{"id":179313,"date":"2026-01-28T12:48:45","date_gmt":"2026-01-28T11:48:45","guid":{"rendered":"https:\/\/liora.io\/de\/?p=179313"},"modified":"2026-02-20T10:55:29","modified_gmt":"2026-02-20T09:55:29","slug":"adversarial-attack-definition-und-schutz-vor-dieser-bedrohung","status":"publish","type":"post","link":"https:\/\/liora.io\/de\/adversarial-attack-definition-und-schutz-vor-dieser-bedrohung","title":{"rendered":"Adversarial Attack: Definition und Schutz vor dieser Bedrohung"},"content":{"rendered":"\n

Bei einem Adversarial Attack geht es darum, ein Machine-Learning-Modell mithilfe von Daten zu t\u00e4uschen oder zu entf\u00fchren. Hier erf\u00e4hrst du alles, was du \u00fcber diese Gei\u00dfel wissen musst, die die K\u00fcnstliche Intelligenz bedroht.<\/strong><\/p>\n\n\n\n

Der Begriff „adversarial attack<\/strong>“ bezieht sich auf eine Technik, die als „adversarial Machine Learning<\/strong>“ bezeichnet wird. Bei dieser Technik wird ein Machine-Learning-Modell<\/strong> mit Lerndaten<\/strong> get\u00e4uscht, um es zu ver\u00e4ndern, zu korrumpieren oder zu missbrauchen. Es handelt sich um eine wachsende Bedrohung<\/strong> f\u00fcr die Forschungswelt<\/strong> der K\u00fcnstlichen Intelligenz<\/strong>. In einer Zeit, in der KI<\/strong> immer h\u00e4ufiger eingesetzt wird, ist diese Gefahr<\/strong> nicht auf die leichte Schulter zu nehmen.<\/p>\n\n\n\n

Was ist der Zweck einer Adversarial Attack?<\/h2>\n\n\n\n

Eine Adversarial Attack zielt oft darauf ab, ein Machine-Learning-Modell<\/a> zum Scheitern zu bringen. Indem ein Modell auf ungenaue oder absichtlich verf\u00e4lschte Daten trainiert wird, kann seine zuk\u00fcnftige Leistung negativ beeinflusst werden. Ebenso kann ein bereits trainiertes Modell durch Daten korrumpiert werden. Selbst Systeme<\/strong>, die bereits auf dem Markt sind, k\u00f6nnen f\u00fcr solche Angriffe <\/strong>anf\u00e4llig sein.<\/p>\n\n\n\n

Ein paar Sticker auf dem Boden k\u00f6nnen z. B. ein selbstfahrendes Auto<\/strong> dazu bringen, die falsche Spur zu nehmen und in die entgegengesetzte Richtung zu fahren. Ebenso k\u00f6nnen unmerkliche Ver\u00e4nderungen ein medizinisches Analysesystem t\u00e4uschen<\/a> und es dazu bringen, einen gutartigen Tumor als b\u00f6sartig zu klassifizieren. Ein Computer-Vision-System<\/strong> kann ein Stoppschild mit einem Schild f\u00fcr eine Geschwindigkeitsbegrenzung verwechseln, wenn nur ein St\u00fcck Klebeband daran klebt. K\u00fcnstliche Intelligenz ist also derzeit sehr leicht zu t\u00e4uschen.<\/p>\n\n\n\n

Die verschiedenen Arten von Adversarial Attacks<\/h2>\n\n\n\n

Es gibt drei Haupttypen von adversarialen Angriffen<\/strong>. Die erste Art ist ein Angriff, der darauf abzielt, einen Klassifizierer<\/strong> zu beeinflussen, indem das Modell<\/strong> gest\u00f6rt wird, um seine Vorhersagen<\/strong> zu ver\u00e4ndern. Der zweite Typ besteht darin, die Sicherheit<\/strong> des Modells<\/strong> zu verletzen, um b\u00f6sartige Daten<\/strong> in das Modell<\/strong> einzuschleusen, die als legitim eingestuft werden. Ein gezielter Angriff<\/strong> schlie\u00dflich besteht darin, ein bestimmtes Eindringen oder eine bestimmte St\u00f6rung<\/strong> durchzuf\u00fchren oder eine allgemeine Unordnung<\/strong> zu erzeugen. Diese verschiedenen Kategorien k\u00f6nnen weiter unterteilt werden, je nachdem, ob sie als „Blackbox<\/strong>“ oder „Whitebox<\/strong>“ funktionieren. Bei einem White-Box-Angriff<\/strong> hat der Angreifer<\/strong> Zugriff auf die Parameter<\/strong> des Modells<\/strong>. Bei einem Black-Box-Angriff<\/strong> ist dies nicht der Fall.<\/p>\n\n\n\n

