Waffe oder Schildkröte? Forscherteam trickst Googles Bildanalyseprogramm aus

Waffe oder Schildkröte? Für Googles „AI System“ nicht klar zu erkennen. (Bild: Screenshot Yahoo/ Synthesizing Robust Adversarial Examples)

Eine Testreihe zeigt, dass Sicherheitssysteme mit künstlicher Intelligenz noch viele Schwachstellen haben.

Systeme mit künstlicher Intelligenz werden immer häufiger eingesetzt, um auf Gefahren aufmerksam zu machen. Einige dieser Systeme können auch Bilder im Netz prüfen und so potenziell gefährliche Objekte wie beispielsweise Waffen erkennen. Nun zeigt eine Testreihe, wie diese Systeme nicht nur mit 2-D-Bildern, sondern auch mit 3-D-Drucken bewusst ausgetrickst werden können.

Studenten des Massachusetts Institute of Technology haben die unabhängige Forschungsgruppe „LabSix“ gegründet, die sich mit künstlicher Intelligenz beschäftigt. Die jungen Forscher haben sich laut ihrer Website darauf spezialisiert, die Genauigkeit von Systemen mit künstlicher Intelligenz zu prüfen, etwa von Systemen zur Bildanalyse. Sie wollen so auf Sicherheitslücken aufmerksam machen.

Und die sind teilweise offenbar immens, wie ein aktueller Test zeigt. Die Forscher konnten das Bild einer gescheckten Katze so manipulieren, dass es von Googles Bildanalyseprogramm „InceptionV3“ als Schale mit Guacamole erkannt wurde, berichtet „The Guardian“. Wenn das Bild leicht gedreht, etwas unscharf oder angeschnitten war, wie es bei einem normalen Foto meist der Fall ist, erkannte es die Software richtig. Für menschliche Augen ist kaum ein Unterschied zu erkennen. Um die Sicherheitssysteme auf diese Weise auszutricksen, haben die Forscher einen neuen Algorithmus kreiert. Dieser arbeitet ganz gezielt und nach einem ausgeklügelten System mit Unschärfe, Zoom oder Drehungen bei den Test-Bildern – und konnte so das Bildanalyseprogramm täuschen.

Die Forscher gingen noch einen Schritt weiter und kreierten mit einem 3-D-Drucker eine Schildkröte, die vom Google-System aus jedem Winkel mit 90-prozentiger Wahrscheinlichkeit als Waffe klassifiziert wurde. Der Panzer der Schildkröte sieht zwar tatsächlich etwas ungewöhnlich aus – aber auch hier ist das Objekt für einen Menschen klar erkennbar und würde zweifelsfrei als Schildkröte identifiziert werden, während das System daneben lag.

Die potenzielle Gefahr solcher Fehler: Könnten Kriminelle Bilder einer Waffe ebenfalls so gestalten, dass „InceptionV3“ sie nicht als Waffe, sondern als Tier oder etwas ganz anderes analysiert, wäre das ein Sicherheitsrisiko. Bis jetzt funktionieren diese Täuschungen aber immer nur bei „InceptionV3“ von Google. Dieselbe bearbeitete Schildkröte wurde zum Beispiel von den Sicherheitssystemen von Amazon oder Facebook richtig erkannt.

Unternehmen wie Google oder Facebook sind sich der Probleme mit künstlicher Intelligenz bewusst. Laut „The Guardian“ arbeiten alle Unternehmen bereits daran, Lösungen zu entwickeln, um ihre Systeme vor Täuschungen zu schützen.