Adversarielle Beispiele

Künstliche Intelligenz (KI) hat in den letzten Jahren beeindruckende Fortschritte gemacht. Systeme zur Bilderkennung, Sprachverarbeitung oder Entscheidungsfindung erreichen teils menschliches Niveau. Doch ein Schwachpunkt sorgt in der Forschung zunehmend für Aufsehen: adversarielle Beispiele.

Adversarielle Beispiele sind gezielt veränderte Eingaben, die für Menschen kaum von den Originaldaten zu unterscheiden sind, aber bei KI-Systemen zu gravierenden Fehlentscheidungen führen. Ein Bild von einer Schildkröte, das minimal manipuliert wird, kann plötzlich als Gewehr erkannt werden. Solche Störungen stellen nicht nur ein akademisches Problem dar, sondern auch ein echtes Sicherheitsrisiko in vielen Anwendungsbereichen.

Das Thema ist deshalb so brisant, weil KI in sicherheitskritischen Bereichen wie autonomem Fahren, medizinischer Diagnostik oder Finanzwesen eingesetzt wird. Ein adversarielles Beispiel kann hier im schlimmsten Fall Menschenleben gefährden oder große wirtschaftliche Schäden verursachen.

In diesem Beitrag werfen wir einen umfassenden Blick auf das Phänomen adversarieller Beispiele: Was genau steckt dahinter? Wie entstehen sie? Welche Risiken bergen sie? Und wie können wir uns dagegen wappnen?

Grundprinzip adversarieller Beispiele

Das Grundprinzip adversarieller Beispiele lässt sich einfach zusammenfassen: Kleine Veränderungen an Eingabedaten können große Auswirkungen auf das Ergebnis eines KI-Modells haben. Diese Veränderungen sind oft so gering, dass sie für das menschliche Auge nicht erkennbar sind.

Ein klassisches Beispiel stammt aus der Bilderkennung: Ein Bild eines Pandas wird leicht verändert, sodass das neuronale Netz es mit hoher Sicherheit als Gibbon klassifiziert – obwohl der Mensch keinen Unterschied sieht.

Die Ursache liegt in der Funktionsweise neuronaler Netze. Diese arbeiten mit sehr vielen Parametern in hochdimensionalen Räumen. Schon minimale Veränderungen in bestimmten Richtungen können das Ergebnis stark beeinflussen.

Mathematisch vereinfacht dargestellt:

Ein neuronales Netz berechnet seine Entscheidung durch eine Funktion f(x), wobei x die Eingabe ist. Ein adversarielles Beispiel x’ ist so konstruiert, dass:

f(x) ≠ f(x’), obwohl |x – x’| sehr klein ist.

Das bedeutet: Die Änderung ist minimal (z. B. nur ein paar Pixel in einem Bild), aber das Ergebnis ist komplett anders.

Warum funktioniert das?

• Hohe Komplexität der Modelle
• Lineare Eigenschaften in lokalen Regionen
• Nicht interpretierbare Entscheidungsgrenzen

Ein Vergleich aus dem Alltag: Stell dir vor, du balancierst auf einem schmalen Grat – ein winziger Schritt zur Seite bringt dich zum Sturz. Genauso können kleine Änderungen in der Eingabe ein KI-Modell komplett aus dem Gleichgewicht bringen.

Arten adversarieller Angriffe

Adversarielle Angriffe lassen sich in verschiedene Kategorien einteilen – je nach Ziel, Wissen über das Modell und Art der Veränderung.

White-Box vs. Black-Box-Angriffe

• White-Box-Angriff: Der Angreifer kennt das Modell vollständig, inklusive Architektur, Parameter und Gewichte. Dadurch kann er gezielte Störungen berechnen.
• Black-Box-Angriff: Hier hat der Angreifer keinen direkten Zugriff auf das Modell. Er nutzt gezielte Anfragen und Rückmeldungen (z. B. die Ausgabe oder Wahrscheinlichkeit), um ein eigenes Angriffsszenario zu entwickeln.

Beispiel: In einem Black-Box-Szenario könnte ein Angreifer durch viele Testanfragen an eine KI-App herausfinden, wie sich bestimmte Eingaben auf die Entscheidung auswirken – und daraus ein adversarielles Beispiel ableiten.

