Adversarial Machine Learning – von den Gefahren und Sicherheitsbedenken bei selbstlernender Software

Selbstlernende Algorithmen scheinen der heilige Gral der automatisierten Zukunft zu sein. Glaubt man dem Chorus aus den Nachrichten, ersetzt Software aufbauend auf maschinelles Lernen den Menschen bald gänzlich. Sie beantwortet bereits als Chatbot fragen, steuert Autos und übernimmt Aufgaben im Unternehmen.

Horst Neumann, Personalvorstand von Volkswagen, prophezeit laut der FAZ, dass in 20 Jahren die Hälfte der 100.000 Beschäftigten, die taktgebunden in der Produktion arbeiten, komplett von Maschinen ersetzt werden. Durch selbstlernende Algorithmen und moderne Sensorik bleiben Roboter jedoch nicht nur in Fabrikhallen, sondern ermöglichen im digitalen Wandel Potenzial für ungeahnte Entwicklungen.

Uns interessieren naturgemäß aber nicht (nur) die Auswirkungen auf den Arbeitsmarkt, sondern vor allem die Technik dahinter und vor welchen Risiken wir damit stehen. Wer die Gefahren analysieren möchte, muss dabei nicht einmal wissen, wie maschinelles Lernen funktioniert.

Künstliche Intelligenz birgt viele Gefahren – vor allem in der Sicherheit. Wir zeigen, wie Programme… Klick um zu Tweeten

Forscher diverser Universitäten, Google und des U.S. amerikanischen Militärs überprüfen, wie potentielle Attacken auf künstliche Intelligenzen aussehen können: Die erforschten Methoden übernehmen nicht die gänzliche Kontrolle eines Systems, sondern nutzen bei einem sogenannten “Black Box Attack” Halluzinationen: Bilder, Geräusche oder Text täuschen die Software. Auch sehr kleine Änderungen eines Bildes können den Algorithmus zu falschen Rückschlüssen führen. Und dies ist auch möglich, ohne zu verstehen, wie ein Deep Neural System funktioniert.

“Jedes System, dass maschinelles Lernen für sicherheitskritische Entscheidungen verwendet, ist potentiell verwundbar über diese Art der Attacken”, erklärt Alex Kantchelian in Popular Science, ein Forscher der Berkeley University, der sich mit Adversarial Machine Learning (frei übersetzt: feindliches maschinelles Lernen) befasst.

Ein Panda wird zum Affe. Künstliche Intelligenz kann mit wenig Pixelveränderungen getäuscht werden.… Klick um zu Tweeten

Ein Forscherteam von Google rund um Christian Szegedy veröffentlichte 2015 Ergebnisse, die aufzeigen, wie eine Täuschung funktioniert. Das linke Bild wird von der Maschine noch als Panda erkannt, durch die Veränderungen in der Mitte wird das Bild rechts mit 99 % Wahrscheinlichkeit als Gibbon-Affe klassifiziert. Für das menschliche Auge besteht kein Unterschied.

Adversarial Machine Learning Beispiel – TestPlus Blog

Dass solche Täuschungen mit einem “Black Box Attack” extrem gefährlich sind, zeigt dieses Gedankenspiel: Ein Angreifer klebt einen Sticker auf ein Stoppschild, um ein selbstfahrendes Auto in die Irre zu leiten. Dieses “sieht” jetzt nur noch eine Banane und fährt weiter.

Die Forschung und das Militär arbeiten natürlich bereits an Möglichkeiten die feindlichen Attacken durch Verbesserung der Algorithmen zu umgehen, doch wie Alex Kantchelian in Popular Science betont, ist es gefährlich zu glauben, dass alle Probleme über Umschulung der Systeme gelöst werden können. Denn “Hacker und Angreifer sind uns – zumindest bei der Sicherheit von Systemen – immer einen Schritt voraus.”

Ständiges Testing der Sicherheit ist demnach auch bei künstlicher Intelligenz unumgänglich.

Wer mehr darüber erfahren möchte, kann hier in der Cornell University Library wissenschaftliche Artikel zum Thema lesen.

About Sarah

    You May Also Like