Das linke Motiv ist ein echtes Bild von einem Hund und einer Katze. In das rechte Motiv bauten die Forschenden ein Wasserzeichen ein, dass das Bild für ein Machine-Learning-Modell generiert aussehen lässt. Der Einbau des Wasserzeichens hinterließ kaum Spuren im Bild; die manipulierte Version zeigt leicht verschobene Kanten und minimale Unschärfe im Vergleich zum Original-Bild.
Informatik
Semantische Wasserzeichen zur KI-Bilderkennung leicht manipulierbar
Wasserzeichen sollen helfen zu entscheiden, ob ein Bild echt ist oder nicht. Aber die Technik lässt sich leicht austricksen.
Mit Künstlicher Intelligenz (KI) generierte Bilder sind für das menschliche Auge von echten Bildern oft kaum zu unterscheiden. Eine Lösung für dieses Problem könnten Wasserzeichen sein – sichtbare oder unsichtbare Kennzeichnungen in Bilddateien, die nachweisen, ob ein Bild von einer KI erzeugt wurde. Als besonders robust und schwer zu entfernen galten bislang sogenannte semantische Wasserzeichen, die direkt während der Bilderstellung tief in den Entstehungsprozess eingebettet werden. Forschende aus der Cybersicherheit der Ruhr-Universität Bochum zeigen jedoch, dass diese Annahme trügt. Auf der „Computer Vision and Pattern Recognition (CVPR)“-Konferenz am 15. Juni 2025 in Nashville, USA, zeigten sie in einem Vortrag grundlegende Sicherheitslücken semantischer Wasserzeichen auf.
„Wir konnten zeigen, dass Angreifer mit vergleichsweise einfachen Mitteln semantische Wasserzeichen fälschen oder komplett entfernen können“, erklärt Andreas Müller aus der Fakultät für Informatik der Ruhr-Universität Bochum. Zusammen mit den Bochumer Forschenden Dr. Denis Lukovnikov, Jonas Thietke, Prof. Dr. Asja Fischer und Dr. Erwin Quiring hat er zwei neue Angriffsmöglichkeiten entwickelt.
