{"id":171678,"date":"2023-03-10T18:19:01","date_gmt":"2023-03-10T17:19:01","guid":{"rendered":"https:\/\/liora.io\/de\/?p=171678"},"modified":"2026-02-06T07:01:04","modified_gmt":"2026-02-06T06:01:04","slug":"adversarial-examples-im-machine-learning","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/adversarial-examples-im-machine-learning","title":{"rendered":"Adversarial Examples im Machine Learning"},"content":{"rendered":"<p><strong>Heutzutage gibt es ein wachsendes Interesse und Fortschritte bei neuen Technologien im Bereich der k\u00fcnstlichen Intelligenz, insbesondere bei der Verwendung von neuronalen Netzen. Wir k\u00f6nnen die Leistungsf\u00e4higkeit dieser Netze bei der Klassifizierung von Bildern und Objekten feststellen. Auf den ersten Blick k\u00f6nnte man meinen, dass diese neuronalen Netze sehr leistungsstark und unfehlbar sind. In diesem Artikel geht es darum, die Herausforderungen und Auswirkungen zu verstehen, die adversarial examples mit sich bringen k\u00f6nnen.\n<\/strong><\/p>\nAngesichts der raschen Entwicklung von Techniken der <a href=\"https:\/\/liora.io\/de\/kuenstliche-intelligenz-wo-sind-die-grenzen\">k\u00fcnstlichen Intelligenz (KI)<\/a> und des <a href=\"https:\/\/liora.io\/de\/deep-learning-vs-machine-learning\">Deep Learning (DL)<\/a> ist es jedoch von entscheidender Bedeutung, die Sicherheit und Robustheit der eingesetzten Algorithmen zu gew\u00e4hrleisten. Es w\u00e4re legitim, Fragen zu stellen und sich f\u00fcr die m\u00f6glichen Grenzen und die Leistung zu interessieren, die mit ihrer Verwendung verbunden sind.&nbsp;\n\n<style><br \/>\n.elementor-heading-title{padding:0;margin:0;line-height:1}.elementor-widget-heading .elementor-heading-title[class*=elementor-size-]>a{color:inherit;font-size:inherit;line-height:inherit}.elementor-widget-heading .elementor-heading-title.elementor-size-small{font-size:15px}.elementor-widget-heading .elementor-heading-title.elementor-size-medium{font-size:19px}.elementor-widget-heading .elementor-heading-title.elementor-size-large{font-size:29px}.elementor-widget-heading .elementor-heading-title.elementor-size-xl{font-size:39px}.elementor-widget-heading .elementor-heading-title.elementor-size-xxl{font-size:59px}<\/style>\n<h2>Was ist ein &#8222;adversarial example&#8220;?<\/h2>\nEin <strong>&#8222;adversarial example&#8220;<\/strong> oder Gegenbeispiel ist ein Beispiel f\u00fcr ein Objekt, das in der Lage ist, den Algorithmus eines neuronalen Netzes zu t\u00e4uschen und zu \u00fcberlisten, indem es ihn glauben l\u00e4sst, dass es als solches Objekt klassifiziert werden sollte, obwohl dies nicht der Fall ist.&nbsp;\n\nEin<strong> &#8222;avdersarial example&#8220; ist ein korrekt initialisierter Datensatz,<\/strong> dem eine f\u00fcr das neuronale Netz nicht wahrnehmbare St\u00f6rung hinzugef\u00fcgt wurde, um eine falsche Klassifizierung zu bewirken.\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex is-content-justification-center\"><div class=\"wp-block-button \"><a class=\"wp-block-button__link wp-element-button \" href=\"https:\/\/liora.io\/de\/unsere-aus-und-weiterbildungen\">Machine Learning Weiterbildung<\/a><\/div><\/div>\n\n<h2>Adversial Examples: Was sind die Risiken ?<\/h2>\nWenn Du einen Menschen bittest zu beschreiben, wie er einen Panda in einem Bild entdeckt, kann er nach k\u00f6rperlichen Merkmalen wie runden Ohren, schwarzen Flecken um die Augen, Schnauze und behaarter Haut suchen.\n\nEr kann auch andere Informationen liefern, z. B. die Art des Lebensraums, in dem er erwartet, den Panda zu sehen, und die Art der Posen, die er einnimmt.\n\nF\u00fcr ein<strong> k\u00fcnstliches neuronales Netz<\/strong> gilt: Solange die Anwendung der Pixelwerte auf die Gleichung die richtige Antwort ergibt, ist es davon \u00fcberzeugt, dass es sich bei dem, was es sieht, um einen Panda handelt.\n\nMit anderen Worten: Indem du die Pixelwerte des Bildes in der richtigen Weise ver\u00e4nderst, kannst du die<a href=\"https:\/\/liora.io\/de\/ki-gefahr\"> KI t\u00e4uschen<\/a>, indem du sie glauben l\u00e4sst, dass sie keinen Panda sieht.\n\nIm Fall des<strong> adversarial example,<\/strong> den wir uns im weiteren Verlauf des Artikels ansehen werden, haben die KI-Forscher dem Bild eine Rauschschicht hinzugef\u00fcgt. Dieses Rauschen ist f\u00fcr das menschliche Auge kaum wahrnehmbar. Aber wenn die neuen Pixelnummern das neuronale Netz durchlaufen, erzeugen sie das Ergebnis eines <strong>Gibbons, obwohl es sich um einen Panda handelt.<\/strong>\n\nWiderspr\u00fcchliche Beispiele machen <a href=\"https:\/\/liora.io\/de\/deep-learning-vs-machine-learning\">maschinelle Lernmodelle<\/a> anf\u00e4llig f\u00fcr Angriffe, wie in den folgenden Szenarien:\n\nEin selbstfahrendes Auto rammt ein anderes Auto, weil es ein Stoppschild ignoriert.&nbsp;\nJemand hatte ein Bild auf dem Schild platziert, das f\u00fcr Menschen wie ein Stoppschild aussieht, f\u00fcr die Schildererkennungssoftware des Autos aber wie ein Parkverbotsschild gestaltet wurde.\nEinem Spam-Detektor gelingt es nicht, eine E-Mail als Spam zu klassifizieren.\n\nDie Spam-Mail wurde so gestaltet, dass sie wie eine normale E-Mail aussieht, aber mit der Absicht, den Empf\u00e4nger zu t\u00e4uschen.\nEin mit <strong>maschinellem Lernen<\/strong> betriebener Scanner scannt Koffer am Flughafen nach Waffen. Ein Messer wurde entwickelt, um die Erkennung zu umgehen, indem das System glaubt, es handele sich um einen Regenschirm.\n\nEine <a href=\"https:\/\/liora.io\/de\/data-science-im-gesundheitswesen\">automatisierte KI, die eine Krankheit nicht erkennt (z. B. eine R\u00f6ntgenaufnahme)<\/a>, obwohl es sich in Wirklichkeit um eine schwere Krankheit handelt.\n\nBetrachten wir nun einige konkrete Beispiele, die neuronale Netze t\u00e4uschen konnten.&nbsp;\n\nIm folgenden Beispiel sehen wir, dass es mit einer kleinen, f\u00fcr das blo\u00dfe Auge unsichtbaren St\u00f6rung m\u00f6glich war, das <a href=\"https:\/\/liora.io\/de\/neuronale-netze-einfach-erklaert\">neuronale Netz<\/a> zu t\u00e4uschen und das Foto eines Hundes als Strau\u00df zu klassifizieren.\n\n<style><br \/>\n.elementor-widget-image{text-align:center}.elementor-widget-image a{display:inline-block}.elementor-widget-image a img[src$=\".svg\"]{width:48px}.elementor-widget-image img{vertical-align:middle;display:inline-block}<\/style>\n<figure>\n\t\t\t\t\t\t\t\t\t\t<img decoding=\"async\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/dog.jpeg\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/dog.jpeg 700w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/dog-300x120.jpeg 300w\" sizes=\"(max-width: 700px) 100vw, 700px\" width=\"700\" height=\"280\"><figcaption><\/figcaption><\/figure>\nNehmen wir ein weiteres Beispiel f\u00fcr die <strong>Klassifizierung von Bildern<\/strong> \u00fcber Pandas, die ein neuronales Netz mit einem Konfidenzniveau von 57,7 % korrekt als Panda erkennt.&nbsp;\n\n<em>Wenn man ein wenig sorgf\u00e4ltig konstruierte St\u00f6rung hinzuf\u00fcgt, klassifiziert dasselbe neuronale Netz das Bild nun als Gibbon mit einem Vertrauen von 99,3 %!&nbsp;<\/em>\n\nHierbei handelt es sich eindeutig um eine optische T\u00e4uschung, allerdings nur f\u00fcr das neuronale Netz.\n\nWir k\u00f6nnen eindeutig sagen, dass die beiden Bilder tats\u00e4chlich Pandas entsprechen. Tats\u00e4chlich k\u00f6nnen wir nicht einmal wahrnehmen, dass dem linken Originalbild ein wenig St\u00f6rung hinzugef\u00fcgt wurde, um das <strong>Adversarial Example<\/strong> auf der rechten Seite zu konstruieren!\n<figure>\n\t\t\t\t\t\t\t\t\t\t\t<a href=\"https:\/\/arxiv.org\/abs\/1412.6572\">\n<img decoding=\"async\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/pandas.png\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/pandas.png 875w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/pandas-300x119.png 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/pandas-768x305.