Targeted vs. Untargeted Angriffe

• Targeted Attack: Die manipulierte Eingabe soll vom Modell gezielt falsch klassifiziert werden, z. B. ein Stoppschild als Tempo-30-Schild.
• Untargeted Attack: Die Eingabe soll einfach nur falsch erkannt werden – das Ziel ist Verwirrung, nicht ein bestimmtes Ergebnis.

Physische adversarielle Beispiele

Besonders beunruhigend sind Angriffe, die auch in der realen Welt funktionieren:

• Manipulierte Brillenrahmen, die Gesichtserkennungssysteme täuschen
• Spezielle Muster auf T-Shirts, die als andere Objekte erkannt werden
• Aufkleber auf Verkehrszeichen, die Autos in die Irre führen

Diese Beispiele zeigen, dass adversarielle Angriffe nicht nur digital, sondern auch physisch wirksam sein können – was sie besonders gefährlich macht.

Beispiele aus der Praxis

Adversarielle Beispiele sind kein theoretisches Konzept – sie wurden bereits vielfach in der Praxis beobachtet und demonstriert. Hier sind einige der eindrucksvollsten Anwendungsfälle:

Bilderkennung

Ein berühmtes Beispiel ist ein Bild eines Pandas, das mit einer kaum sichtbaren Störung versehen wurde. Für den Menschen blieb es eindeutig ein Panda, das neuronale Netz klassifizierte es jedoch mit über 99 % Sicherheit als Gibbon.

Ein weiteres Beispiel: Ein Stoppschild mit kleinen Aufklebern wurde von einem KI-System nicht mehr erkannt – stattdessen klassifizierte das Modell es als Vorfahrtsschild. In einem autonomen Fahrzeug hätte das dramatische Folgen.

Sprachverarbeitung

Auch Sprach-KI lässt sich täuschen: Einzelne unauffällige Änderungen an Sprachbefehlen – etwa eingefügte Hintergrundgeräusche – können dazu führen, dass Sprachassistenten plötzlich Befehle falsch interpretieren oder sogar ungewollt ausführen.

Beispiel:

• Ein harmlos klingender Audioclip enthält versteckt einen Befehl wie „Öffne die Haustür“, den der Mensch nicht hört, der Assistent aber ausführt.

Autonomes Fahren

Selbstfahrende Fahrzeuge sind besonders anfällig:

• Manipulierte Verkehrsschilder
• Muster auf Kleidung, die wie Fußgänger wirken
• Adversarielle Störungen im Kamerabild, die Hindernisse unsichtbar machen

Ein Beispiel aus der Forschung: Forschende konnten mit einfachen Farbstreifen auf der Straße ein Auto dazu bringen, die Spur zu verlassen.

Zusammenfassung in einer Tabelle

Methoden zur Erzeugung adversarieller Beispiele

Die Erzeugung adversarieller Beispiele erfordert spezielle Verfahren, die gezielt Schwächen im Modell ausnutzen. Einige der wichtigsten Methoden werden hier vorgestellt.

Fast Gradient Sign Method (FGSM)

Eine der bekanntesten und einfachsten Methoden. Dabei wird der Gradient des Fehlers in Bezug auf die Eingabe berechnet und in Richtung dieses Gradienten eine kleine Veränderung vorgenommen:

x’ = x + ε * sign(∇ₓ J(θ, x, y))

Dabei ist:

• x die ursprüngliche Eingabe
• ε ein kleiner Störwert
• J die Verlustfunktion
• θ die Modellparameter

Diese Methode ist schnell und effizient – eignet sich besonders für White-Box-Angriffe.

Projected Gradient Descent (PGD)

PGD baut auf FGSM auf, nutzt aber mehrere Schritte mit kleineren Veränderungen, um ein robusteres adversarielles Beispiel zu erzeugen. Nach jedem Schritt wird die Eingabe auf einen erlaubten Bereich projiziert (z. B. bestimmte Pixelwerte):

• Stärkere Angriffe, aber auch rechenintensiver
• Wird häufig für Evaluierung von Robustheit verwendet

DeepFool

DeepFool ist ein iteratives Verfahren, das ein Bild so verändert, dass es minimal vom ursprünglichen abweicht, aber dennoch falsch klassifiziert wird. Die Methode berechnet dabei die kürzeste Distanz zur Entscheidungsgrenze.

