In der digitalen Kunstwelt gibt es derzeit eine hitzige Debatte über den Schutz von Künstlern und ihren Werken vor der Nutzung durch KI-Bildgeneratoren. Diese Tools, wie beispielsweise Glaze und Nightshade, sollen verhindern, dass künstliche Intelligenzen den Stil von Künstlern kopieren. Doch Forscher haben Schwachstellen in diesen Schutzmechanismen aufgedeckt, die weitreichende Konsequenzen für die betroffenen Künstler haben könnten.
KI-Bildgeneratoren wie DALL-E, Midjourney und Stable Diffusion arbeiten auf Basis von "latenten Räumen". Das bedeutet, dass sie während des Trainings lernen, welche Merkmale für ein Bild wesentlich sind. Diese Merkmale werden in einer niedrigdimensionalen Darstellung im latenten Raum komprimiert. Anschließend werden durch Diffusion und Rauschunterdrückung die gewünschten Bilder generiert.
Tools wie Glaze oder Nightshade setzen an dieser Komprimierung an. Sie verändern gezielt einzelne Pixel in einem Bild, sodass der Autoencoder beim Training oder Finetuning falsche Merkmale erkennt. Diese sogenannten "adversarial attacks" sind nicht neu und wurden bereits in verschiedenen Kontexten eingesetzt, um beispielsweise die Verkehrszeichenerkennung autonomer Fahrzeuge zu stören.
Glaze und Nightshade sind derzeit die bekanntesten Tools, die Künstler vor dem Stilklau durch KI-Bildgeneratoren schützen sollen. Glaze verändert die Pixel eines Bildes so, dass die KI den Stil nicht mehr korrekt erkennen kann. Nightshade geht einen Schritt weiter und "vergiftet" die Trainingsdaten der KI, indem es fehlerhafte Bilder generiert. Doch Forscher der ETH Zürich und von DeepMind haben gezeigt, dass diese Schutzmechanismen relativ leicht ausgehebelt werden können.
Robert Hönig und sein Team nutzten einfache Techniken wie das Hochskalieren von Bildern oder die Verwendung eines anderen Feinabstimmungsskripts, um die Schutzmaßnahmen von Glaze, Mist und Anti-DreamBooth zu umgehen. Sie beschrieben vier Angriffsmethoden, von denen drei keine technischen Kenntnisse erfordern.
Das Team hinter Glaze hat auf die entdeckten Schwachstellen reagiert und ein Update veröffentlicht. Doch laut den Sicherheitsforschern löst dieses Update das Problem nicht vollständig. Geschützte Bilder könnten weiterhin heruntergeladen und die störenden Pixel entfernt werden. Das Glaze-Team empfiehlt Künstlern, ihre Bilder erneut mit der aktualisierten Version der Software zu schützen, was jedoch nicht praktikabel ist, da bereits heruntergeladene Bilder nicht neu geschützt werden können.
Der Streit um die Schwachstellen in den Schutztools hat sich mittlerweile auf grundsätzliche Sicherheitsfragen ausgeweitet. Das Glaze-Team weigert sich, den Code ihrer Software offenzulegen, um weitere Schwachstellen zu identifizieren. Sie befürchten, dass Datendiebe gefälschte Versionen der Software verbreiten könnten, die Bilder stehlen statt sie zu schützen. Carlini und sein Team werfen Zhao und seinem Team vor, "Security by Obscurity" zu betreiben, ein Konzept, das in der Sicherheitsforschung als gescheitert gilt.
In einem öffentlichen Discord-Chat behauptete Zhao, dass Carlini sich nicht um den Schaden kümmere, den sein Angriff verursachen könnte. Carlini konterte in seinem Blog, dass es manchmal besser sei, Schwachstellen öffentlich zu machen, um den Schaden zu minimieren.
Die Veröffentlichung des Papers zu den Schwachstellen von Glaze und Co. hat die Debatte um den Schutz von Künstlern vor KI-Bildgeneratoren weiter angeheizt. Schwache, angreifbare Sicherheitstools können eine falsche Vorstellung von Sicherheit vermitteln. Langfristig wird sich das Problem jedoch nur politisch und juristisch lösen lassen. Kreative müssen weiterhin fürchten, dass ihre Werke trotz Schutzmaßnahmen mit Glaze und Co. abgesaugt und geklont werden.
Die Medienindustrie muss sich fragen, wie sie sicherstellen kann, dass Künstler von ihrer Tätigkeit leben können. Die rechtliche und politische Auseinandersetzung um den Schutz von digitalen Kunstwerken bleibt eine der größten Herausforderungen in der digitalen Ära.