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" width=\"800\" height=\"317\">\t\t\t\t\t\t\t\t<\/a>\n\n<figcaption><\/figcaption><\/figure>\nIm folgenden Beispiel wird gezeigt, wie sich das im Alltag auf selbstfahrende Autos auswirken kann, die ein Verkehrsschild falsch erkennen.\n<figure>\n\t\t\t\t\t\t\t\t\t\t\t<a href=\"https:\/\/arxiv.org\/pdf\/1707.08945.pdf\">\n<img decoding=\"async\" src=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/speed-limit.png\" alt=\"\" loading=\"lazy\" srcset=\"https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/speed-limit.png 875w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/speed-limit-300x165.png 300w, https:\/\/liora.io\/app\/uploads\/sites\/8\/2023\/03\/speed-limit-768x421.png 768w\" sizes=\"(max-width: 800px) 100vw, 800px\" width=\"800\" height=\"439\">\t\t\t\t\t\t\t\t<\/a>\n\n<figcaption><\/figcaption><\/figure>\nIm obigen Fall wurde die f\u00fcr das menschliche Auge wahrnehmbare St\u00f6rung vom <strong>neuronalen Netz<\/strong> nicht erkannt. Das oben abgebildete rechte Stoppschild wurde als Geschwindigkeitsbegrenzung auf 45 km\/h klassifiziert. Wir k\u00f6nnen also immer noch die Herausforderungen und Grenzen erkennen, die<a href=\"https:\/\/liora.io\/de\/transfer-learning\"> neuronale Netze<\/a> bei der Bildklassifizierung haben k\u00f6nnen\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex is-content-justification-center\"><div class=\"wp-block-button \"><a class=\"wp-block-button__link wp-element-button \" href=\"https:\/\/liora.io\/de\/weiterbildung-deep-learning\">Machine Learning Weiterbildung<\/a><\/div><\/div>\n\n<h2>Wie werden &#8222;adversarial examples&#8220; erstellt?<\/h2>\nZun\u00e4chst einmal ist es notwendig, zwischen gezielten und ungezielten Angriffen zu unterscheiden.&nbsp;\n\nEin<strong> ungezielter Angriff<\/strong> ist einfach ein Angriff, der darauf abzielt, eine falsche Klassifizierung zu bewirken, unabh\u00e4ngig davon, wie diese Klassifizierung ausf\u00e4llt. Wichtig ist nur, dass das neuronale Netz das Objekt falsch klassifiziert.\n\nEin <strong>gezielter Angriff ist dagegen ein Angriff<\/strong>, der darauf abzielt, eine falsche Klassifizierung in einer bestimmten Kategorie zu induzieren.\n\nEin nicht gezielter Angriff auf ein Bild eines Hundes w\u00e4re zum Beispiel, wenn unser neuronales Netz eine andere Klassifizierung als die eines Hundes vornehmen w\u00fcrde. Ein gezielter Angriff auf ein Bild eines Hundes hingegen w\u00fcrde unser <strong>neuronales Netz<\/strong> dazu veranlassen, den Hund beispielsweise als Strau\u00df, aber nicht als Katze zu klassifizieren.\n\nEs gibt verschiedene Methoden, um Adversarial Examples zu konstruieren. Dazu geh\u00f6ren Datenvergiftung, <a href=\"https:\/\/liora.io\/de\/was-ist-ein-conditional-generative-adversarial-network-cgan\">GANs (generative antagonistische Netze)<\/a> und die Manipulation von Robotern.\n<h2>Adversarial Examples: Wie kann man sich sch\u00fctzen ?<\/h2>\nEs gibt viele M\u00f6glichkeiten, sich zu verteidigen, z. B. <strong>durch Adversarial Training (oder kontradiktorisches Training).<\/strong>\nDies ist die einfachste und nat\u00fcrlichste Art der Verteidigung.&nbsp;\n\nDiese Verteidigung besteht darin, dass wir uns als Angreifer ausgeben, indem wir eine Anzahl von <strong>Adversarial-Examples gegen unser neuronales Netz<\/strong> erzeugen und dann unser neuronales Netz mit den erzeugten Daten trainieren.&nbsp;\n\nDiese Methode hilft bei der Verallgemeinerung unseres Modells, ist aber noch nicht in der Lage, ein entsprechend hohes Ma\u00df an Robustheit zu erreichen. Angreifer k\u00f6nnten n\u00e4mlich immer noch eine kleinere St\u00f6rung finden, um das <strong>neuronale Netz zu t\u00e4uschen<\/strong>. Es w\u00fcrde also auf ein Spiel hinauslaufen, bei dem Angreifer und Verteidiger versuchen, sich gegenseitig zu \u00fcbertrumpfen.