Das Weiße Haus unter Biden hat kürzlich einen Beschluss gefasst seine neueste Durchführungsverordnung Entwickelt, um einen Leitrahmen für die Entwicklung generativer künstlicher Intelligenz zu schaffen – einschließlich der Authentifizierung von Inhalten und der Verwendung digitaler Wasserzeichen, um anzuzeigen, wann von der Bundesregierung erstellte digitale Assets computergeneriert sind. Hier erfahren Sie, wie er und ähnliche Kopierschutztechnologien den Erstellern von Inhalten im Zeitalter generativer KI-Fehlinformationen dabei helfen könnten, ihre Online-Werke sicherer zu authentifizieren.
Eine kurze Geschichte des Wasserzeichens
Analoge Wasserzeichentechniken wurden erstmals 1282 in Italien entwickelt. Papiermacher implantierten dünne Drähte in die Papierform, wodurch fast unmerklich dünnere Bereiche des Blattes entstanden, die sichtbar wurden, wenn man sie gegen Licht hielt. Analoge Wasserzeichen wurden nicht nur verwendet, um zu authentifizieren, wo und wie die Produkte eines Unternehmens hergestellt wurden, sondern die Markierungen konnten auch genutzt werden, um verborgene, verschlüsselte Nachrichten zu übermitteln. Im 18. Jahrhundert wurde die Technologie auch von der Regierung als Mittel zur Verhinderung von Geldfälschungen eingesetzt. Etwa zur gleichen Zeit wurden Farbwasserzeichentechniken entwickelt, bei denen gefärbte Materialien zwischen Papierschichten eingebettet werden.
Obwohl der Begriff „digitales Wasserzeichen“ erst 1992 geprägt wurde, war die Technologie dahinter die erste 1954 von der Muzac Corporation patentiert. Das System, das sie entwickelten und das sie bis zum Verkauf des Unternehmens in den 1980er Jahren verwendeten, identifizierte Musik im Besitz von Muzac mithilfe eines „Notch-Filter” um das Audiosignal bei 1 kHz in bestimmten Bursts zu blockieren, wie Morsecode, um Identifikationsinformationen zu speichern.
Werbeüberwachungs- und Zielgruppenmessungsfirmen wie die Nielsen Company nutzen seit langem Wasserzeichentechniken um die Audiospuren von Fernsehsendungen zu markieren um zu verfolgen und zu verstehen, was amerikanische Haushalte sehen. Diese steganografischen Methoden haben sogar Eingang in den modernen Blu-Ray-Standard gefunden (das Cinavia-System) sowie in Regierungsanwendungen wie der Authentifizierung Führerscheine, Landeswährungen und andere sensible Dokumente. Das hat zum Beispiel der Konzern Digimarc getan entwickelte ein Wasserzeichen für Verpackungen Dadurch wird der Barcode eines Produkts nahezu unsichtbar auf die gesamte Verpackung gedruckt, sodass jeder digitale Scanner in Sichtweite ihn lesen kann. Es wurde auch in Anwendungen wie z Markenfälschungsschutz Zu verbesserte Effizienz beim Materialrecycling.
Das hier und Jetzt
Das moderne digitale Wasserzeichen funktioniert nach den gleichen Prinzipien und bettet mithilfe einer speziellen Kodierungssoftware unmerklich zusätzliche Informationen in einen Inhalt (sei es Bild, Video oder Audio) ein. Diese Wasserzeichen können von Maschinen leicht gelesen werden, sind für menschliche Benutzer jedoch weitgehend unsichtbar. Die Praxis unterscheidet sich von bestehenden kryptografischen Schutzmaßnahmen wie Produktschlüsseln oder Software-Schutz-Dongles darin, dass Wasserzeichen nicht aktiv die unbefugte Änderung oder Vervielfältigung eines Inhalts verhindern, sondern vielmehr eine Aufzeichnung darüber liefern, woher der Inhalt stammt oder wer der Urheberrechtsinhaber ist.
