Am 15. März war es so weit: Das US-Start-up Midjourney lancierte die mächtige neue Version 5 seines gleichnamigen KI-Bildgenerators.
Die Möglichkeiten, die die generative künstliche Intelligenz bietet, sind gewaltig. Doch birgt die Technologie auch Missbrauchspotenzial und beträchtliche Risiken.
Nun sei endgültig die Deepfake-Ära angebrochen, warnten kritische Stimmen, als die ersten täuschend echten Fake-Promis im Netz kursierten und sich viral verbreiteten.
Social-Media-Plattformen wie Twitter oder TikTok tragen zur wachsenden Popularität von generativer KI bei. Aber auch zur viralen Verbreitung von Deepfakes.
Deepfakes sind realistisch wirkende digitale Medieninhalte, die mithilfe von künstlicher Intelligenz erstellt wurden. Das können Fotos, Videos und Stimmen (Audio) sein.
Eines der ersten Deepfake-Videos, das Aufmerksamkeit erregte, zeigte 2018 den ehemaligen US-Präsidenten Barack Obama. Das Erstellen erforderte einiges an Know-how.
Nun sind KI-Bildgeneratoren massentauglich. Aktuelle Systeme wie Midjourney V5 erzeugen auf User-Anweisung hin fast jedes beliebige Sujet. Sofern gewünscht in fotorealistischer Qualität. Sprich: die perfekte Fälschung.
Das Problem: Auch wenn Deepfakes die meisten Menschen vor allem belustigen, führen sie in der Gesellschaft zu Verunsicherung und Polarisierung. Sie schaden dem Vertrauen in den Journalismus und der Demokratie.
Nicht beruhigend: Forschende hatten schon 2021 in Untersuchungen festgestellt, dass der Durchschnittsmensch nicht in der Lage ist, ein Foto einer realen Person zuverlässig von einem KI-generierten Porträt zu unterscheiden.
Eine weitere Folge ist, dass böswillige Akteure auch authentische Medieninhalte als angebliche Fälschung abtun können.
In nicht allzu ferner Zukunft dürfte es zudem frei verfügbare KI-Systeme für das Erzeugen von Deepfake-Videos geben. Die erforderliche Technologie ist bereits in den Startlöchern, wie die Vorstellungen von Google Dreamix und Gen-1 (von Runway Research) im Februar gezeigt haben.
Das Worst-Case-Szenario: Demokratiefeindliche Akteure wie Russland setzen Deepfakes ein, um Institutionen im Westen zu diskreditieren. Und die virale Verbreitung gefälschter «Breaking News» lässt die Börsen abstürzen.
Generative KI ist eine einfache Form von künstlicher Intelligenz, die aber saftige Profite verspricht und wegen fehlender Regulierung grosses Missbrauchspotenzial hat.
Im Englischen ist von «Text-to-Image» die Rede: Als User versucht man, der KI mit einer möglichst genauen Texteingabe («Prompt») den Befehl zu erteilen, das gewünschte Sujet zu erzeugen. Durch Experimentieren und Ändern des Prompts kann der Output massiv verbessert werden.
Die leistungsfähigsten KI-Bildgeneratoren, die für Deepfakes genutzt werden können, sind derzeit:
Inzwischen haben die Anbieter Schutzmechanismen implementiert, um das Erstellen von problematischen Bildern zu erschweren. Nur genügt das nicht (dazu unten mehr).
Es lohnt sich, das technische Potenzial von KI-Bildgeneratoren zu kennen. Mit der nötigen Medienkompetenz ist es möglich, die Echtheit von Bildern und Videos zu beurteilen.
Um nicht auf Deepfakes hereinzufallen, sollte man die Quelle eines Bildes oder Videos immer kritisch hinterfragen. Vertrauenswürdige Medien- und Nachrichtenorganisationen haben zwar Routinen, um fremde Inhalte zu verifizieren. Aber auch da kann es zu Fehleinschätzungen kommen.
Grundsätzlich nicht zu trauen ist Inhalten, die aus unbekannter oder unzuverlässiger Quelle stammen. Dazu gehören auch alle bekannten Social-Media-Plattformen.
Hilfreich kann die umgekehrte Bildersuche sein, die Google und andere Suchmaschinen anbieten. So findet man vielleicht heraus, dass ein vermeintlich neues Foto schon früher und in anderem Zusammenhang publiziert wurde.
Es gilt immer auf die Umstände zu achten, unter denen ein Bild oder Video «präsentiert» wird. Wenn die dargestellte Situation unplausibel oder besonders spektakulär erscheint, sollte dies in jedem Fall die Skepsis wecken.
Bei Zweifeln an der Echtheit eines Bildes oder Videos kann es helfen, Einschätzungen von unabhängigen Fachleuten oder auch von Faktenprüfern einzuholen. Sie verfügen über vertiefte Kenntnisse und spezielle IT-Werkzeuge, um die Authentizität von fragwürdigen Inhalten zu beurteilen.
Es gibt KI-basierte Software, die speziell entwickelt wurde, um Deepfakes zu identifizieren. Unternehmen und andere Organisationen können kostenpflichtige Dienste wie Microsofts «Video Authenticator» oder Sensity.ai in ihre Plattformen integrieren, um Inhalte automatisch zu analysieren.
Andere Tools helfen auch Journalistinnen und Journalisten, verdächtige Inhalte zu erkennen und die Echtheit von Aufnahmen aus unbestätigten Quellen zu prüfen.
Weil aber die KI-Technologie stetig weiterentwickelt wird, ist eine Scanner-Software möglicherweise nicht in der Lage, raffinierte Bildmanipulationen aufzudecken.
