte, wahrscheinlich einfacher und mit vergleichbarem persönlichen Risiko zum Ziel kommen", so Peylo. Nicht jeder 3D-Heimdruck-Amateur stellt automatisch eine Gefahr für die Systeme dar.

Wenn ein Angriff jedoch gezielt, geplant und präzise durchgeführt wird, kann er sehr effektiv sein. Schließlich wird künstliche Wahrnehmung nicht nur in autonomen Fahrzeugen, sondern auch in Feldern wie Robotersteuerung, Gesichtserkennung oder autonomen Waffen eingesetzt. (Ein Beispiel aus dem Straßenverkehr haben Forscher aus Berkeley hier aufgegriffen.)

Vor allem aber zeigen solche Problematiken die Schwachstellen der bestehenden Systeme und die Notwendigkeit von deren Weiterentwicklung auf. Denn die Einsatzgebiete von künstlicher Intelligenz werden zwangsläufig weiter wachsen. Bevor adversarial Attacks und vergleichbare Angriffe in der Zukunft zu einem noch größeren Problem werden, sollten sie lieber jetzt gelöst werden. Auch, damit der Skepsis gegenüber selbstfahrenden Fahrzeugen entgegengewirkt wird. Und autonomes Fahren tatsächlich die (Kfz-)Mobilität der Zukunft sein kann.

Dieses Video gibt eine gute Zusammenfassung über die Funktionsweise von adversarial Images:

Artikel teilen

Kommentare

Ihr Browser ist veraltet. Deshalb können Sie diese Webseite nicht korrekt darstellen!

Bitte laden sie einen dieser aktuellen, kostenlosen und exzellenten Browser herunter:

Für mehr Sicherheit, Geschwindigkeit, Komfort und Spaß.

Lade Seite...