Das System ist jedoch nicht perfekt. „Es gibt nichts, im wahrsten Sinne des Wortes nichts, was urheberrechtlich geschützte Werke vor der Schulung schützen könnte [by generative AI models]außer dem nicht überprüfbaren, nicht durchsetzbaren Wort von KI-Unternehmen“, sagte Dr. Ben Zhao, Neubauer-Professor für Informatik an der University of Chicago, per E-Mail zu Engadget.
„Es gibt keine kryptografischen oder regulatorischen Methoden zum Schutz urheberrechtlich geschützter Werke – keiner,” er sagte. „Opt-out-Listen wurden zum Gespött gemacht Stabilität.ai (Sie Der Modellname wurde in SDXL geändert um alle zu ignorieren, die sich für die Abmeldung von SD 3.0 angemeldet haben) und Facebook/Meta, die den Nutzern auf ihre jüngste Abmeldung geantwortet haben Liste mit einer Nachricht, die besagt „Sie können nicht nachweisen, dass Sie bereits in unser Modell eingewiesen wurden, daher können Sie sich nicht abmelden.“
Zhao sagt, dass die Durchführungsverordnung des Weißen Hauses zwar „ehrgeizig ist und einen gewaltigen Bereich abdeckt“, den Plänen des Weißen Hauses jedoch bisher viele „technische Details dazu fehlten, wie die gesetzten Ziele tatsächlich erreicht werden sollen“.
Er stellt fest, dass „es viele Unternehmen gibt, die keinem behördlichen oder rechtlichen Druck unterliegen, sich die Mühe zu machen, ihre genAI-Ergebnisse mit einem Wasserzeichen zu versehen.“ Freiwillige Maßnahmen funktionieren nicht in einem kontroversen Umfeld, in dem die Beteiligten einen Anreiz haben, Vorschriften und Aufsicht zu umgehen oder zu umgehen.“
„Ob es Ihnen gefällt oder nicht, kommerzielle Unternehmen sind darauf ausgelegt, Geld zu verdienen, und es liegt in ihrem besten Interesse, Regulierungen zu vermeiden“, fügte er hinzu.
Wir könnten auch sehr leicht die nächste Präsidialverwaltung sehen Kommen Sie ins Amt und heben Sie Bidens Executive Order auf und die gesamte föderale Infrastruktur, die in die Umsetzung eingeflossen ist, da einer Durchführungsverordnung der verfassungsmäßige Status einer Kongressgesetzgebung fehlt. Aber rechnen Sie auch nicht damit, dass das Repräsentantenhaus und der Senat etwas in dieser Angelegenheit unternehmen.
„Der Kongress ist zutiefst polarisiert und sogar so dysfunktional, dass es sehr unwahrscheinlich ist, dass er in naher Zukunft eine sinnvolle KI-Gesetzgebung hervorbringt“, sagte Anu Bradford, Rechtsprofessorin an der Columbia University MIT Tech Review. Bisher beschränkten sich die Durchsetzungsmechanismen für diese Wasserzeichensysteme im Allgemeinen auf kleine Flüche der Hauptakteure der Branche.
So funktionieren Content-Anmeldeinformationen
Da sich die Räder der Regierung so langsam drehen, erweisen sich Branchenalternativen als notwendig. Microsoft, die New York Times, CBC/Radio-Canada und die BBC begannen Projektursprung im Jahr 2019, um die Integrität von Inhalten zu schützen, unabhängig von der Plattform, auf der sie konsumiert werden. Gleichzeitig starteten Adobe und seine Partner das Initiative zur Inhaltsauthentizität (CAI) und nähert sich dem Problem aus der Perspektive des Erstellers. Schließlich bündelten CAI und Project Origin ihre Bemühungen, um das zu schaffen Koalition für Inhaltsherkunft und Authentizität (C2PA). Aus dieser Koalition von Koalitionen gingen Content Credentials (kurz „CR“) hervor, die Das gab Adobe auf seiner Max-Veranstaltung bekannt im Jahr 2021.