Die effektivste Massnahme gegen die Verbreitung von Deepfakes ist es, durch Aufklärung und Bildung die Medienkompetenz zu stärken und das Problembewusstsein zu schärfen. Es gilt, sich der Existenz von Deepfakes bewusst zu sein, Erkennungsmerkmale und Gefahren von digitalen Fälschungen zu kennen. Dazu gehört aus User-Sicht auch, dass man andere, die Fake-Inhalte weiterverbreitet haben, darauf hinweist (aber bitte freundlich bleiben! 😉).
Dass die bislang verfügten Massnahmen genügen, um schwere, potenziell verheerende gesellschaftliche Schäden durch Deepfakes zu verhindern, ist zu bezweifeln.
Das US-Unternehmen OpenAI, das neben ChatGPT auch den Bildgenerator Dall-E anbietet, hat strenge Nutzungsbedingungen. In den Inhaltsrichtlinien («Content Policy») werden die User aufgefordert, keine «Bilder zu erstellen, hochzuladen oder zu teilen, die nicht jugendfrei sind oder Schaden anrichten könnten». Verboten ist unter anderem:
Wer sich nicht daran hält, kann gesperrt werden.
Zudem werde durch Wort-Filter gewisse User-Eingaben verhindert. Jedenfalls ist es in praktischen Tests nicht möglich, die KI ein Bild erzeugen zu lassen, das den Papst zeigt, wie er gerade den Tesla-Gründer auf den Mund küsst.
Anders sieht es bei dem ebenfalls in den USA entwickelten OpenAI-Konkurrenten Midjourney aus. In den Nutzungsbedingungen des KI-Bildgenerators heisst es zwar:
In der kostenpflichtigen Version 5 lassen sich aber mit wenig Aufwand schockierend fotorealistische Bilder von Persönlichkeiten generieren, wie der folgende Versuch zeigt.
Was hingegen auffällt: Wer China-kritische KI-Bilder mit dem chinesischen Machthaber Xi Jinping generieren will, wird von Midjourney ausgebremst. Der Begriff sei gesperrt.
Hintergrund ist gemäss einem Bericht der «Washington Post», dass politische Satire in China nicht akzeptiert sei. Die Midjourney-Macher entscheiden also auf eigene Faust und ohne einheitliche Standards, was zulässig ist – und im Fall von China, wann sie sich autoritären Regierungen beugen.
Dieser fragwürdige Ansatz spiegle das frühere Verhalten von Social-Media-Plattformen wie Facebook wider, deren laxe Moderationsregeln sie anfällig für ausländische Einmischung, virale Fehlinformationen und Hassreden machten.
Inzwischen hat Midjourney reagiert und die Möglichkeit, den KI-Bildgenerator gratis zu testen, gestoppt. Der CEO und Gründer des US-Unternehmens, David Holz, kündigte die Änderung am Dienstag an und begründete sie mit «aussergewöhnlicher Nachfrage» und «Testmissbrauch».
Solche Beschränkungen der Texteingaben (Prompts) können jedoch leicht umgangen werden, wie Tests zeigen. So kann man zwar keine Bilder mit der Aufforderung «Donald Trump wird verhaftet» generieren, das KI-System lässt sich aber mit der umschreibenden Aufforderung «Donald Trump in Handschellen umgeben von der Polizei» austricksen.
Dass einige User versuchen, den KI-Bildgenerator mit verbotenen Begriffen zu füttern, zeigte sich am Donnerstag. Da erklärte der Midjourney-Chef gegenüber The Verge:
Und dann ist da noch Stable Diffusion, das mit wenigen Einschränkungen für sexuelle oder gewalttätige Bilder gestartet wurde und beim Online-Tool Regeln vorgibt. Hier ist es möglich, die Open-Source-Software herunterzuladen und sie ohne jegliche Einschränkungen zu verwenden.
Hanni Farid, Professor für Informatik an der University of California, sagt, er kenne eine gute Lösung:
Nicht wahrnehmbare Wasserzeichen würden auch für die digitale Rechteverwaltung verwendet, argumentiert der IT-Experte, der in Berkeley doziert. Ein Wasserzeichen könne einem Bild hinzugefügt werden, indem jeder 10. Bildpunkt (Pixel) so angepasst werde, dass seine Farbe (normalerweise eine Zahl zwischen 0 und 255) einen geraden Wert habe.
Durch die winzige Pixelanpassung sei das Wasserzeichen nicht wahrnehmbar. Und da es unwahrscheinlich sei, dass dieses regelmässige künstliche Muster in der Natur nicht auftrete und zudem leicht verifizierbar sei, könne es verwendet werden, um die Herkunft eines Bildes zu verifizieren.
Diese digitalen Wasserzeichen könnten auch in die generativen KI-Systeme «eingebrannt» werden, versichert Hanni Farid. Und zwar, indem alle Bilder, mit denen die KI trainiert wird, mit dem Wasserzeichen versehen werden.
Das in die Trainingsdaten eingebrannte Wasserzeichen könne nicht aus der Software des Bildgenerators entfernt werden. Dies im Gegensatz zur Open-Source-KI «Stable Diffusion». Die habe ebenfalls eine Wasserzeichenfunktion, doch da könne man diesen Teil des Codes einfach entfernen.
Der Informatik-Professor:
Zwar würden skrupellose Akteure diese Standards nicht einhalten, prognostiziert der Experte. Wenn aber «die grossen Online-Gatekeeper» – gemeint sind Apple und Google, Amazon, Microsoft und GitHub – die Wasserzeichen durchsetzten, indem sie nicht konforme Software verbieten, werde der gesellschaftliche Schaden erheblich reduziert.
Hanni Farid ist sich sicher:
