Cyberbedrohungen
KI-Regulierung: Der Kampf um Content
KI-Modelle dürfen nicht einfach mit öffentlich verfügbarem Content trainiert werden. Gesetzliche Regulierung zum Urheberrecht und Datenschutz zeigt erste Erfolge. Wie sieht der aus und was passiert, wenn eine „agentenbasierte“ KI Wirklichkeit wird?
Generative KI hatte gerade erste Erfolge in der Öffentlichkeit gefeiert, da schlugen Kritiker bereits Alarm, weil die KI-Firmen zum Training ihrer Modelle ungehemmt Daten nutzten. Nach wie vor wird darüber gestritten, wem die Daten gehören, wer das Recht hat, sie zu nutzen - und wo und wie.
Das hohe Tempo und die geringe Transparenz der KI-Innovation haben es den Eigentümern von Content, Aufsichtsbehörden und Gesetzgebern schwer gemacht, damit Schritt zu halten. In den letzten Wochen und Monaten haben die Behörden die Ambitionen einiger großer Akteure eingebremst, während Communitys ihrer Frustration lautstark Ausdruck gaben - mitunter auf sehr eindringliche Weise.
Regulierer bremsen den Datenhunger
Brasilien hatte Anfang Juli eine schlechte Nachricht für Meta, als die Datenschutzbehörde des Landes das Vorhaben des Unternehmens stoppte, KI-Modelle mit Instagram- und Facebook-Posts zu trainieren. Nach Angaben der BBC wollte Meta öffentliche Beiträge, Bilder und Kommentare für das KI-Training abgreifen. Zu den Inhalten hätten auch Beiträge von Kindern und Jugendlichen gehört. Meta erklärte, sein Plan entspräche den brasilianischen Datenschutzgesetzen. Die Behörde des Landes, die ANPD (Autoridade Nacional de Proteção de Dados), sah das anders.
Meta hatte bereits einen ähnlichen Schritt in der EU unter dem Druck der dortigen Regierungen rückgängig machen müssen und kündigte vor kurzem an, sein nächstes multimodales KI-Modell weder in Europa noch in Brasilien einzusetzen, da die Vorschriften nicht eindeutig seien. (Multimodale KI-Modelle nutzen die gesamte Bandbreite der Medien und nicht nur Text, Video oder Bilder für sich allein.) Unabhängig davon, ob dies mit der Verabschiedung des EU-KI-Gesetzes im Juli zusammenhängt oder nicht, bedeutet das Inkrafttreten des Gesetzes, dass die Uhr für die Compliance von Unternehmen nun tickt.
Wem gehören die Daten?
Die Regulierung der KI betrifft Fragen des Urheberrechts und des Datenschutzes, die durch andere, bereits bestehende Rechtsrahmen geregelt werden. Im Januar 2024 stellte Italien in einem immer noch laufenden Verfahren fest, dass OpenAI mutmaßlich gegen einen dieser Rechtsrahmen, die EU-Datenschutzgrundverordnung, verstößt.
Ein Teil des Problems liegt in der Frage, was „öffentlich zugängliche“ Daten sind - von KI-Unternehmen und Regulierungsbehörden sehr unterschiedlich gesehen. In einem kürzlich erschienenen Axios-Beitrag wurde festgestellt, dass „öffentlich verfügbar“ und „Public Domain“ nicht dasselbe sind, und dass ein Großteil der Daten, die KI-Innovatoren als öffentlich verfügbar betrachten, ohne die ausdrückliche Erlaubnis des Nutzers oder des Urhebers verwendet wurde, sei es absichtlich oder nicht. Ein WIRED-Artikel vom Juli deutete darauf hin, dass einige Unternehmen möglicherweise gegen die YouTube-Richtlinien verstoßen haben, indem sie Untertitel von Videos zum Trainieren von KI-Plattformen verwendeten, wobei eingeräumt wurde, dass dies möglicherweise nicht absichtlich geschah, da der zugrunde liegende Datensatz von einer dritten Partei gesammelt worden war.
KI-generiertes Bild mit dem Prompt: „Stellt das Konzept des Eigentums an KI-Daten durch eine Figur in der Mitte dar, die einen Schlüssel oder einen Datenchip hält. Umgeben Sie dieses Bild mit Menschen, Unternehmen und Behörden, die alle über Datenströme mit der zentralen Figur verbunden sind. Fügen Sie Elemente wie sichere Tresore, Schlösser und juristische Dokumente ein, um Sicherheit und Rechte zu betonen. Der Hintergrund sollte eine Hightech-Umgebung mit holografischen Daten und futuristischen Schnittstellen sein, um die Komplexität und Bedeutung des Dateneigentums zu verdeutlichen.“
Die Bedeutung von Daten liegt im Auge des Betrachters. Was KI-Unternehmen als „Daten“ bezeichnen, nennen viele Menschen ihr Lebenswerk, so Künstler, Journalisten, Programmierer und viele mehr. Das ist nicht nur eine semantische Unterscheidung. Daten und kreative Ausdrucksformen werden völlig unterschiedlich bewertet, und die Kreativen kämpfen nach wie vor um ihre Interpretation. Das hat das Center for Investigative Reporting Ende Juni dazu veranlasst, OpenAI und Microsoft wegen Urheberrechtsverletzungen zu verklagen, nachdem bereits die Chicago Tribune und andere Nachrichtenagenturen rechtliche Schritte eingeleitet hatten.