CR fügt zusätzliche Informationen hinzu über ein Bild, wenn es in Form eines kryptografisch sicheren Manifests exportiert oder heruntergeladen wird. Das Manifest ruft Daten aus dem Bild- oder Video-Header ab – die Informationen des Erstellers, wo es aufgenommen wurde, wann es aufgenommen wurde, welches Gerät es aufgenommen hat, ob generative KI-Systeme wie DALL-E oder Stable Diffusion verwendet wurden und welche Änderungen seitdem vorgenommen wurden – Websites ermöglichen, diese Informationen mit den im Manifest gemachten Herkunftsangaben zu vergleichen. In Kombination mit der Wasserzeichentechnologie entsteht eine einzigartige Authentifizierungsmethode, die beim Hochladen auf Social-Media-Websites (aufgrund der kryptografisches Signieren von Dateien). Nicht anders als die Blockchain-Technologie!
Metadaten überdauern gewöhnliche Arbeitsabläufe normalerweise nicht, da Inhalte im Internet verteilt werden, da, wie Ken Sickles, Chief Product Officer von Digimarc, gegenüber Engadget erklärte, viele Online-Systeme nicht darauf ausgelegt sind, sie zu unterstützen oder zu lesen, und die Daten daher einfach ignorieren.
„Die Analogie, die wir in der Vergangenheit verwendet haben, ist die eines Briefumschlags“, sagte Tony Rodriguez, Chief Technology Officer von Digimarc, gegenüber Engadget. Wie in einem Umschlag wird der wertvolle Inhalt, den Sie versenden möchten, hineingelegt. „Und dort sitzt das Wasserzeichen.“ Es ist tatsächlich Teil der Pixel, des Tons, egal um welches Medium es sich handelt. Metadaten, all diese anderen Informationen, werden auf die Außenseite des Umschlags geschrieben.“
Sollte es jemandem gelingen, das Wasserzeichen zu entfernen (es stellt sich heraus, dass es nicht so schwierig ist, machen Sie einfach einen Screenshot des Bildes und schneiden Sie das Symbol aus), können die Anmeldeinformationen erneut angehängt werden Verifizieren, das Bildverarbeitungsalgorithmen für ein hochgeladenes Bild ausführt, um Übereinstimmungen in seinem Repository zu finden. Wenn das hochgeladene Bild identifiziert werden kann, werden die Anmeldeinformationen erneut angewendet. Wenn ein Benutzer auf den Bildinhalt in freier Wildbahn stößt, kann er seine Anmeldeinformationen überprüfen, indem er auf das CR-Symbol klickt, um das vollständige Manifest aufzurufen, die Informationen selbst zu überprüfen und eine fundiertere Entscheidung darüber zu treffen, welchen Online-Inhalten er vertrauen soll.
Sickles stellt sich vor, dass diese Authentifizierungssysteme in koordinierenden Schichten arbeiten, wie ein Heimsicherheitssystem, das Schlösser und Riegel mit Kameras und Bewegungssensoren koppelt, um seine Abdeckung zu erhöhen. „Das ist das Schöne an Inhaltsnachweisen und Wasserzeichen zusammen“, sagte Sickles. „Sie bilden ein viel, viel stärkeres System als Grundlage für die Authentizität und das Verständnis der Herkunft eines Bildes“, als sie es einzeln tun würden.“ Digimarc vertreibt sein Wasserzeichen-Erkennungstool kostenlos an Entwickler generativer KI und integriert den Content Credentials-Standard in seinen bestehenden Bestätigen Online-Kopierschutzplattform.
In der Praxis sehen wir bereits, dass der Standard in physische kommerzielle Produkte wie die Leica M11-P integriert wird, die den Bildern bei der Aufnahme automatisch einen CR-Ausweis hinzufügt. Der New York Times hat untersuchte seinen Einsatz in journalistischen BestrebungenReuters setzte es für seinen ehrgeizigen 76-Tage-Film ein und Microsoft hat es auch zum Bing Image Creator und zum Bing AI-Chatbot hinzugefügt. Berichten zufolge arbeitet Sony daran, den Standard in seine Digitalkameras Alpha 9 III zu integrieren und Firmware-Updates für die Modelle Alpha 1 und Alpha 7S III im Jahr 2024 zu ermöglichen. CR ist auch in der umfangreichen Suite von Foto- und Videobearbeitungstools von Adobe verfügbar, darunter Illustrator und Adobe Express , Stock und Behance. Die firmeneigene generative KI, Firefly, fügt für einige Funktionen wie das generative Füllen automatisch nicht persönlich identifizierbare Informationen in eine CR ein (wobei im Wesentlichen angegeben wird, dass die generative Funktion verwendet wurde, aber nicht von wem), ansonsten ist die Einwilligung jedoch möglich.