\n\nEs gibt auch eine andere Art der Verteidigung, die als <strong>defensive Destillation<\/strong> bezeichnet wird. Bei dieser Verteidigung wird ein zweites Modell erstellt, dessen Oberfl\u00e4che in den Richtungen gegl\u00e4ttet wird, die der Angreifer angreifen m\u00f6chte (d. h. das Modell fungiert als zus\u00e4tzlicher Filter, um Anomalien zu erkennen), wodurch es f\u00fcr den Angreifer schwierig wird, \u00c4nderungen an den gegnerischen Eingaben zu erkennen, die zu einer falschen Klassifizierung f\u00fchren w\u00fcrden. Das zweite Modell w\u00e4re eine Art Angriffssperre und in der Lage, \u00c4nderungen zu erkennen, die mit gegnerischen Angriffen zusammenh\u00e4ngen.\n\nDies ist jedoch ein noch junges Forschungsgebiet. Es ist uns noch nicht vollst\u00e4ndig gelungen, eine zuverl\u00e4ssige und optimale L\u00f6sung zu finden. Oft werden neue Angriffe entwickelt, um die neuen Abwehrmechanismen zu umgehen, was diese kontinuierliche Forschungsarbeit erkl\u00e4rt.\n<h2>Fazit<\/h2>\nDie <strong>Adversarial Examples<\/strong> zeigen, dass viele moderne Algorithmen des maschinellen Lernens auf \u00fcberraschende Weise gebrochen werden k\u00f6nnen. Diese Fehlschl\u00e4ge des maschinellen Lernens zeigen, dass selbst einfache Algorithmen sich ganz anders verhalten k\u00f6nnen, als von ihren Entwicklern erwartet. <strong>Data Scientists<\/strong> werden daher ben\u00f6tigt,um Methoden zu entwerfen, um widerspr\u00fcchliche Beispiele zu verhindern, um die L\u00fccke zwischen den Absichten der Designer und dem Verhalten der Algorithmen zu schlie\u00dfen.\n\nHast du Lust, die in diesem Artikel erw\u00e4hnten Deep-Learning-Techniken zu beherrschen? <a href=\"https:\/\/liora.io\/de\/unsere-aus-und-weiterbildungen\">Dann informiere dich \u00fcber unsere Ausbildung zum Data Scientist.<\/a>\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex is-content-justification-center\"><div class=\"wp-block-button \"><a class=\"wp-block-button__link wp-element-button \" href=\"https:\/\/liora.io\/de\/unsere-aus-und-weiterbildungen\">Data Scientist werden<\/a><\/div><\/div>\n","protected":false},"excerpt":{"rendered":"<p>Heutzutage gibt es ein wachsendes Interesse und Fortschritte bei neuen Technologien im Bereich der k\u00fcnstlichen Intelligenz, insbesondere bei der Verwendung von neuronalen Netzen. Wir k\u00f6nnen die Leistungsf\u00e4higkeit dieser Netze bei der Klassifizierung von Bildern und Objekten feststellen. Auf den ersten Blick k\u00f6nnte man meinen, dass diese neuronalen Netze sehr leistungsstark und unfehlbar sind. In diesem [&hellip;]<\/p>\n","protected":false},"author":47,"featured_media":171679,"comment_status":"open","ping_status":"open","sticky":false,"template":"elementor_theme","format":"standard","meta":{"_acf_changed":false,"editor_notices":[],"footnotes":""},"categories":[2472],"class_list":["post-171678","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-data-ki"],"acf":[],"_links":{"self":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/171678","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/users\/47"}],"replies":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/comments?post=171678"}],"version-history":[{"count":1,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/171678\/revisions"}],"predecessor-version":[{"id":217689,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/posts\/171678\/revisions\/217689"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media\/171679"}],"wp:attachment":[{"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/media?parent=171678"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/liora.io\/de\/wp-json\/wp\/v2\/categories?post=171678"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}