• Besonders effektiv bei kleinen Veränderungen
• Weniger auffällige Störungen

Weitere Verfahren

• Carlini & Wagner Attack: Sehr starke Methode, besonders schwer zu detektieren
• One-Pixel Attack: Manipuliert nur einen einzigen Pixel – reicht bei manchen Modellen schon aus!
• Universal Perturbations: Ein Störmuster, das bei vielen Eingaben wirkt – unabhängig vom Inhalt

Diese Methoden zeigen, wie gezielt und effizient neuronale Netze manipuliert werden können. Je nach Zielsetzung (unauffällig, schnell, universell) wählt man unterschiedliche Verfahren.

Warum KI-Modelle anfällig sind

Die Frage, warum KI-Modelle überhaupt so leicht aus dem Gleichgewicht zu bringen sind, ist zentral für das Verständnis adversarieller Beispiele. Hier spielen mehrere Faktoren zusammen:

Hochdimensionale Datenräume

Neuronale Netze arbeiten mit hochdimensionalen Eingabedaten – etwa Bilder mit Millionen von Pixeln. In solchen Räumen ist die Dichte der Daten gering, die Entscheidungsgrenzen sind oft komplex und nicht intuitiv. Schon kleine Veränderungen können das Modell über diese Grenze kippen lassen.

Lineare Tendenzen in Modellen

Obwohl neuronale Netze nicht-linear aufgebaut sind, zeigen sie in vielen Fällen lokal lineares Verhalten. Das bedeutet, dass kleine Änderungen entlang bestimmter Richtungen in der Eingabe große Effekte auf die Ausgabe haben können. Adversarielle Angriffe nutzen genau dieses Verhalten gezielt aus.

Überanpassung an Trainingsdaten

Einige Modelle sind sehr stark auf ihre Trainingsdaten optimiert. Diese Überanpassung (Overfitting) macht sie anfällig für Eingaben, die leicht außerhalb des gelernten Bereichs liegen – also genau die Art von Eingaben, wie sie adversarielle Beispiele darstellen.

Fehlende Robustheit gegenüber Störungen

Klassische Deep-Learning-Modelle sind nicht darauf trainiert, mit absichtlichen Störungen umzugehen. Das macht sie anfällig für Manipulation, da sie keinerlei Schutzmechanismen gegen böswillig erzeugte Inputs besitzen.

Fehlende Interpretierbarkeit

Die Entscheidungen von neuronalen Netzen sind oft schwer nachzuvollziehen. Diese Black-Box-Natur führt dazu, dass Fehler oder Schwachstellen schwer identifizierbar und daher schwer vermeidbar sind.

Ein einfaches Beispiel: Ein Mensch kann ein leicht beschädigtes Verkehrsschild noch erkennen – ein klassisches KI-System hingegen vielleicht nicht. Der Mensch „versteht“ das Bild, das Modell nur Muster.

Gegenmaßnahmen und Verteidigungsstrategien

Um KI-Systeme gegen adversarielle Angriffe zu schützen, wurden verschiedene Strategien und Schutzmechanismen entwickelt. Diese reichen von einfachen Maßnahmen bis hin zu komplexen Trainingsmethoden.

Adversarial Training

Eine der bekanntesten Methoden ist das adversarielle Training. Dabei werden während des Trainingsprozesses bewusst adversarielle Beispiele eingebaut. Das Modell lernt dadurch, solche Störungen zu erkennen und korrekt zu verarbeiten.

Vorteile:

• Deutlich erhöhte Robustheit gegen bekannte Angriffe
• Einfach umzusetzen

Nachteile:

• Höherer Rechenaufwand
• Oft nur wirksam gegen die verwendete Angriffsart

Defensive Distillation

Bei dieser Methode wird das ursprüngliche Modell dazu verwendet, ein zweites, robusteres Modell zu trainieren. Dieses lernt weichere Wahrscheinlichkeitsverteilungen anstatt harter Klassenzuweisungen. Dadurch soll die Empfindlichkeit gegenüber kleinen Veränderungen reduziert werden.

