«‹Es ist nun einmal so, dass neuronale Netze Eigenschaften in Bildern erkennen und für die Klassifikation nutzen, die der Mensch kaum oder gar nicht wahrnimmt›, erklärt Dr. Wieland Brendel, KI-Experte am Bethge Lab der Uni Tübingen. Andererseits entwickeln sie kein tiefes Verständnis einer Szene, wie ein Mensch, der üblicherweise ein Tier oder einen Gegenstand auch aus unterschiedlichen Blickwinkeln an seiner äußeren Form erkennt. (…) Die bedeutungslos erscheinenden Pixelveränderungen [sind] nicht wirklich ohne Bedeutung. Nach seinen Untersuchungen kann ein neuronales Netz, das nur diese Änderungsmuster als Trainingsdaten erhält, anschließend seinerseits Hunde und Katzen fast ebenso gut unterscheiden wie der ursprüngliche Klassifikator. Und wieder weiß der Mensch eigentlich nicht, wie die KI das macht; aber das wusste er beim ursprünglichen Klassifikator auch schon nicht.»
(…)
«Mit wenigen Abwandlungen in Form von Aufklebern oder aufgemalten Zeichen gelang es den Forschern [um Ivan Evtimov von der University of Washington] allerdings, Verkehrszeichen-Erkenner radikal zu täuschen. Zuvor hatten die untersuchten KIs alle Schilder auf dem LISA Traffic Sign Dataset erkannt, eine in den USA maßgebliche Sammlung von Verkehrsszenen und Videos des Laboratory for Intelligent & Safe Automobiles.»
«Die Täuschungen gelangen im Labor zu 100 Prozent. Wurden die manipulierten Stoppschilder vom Wagen aus aufgenommen, interpretierten die Klassifikatoren ihren Inhalt immer noch zu fast 85 Prozent falsch und sahen stattdessen ein Tempolimit von 45 Meilen pro Stunde. Das Tückische: Die Manipulationen an den Verkehrsschildern blieben immer noch unter der Wahrnehmungsschwelle der meisten menschlichen Fahrer. Sie bemerkten die Veränderungen erst gar nicht und konnten auch nicht ahnen, welchen fundamentalen Unterschied die kleinen Markierungen für die KI darstellen. Im Szenario der Forscher erschien ein Stoppschild für ein Fahrassistenzsystem oder ein autonomes Fahrzeug wie ein Tempolimit. Im Ernstfall macht eine solche Manipulation den Unterschied zwischen Anhalten und Gas geben. Die Täuschung gelang auf unterschiedlichste Entfernungen und unter verschiedenen Betrachtungswinkeln.»
(…)
«Für die Bewegungsschätzung berechnen KI-Klassifikatoren den optischen Fluss, indem sie die Änderungen zwischen zwei Eingangsbildern ermitteln. Auch bei diesen Klassifikatoren handelt es sich um neuronale Netze, die nach dem Training mit Millionen Bildpaaren gelernt haben, die Bewegung einzelner Bildobjekte einzuschätzen. Die Max-Planck-Forscher nahmen nun verschiedene derartige Optical-Flow-Algorithmen und prüften deren Ergebnisse mit Bildpaaren, in die sie zunächst digital mittig einen kleinen Aufkleber eingefügt hatten. Ihre Zielsetzung: Sie wollten die Pixel darauf derart modifizieren, dass er möglichst die erkannten Bewegungsvektoren in ihr Gegenteil umkehrt. Damit sollte der Algorithmus also eine Vorwärtsbewegung als ein Zurückweichen fehlinterpretieren, ein Fahrzeug auf Kollisionskurs als ein sich entfernendes abhaken. ‹Derart überraschende Effekte lassen sich möglicherweise finden, wenn man Muster einsetzt, die in der Realität niemals vorkommen und die daher sicher nie mit den Trainingsdaten der KI gelernt worden sind›, schildert Geiger.»