Allerdings sind der C2PA-Standard und die Front-End-Content-Anmeldeinformationen kaum aus der Entwicklung gekommen und derzeit in den sozialen Medien äußerst schwer zu finden. „Ich denke, es kommt wirklich darauf an, wie großflächig diese Technologien eingesetzt werden und wo sie eingesetzt werden. Sowohl im Hinblick auf das Anhängen der Inhaltsnachweise als auch auf das Einfügen des Wasserzeichens, um sie zu verknüpfen“, sagte Sickles.
Nightshade: Die CR-Alternative, die für Datenbanken tödlich ist
Einige Sicherheitsforscher haben es satt, auf die Verabschiedung von Gesetzen oder die Verankerung von Industriestandards zu warten, und haben stattdessen den Kopierschutz selbst in die Hand genommen. Teams des SAND Lab der University of Chicago haben beispielsweise zwei geradezu fiese Kopierschutzsysteme speziell für den Einsatz gegen generative KIs entwickelt.
Zhao und sein Team haben Glaze entwickelt, ein System für Schöpfer, das den Mimikry-Stil einer generativen KI durchbricht (durch Ausnutzung des Konzepts von kontroverse Beispiele). Es kann die Pixel in einem bestimmten Kunstwerk auf eine Weise verändern, die für das menschliche Auge nicht wahrnehmbar ist, für ein maschinelles Bildverarbeitungssystem jedoch völlig anders aussieht. Wenn ein generatives KI-System auf diese „glasierten“ Bilder trainiert wird, ist es nicht mehr in der Lage, den beabsichtigten Kunststil genau zu reproduzieren – Kubismus wird cartoonhaft, abstrakte Stile werden in Anime umgewandelt. Dies könnte sich vor allem für bekannte und oft nachgeahmte Künstler als Segen erweisen, da ihre künstlerischen Markenstile kommerziell sicher bleiben.
Während sich Glaze auf vorbeugende Maßnahmen konzentriert, um die Bemühungen illegaler Datenschaber abzuwehren, ist das neueste Tool von SAND Lab voll und ganz strafend. Synchronisiert Nachtschattenändert das System die Pixel in einem bestimmten Bild auf subtile Weise, aber statt die Modelle, mit denen es trainiert wird, zu verwechseln, wie es Glaze tut, beschädigt das vergiftete Bild die Trainingsdatenbank, in die es vollständig aufgenommen wurde, und zwingt Entwickler dazu, jedes schädliche Bild noch einmal durchzugehen und manuell zu entfernen um das Problem zu beheben – andernfalls wird das System einfach anhand der fehlerhaften Daten neu trainiert und die gleichen Probleme treten erneut auf.
Das Tool ist als „letzter Ausweg“ für Content-Ersteller gedacht, kann aber nicht als Angriffsvektor verwendet werden. „Das ist so, als würde man scharfe Soße in sein Mittagessen geben, weil sie ständig jemand aus dem Kühlschrank stiehlt“, argumentierte Zhao.
Zhao hat wenig Verständnis für die Besitzer von Modellen, denen Nightshade Schaden zufügt. „Die Unternehmen, die Opt-out-Listen und Do-Not-Scrape-Richtlinien absichtlich umgehen, wissen, was sie tun“, sagte er. „Es gibt kein ‚versehentliches‘ Herunterladen und kein Training der Daten. Es erfordert viel Arbeit und volle Absicht, die Inhalte von jemandem zu nehmen, sie herunterzuladen und darauf zu trainieren.“