Eingabeverstärkung und Vorverarbeitung

Durch gezielte Vorverarbeitung der Eingabe lassen sich viele einfache Angriffe abwehren. Dazu gehören:

• Rauschunterdrückung
• Bildglättung
• Normierung der Eingaben

Diese Techniken wirken wie ein Filter, der kleinere Störungen abschwächt oder eliminiert, bevor sie das Modell erreichen.

Modellarchitekturen mit höherer Robustheit

Einige Architekturen sind von Natur aus robuster gegen adversarielle Angriffe. Forschende entwickeln laufend neue Netzwerke, die weniger anfällig für gezielte Störungen sind – etwa durch den Einsatz von nicht-linearen Aktivierungen oder speziellen Schichten zur Kontrolle der Gradienten.

Detektionssysteme

Ein anderer Ansatz besteht darin, adversarielle Beispiele automatisch zu erkennen, bevor sie Schaden anrichten können. Solche Systeme analysieren z. B.:

• Ungewöhnliche Aktivierungsmuster im Netz
• Abweichungen in den Feature-Verteilungen
• Veränderungen im Gradientenverlauf

Sobald ein Angriff erkannt wird, kann das System die Eingabe blockieren oder zur manuellen Überprüfung weiterleiten.

Kombination mehrerer Maßnahmen

In der Praxis hat sich gezeigt, dass keine einzelne Methode ausreicht, um alle Angriffe abzuwehren. Effektiver ist eine mehrschichtige Verteidigung, die mehrere der oben genannten Strategien kombiniert.

Diese Schutzmaßnahmen sind ein aktives Forschungsfeld. Neue Angriffsmethoden führen oft zu neuen Verteidigungsstrategien – ein ständiger Wettlauf zwischen Angriff und Abwehr.

Bedeutung für die Zukunft der KI

Adversarielle Beispiele zeigen auf eindrucksvolle Weise, dass heutige KI-Systeme noch weit davon entfernt sind, wirklich „intelligent“ im menschlichen Sinne zu sein. Ihre Anfälligkeit für kleinste Veränderungen hat tiefgreifende Implikationen für die Zukunft:

Sicherheit in kritischen Anwendungen

In Bereichen wie Medizin, Verkehr oder Finanzwesen kann ein adversarieller Angriff lebensgefährlich oder existenzbedrohend sein. Daher ist es entscheidend, dass KI-Systeme künftig robuster und sicherer werden – durch Technik, aber auch durch Regulierung und Standards.

Vertrauen in KI-Systeme

Nur wenn Nutzer und Gesellschaft Vertrauen in die Zuverlässigkeit von KI-Systemen haben, kann deren volles Potenzial genutzt werden. Adversarielle Beispiele sind eine direkte Bedrohung dieses Vertrauens. Deshalb braucht es Transparenz, Prüfbarkeit und Schutzmaßnahmen.

Neue Forschungsrichtungen

Adversarielle Angriffe haben eine eigene Forschungsrichtung hervorgebracht. Künftig wird verstärkt an:

• Robusten Modellen
• Sicheren Lernverfahren
• Erläuterbarkeit und Nachvollziehbarkeit gearbeitet.

Dabei verschmelzen technische, ethische und juristische Fragen. Wie viel Verantwortung trägt ein Hersteller bei einem Angriff? Muss ein autonomes System immer erklärbar sein? Welche Tests sind vor Einsatz verpflichtend?

Regulierung und Ethik

Viele Expertinnen und Experten fordern klare gesetzliche Rahmenbedingungen für den Einsatz von KI – insbesondere dort, wo Fehlverhalten gravierende Folgen haben kann. Dazu gehört auch der Schutz vor Manipulation durch adversarielle Beispiele.

Ein Vergleich: Genau wie es Crashtests und Sicherheitsnormen für Autos gibt, brauchen wir robuste Prüfverfahren für KI – inklusive „Angriffstests“.

Ausblick

Die Auseinandersetzung mit adversariellen Beispielen ist mehr als ein Spezialthema – sie zeigt grundsätzliche Schwächen heutiger KI auf. Gleichzeitig bietet sie eine Chance: Wer robuste, erklärbare und sichere Systeme entwickelt, wird langfristig die Akzeptanz und Wirkung von KI in der Gesellschaft stärken.