Ausweichangriffe<\/strong> sind die h\u00e4ufigsten Angriffe<\/strong>. Sie bestehen darin, Daten<\/strong> zu ver\u00e4ndern, um Erkennungssysteme<\/strong> zu umgehen oder um als legitim eingestuft zu werden. Bei diesen Angriffen<\/strong> werden die Daten<\/strong>, die zum Trainieren des Modells<\/strong> verwendet werden, nicht beeinflusst. Als Beispiel kann Malware<\/strong> oder Spam<\/strong> in einem Bild<\/strong> im Anhang<\/strong> einer E-Mail<\/strong> versteckt werden, um die Erkennung<\/strong> durch die Anti-Spam-Modelle<\/strong> der Mailboxen<\/strong> zu verhindern. In \u00e4hnlicher Weise ist es m\u00f6glich, ein biometrisches Verifizierungssystem<\/strong> zu t\u00e4uschen.<\/p>\n\n\n\n

Eine weitere Angriffsart ist das sogenannte „Data Poisoning“<\/a>. Bei dieser Methode werden die Daten<\/strong> verunreinigt, die zum weiteren Training<\/strong> eines Machine-Learning-Modells<\/strong> verwendet werden. Durch das Einspritzen von Mustern<\/strong> in die Daten<\/strong> wird der Prozess<\/strong> gest\u00f6rt und das Modell<\/strong> ver\u00e4ndert. Beim Modelldiebstahl<\/strong> oder der Modellextraktion<\/strong> wird ein Modell<\/strong> rekonstruiert oder es werden die Daten<\/strong>, mit denen es trainiert wurde, extrahiert. Die Folgen<\/strong> k\u00f6nnen schwerwiegend sein, wenn die Trainingsdaten<\/strong> oder das Modell<\/strong> sensibel und vertraulich sind.<\/p>\n\n\n\n

Einige Beispiele f\u00fcr adversarial attacks<\/h2>\n\n\n\n

K\u00fcnstliche Intelligenz ist eine neue Technologie,<\/a> aber es gibt bereits zahlreiche Adversarial Attacks<\/strong>. Einem Hacker<\/strong> ist es gelungen, eine Schildkr\u00f6tenfigur<\/strong> in 3D<\/strong> zu drucken, deren Textur<\/strong> die Objekterkennungs-KI<\/strong> von Google<\/strong> dazu bringt, sie als Gewehr<\/strong> zu klassifizieren. Ein weiteres Beispiel ist ein Bild<\/strong> eines Hundes<\/strong>, das so ver\u00e4ndert wurde, dass es wie eine Katze<\/strong> aussieht – sowohl f\u00fcr Menschen<\/strong> als auch f\u00fcr Computer<\/strong>.<\/p>\n\n\n\n

Angesichts der Gesichtserkennungssysteme haben viele Menschen „adversarial patterns“<\/a> f\u00fcr Brillen und Kleidung entwickelt, die diese KIs t\u00e4uschen k\u00f6nnen. Audio-„adversarial inputs“ k\u00f6nnen auch intelligente Assistenten st\u00f6ren und sie daran hindern, Sprachbefehle zu h\u00f6ren<\/a>. In einer im April 2021 ver\u00f6ffentlichten Studie haben Forscher von Google und der University of California in Berkeley nachgewiesen, dass selbst die fortschrittlichsten forensischen Klassifizierer anf\u00e4llig f\u00fcr adversarial attacks sind.<\/p>\n\n\n\n

Diese KIs wurden darauf trainiert, zwischen echten und synthetischen Inhalten zu unterscheiden,<\/strong><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

Ein weiterer bekannter Fall ist der Chatbot Tay,<\/a> der von Microsoft<\/strong> auf Twitter<\/strong> eingesetzt wurde, um durch Interaktion<\/strong> mit anderen Internetnutzern<\/strong> zu lernen, wie man eine Konversation<\/strong> f\u00fchrt. Leider machten sich Trolle<\/strong> einen Spa\u00df daraus, Tay<\/strong> mit Beleidigungen<\/strong> und beleidigenden \u00c4u\u00dferungen<\/strong> zu f\u00fcttern, um ihn au\u00dfer Kontrolle<\/strong> zu bringen. 16 Stunden<\/strong> nach dem Start<\/strong> war Microsoft<\/strong> gezwungen, seine KI<\/strong>, die rassistisch<\/strong> und homophob<\/strong> geworden war, zu deaktivieren.<\/p>\n\n\n\n

Wie kann man sich vor einer Adversarial Attack sch\u00fctzen?<\/h2>\n\n\n\n

In den letzten Jahren hat sich die Forschung zu Adversarial Attacks<\/a> stark entwickelt. Im Jahr 2014 gab es auf dem Server Arxiv.org keine einzige Studie zu diesem Thema. Im Jahr 2020 gibt es auf dieser Plattform mehr als 1.100 Studien. Laut dem Bericht der National Security Commission on Artificial Intelligence<\/strong> aus dem Jahr 2019 richtet sich hingegen nur ein sehr geringer Prozentsatz der KI-Forschung<\/strong> auf die Verteidigung gegen gegnerische Angriffe. Dennoch werden Schutzmethoden entwickelt, und das Thema nimmt mittlerweile einen wichtigen Platz auf renommierten Konferenzen wie NeurIPS, ICLR, DEF CON, Black Hat oder Usenix ein<\/strong>.<\/p>\n\n\n\n

Auch Start-ups<\/strong> werden gegr\u00fcndet, um diese Plage<\/strong> zu bek\u00e4mpfen. Resistant AI<\/strong> bietet z. B. ein Produkt<\/strong> an, mit dem KI-Algorithmen<\/strong> gegen Angriffe<\/strong> gest\u00e4rkt werden k\u00f6nnen. Eine gute Verteidigungsma\u00dfnahme<\/strong> ist es, die Widerstandsf\u00e4higkeit<\/strong> von Modellen<\/strong> mit einem Trojanischen Pferd<\/strong> zu testen. Im Falle von Machine Learning<\/strong> besteht diese Art von Angriff<\/strong> darin, das Modell<\/strong> so zu ver\u00e4ndern, dass es falsche Antworten<\/strong> liefert. Um diese Tests<\/strong> zu vereinfachen und es Unternehmen<\/strong> zu erm\u00f6glichen, sie in gro\u00dfem Ma\u00dfstab durchzuf\u00fchren, haben Forscher der John Hopkins University<\/strong> das TrojAI-Framework<\/strong> entwickelt. Dieses Toolset<\/strong> erzeugt Datens\u00e4tze<\/strong> und Modelle<\/strong>, die bereits von Trojanern<\/strong> manipuliert wurden.<\/p>\n\n\n\n

So k\u00f6nnen Forscher ihre Experimente durchf\u00fchren und versuchen, die Auswirkungen der verschiedenen Datens\u00e4tze <\/strong>auf die Modelle zu verstehen. Es wird einfacher, Erkennungsmethoden zu testen, um die KI besser zu st\u00e4rken. Forscher von Google haben ihrerseits eine Studie ver\u00f6ffentlicht, in der sie ein Framework beschreiben, das Angriffe erkennen kann. Verschiedene Unternehmen bieten Tools an, mit denen man gegnerische Beispiele generieren kann, um die Modelle von Frameworks wie MxNet, Keras, Facebook<\/strong> PyTorch<\/a>, TensorFlow<\/a> oder Caffe2 zu t\u00e4uschen. Weitere Beispiele sind Baidu Advbox, Microsoft Counterfit, IBM Adversarial Robustness Toolbox oder Salesforce Robustness Gym.<\/a> Das Labor f\u00fcr k\u00fcnstliche Intelligenz des MIT hat au\u00dferdem das Tool TextFooler<\/strong> zur St\u00e4rkung von Modellen f\u00fcr die nat\u00fcrliche Sprachverarbeitung (NLP) eingef\u00fchrt.<\/a><\/p>\n\n\n\n

\n
Machine Learning Engineer Weiterbildung<\/a><\/div>\n<\/div>\n\n\n\n