Seit Ende letzten Jahres führen einige bildende Künstler eine Art Guerillakrieg gegen KI, indem sie ein Tool namens Nightshade verwenden, um Modelle zu vergiften, die ohne Erlaubnis mit ihren Arbeiten trainiert wurden. Nightshade und das dazugehörige Tool Glaze fügen verwirrende Daten in Bilder ein, die das Verständnis der KI-Modelle verfälschen, wie verschiedener Objekte aussehen, und so ihre Ergebnisse beeinträchtigen. Wo die KI-Vorschriften (noch) nicht eingreifen können, scheinen einige Parteien bereit zu sein, die Dinge selbst in die Hand zu nehmen.
Content-Partnerschaften
Andere Urheber und Publisher versuchen, einen anderen Weg einzuschlagen, indem sie sich offiziell mit KI-Unternehmen zusammentun, um im Gegenzug für Leistungen und andere Vorteile Content beizusteuern. Das TIME-Magazin zum Beispiel kündigte am 27. Juni an, dass es sein jahrhundertealtes Archiv OpenAI zur Verfügung stellt, gegen Quellenangabe in den Suchergebnissen.
Reddit hat seit Anfang des Jahres durch seine Partnerschaften mit Google und OpenAI von sich reden gemacht. Im Februar stellte Google seine Vertex-KI Reddit zur Verfügung, um die Suche und andere Funktionen innerhalb der Plattform zu verbessern, und erhielt im Gegenzug Zugriff auf die API, um Reddit besser für Google nutzbar zu machen. Im Mai trat OpenAI mit dem Vorhaben auf den Plan, Reddit-Inhalte in ChatGPT und andere Angebote einzubauen und dabei auch die Reddit-API zu nutzen.
Nicht alle Nutzer von Reddit und Mitglieder anderer Communities sind von der Verschmelzung ihrer bevorzugten Plattformen mit KI begeistert. Viele Entwickler, die auf Stack Overflow und Stack Exchange veröffentlichen, waren zum Beispiel über die angekündigte Partnerschaft mit OpenAI verärgert und wollten nicht, dass ihr Content für das KI-Training verwendet wird. Wie WIRED berichtet, hatten einige Nutzer vor, Content zu löschen oder ihn absichtlich zu beschädigen, damit er nicht verwendet werden kann.
Während viele Länder mit Fragen des Urheberrechts und des Datenschutzes sowie mit aufkommenden KI-Bedrohungen wie Desinformation ringen, haben andere, die sich auf die staatliche Kontrolle von Informationen verlassen, ein zusätzliches Problem: Wie kann man KI daran hindern, Dinge zu sagen, die man nicht möchte? Mit dieser Herausforderung beschäftigt sich die chinesische Regierung derzeit. Die Financial Times berichtete kürzlich, dass die chinesische Cyberspace-Verwaltung die Überprüfung von KI-Modellen anordnete, um sicherzustellen, dass sie keine unerwünschten oder politisch kontroversen Ergebnisse erzeugen. Es ist jedoch keineswegs klar, inwieweit KI zensiert werden kann oder welche Folgen die Blockierung bestimmter Arten von Ergebnissen haben könnte.
Interpol und Deepfakes
KI-Regulierung und Strafverfolgung nähern sich bei der betrügerischen Nutzung künstlicher Intelligenz an, die von boshaft (eher ein regulatorisches Problem) bis bösartig (hier kommt die Polizei ins Spiel) reicht. Vor allem mit Deepfakes beschäftigt sich Interpol und hat kürzlich ein Whitepaper „Beyond Illusions: Unmasking the Threat of Synthetic Media for Law Enforcement“ veröffentlicht.
Laut Interpol benötigen die Strafverfolgungsbehörden neue Kenntnisse und Technologien, um feststellen zu können, ob Bilder, Videos und Audiodateien mithilfe von KI gefälscht wurden. Der Bericht nennt einige überzeugende Beispiele für die kriminelle Nutzung synthetischer Medien, darunter gefälschte missbräuchliche Bilder von Kindern, erpresserische Audiobetrügereien und sogar die Erstellung gefälschter Pässe und Ausweise.
Auch die Frage der fairen Nutzung wird angeschnitten: das Spannungsverhältnis zwischen kreativer Freiheit und dem Schutz des Urheberrechts, das hinter einigen der oben genannten Konflikte steht und das im Zusammenhang mit einer „transformativen“ Technologie wie der KI möglicherweise neu definiert werden muss.
Wie ihre Kollegen bei Interpol sind auch die Behörden in den USA besorgt über das Potenzial der KI, die Cyberkriminalität zu verstärken. Im Juni warnte das FBI die Öffentlichkeit vor SMS, Anrufen und Mails, die vorgeben, von Strafverfolgungsbehörden zu stammen, in Wirklichkeit aber von Betrügern erstellt wurden, um Geld oder persönliche Daten zu erpressen. Wie das FBI feststellte, ruft die Polizei niemals Personen an, um ihnen mit Verhaftung zu drohen oder Geld zu verlangen. Dies geschah im Anschluss an eine Warnung vom Mai über den zunehmenden Einsatz von KI bei „ausgeklügelten Phishing-/Social-Engineering-Angriffen und Voice/Video-Cloning-Betrug“.
Die von FBI und Interpol aufgedeckten Betrugsversuche unterstreichen die Rücksichtslosigkeit des Cyberbetrugs, der durch die Geschwindigkeit, das Ausmaß und die Zielgenauigkeit der KI nur noch verschlimmert werden wird. In vielen Fällen nutzen die Cyberkriminellen die tiefsitzende Ängste der Menschen vor rechtlichen Problemen, um die Gesundheit und Sicherheit ihrer Angehörigen und um die finanzielle Sicherheit oder auch bezüglich des Jobs aus.
Über letzteres wurde im letzten Jahr viel berichtet. Wie Fox Business meldete, stieg die Zahl der Job-Scams 2023 um schockierende 118 %. Grund dafür ist die künstliche Intelligenz, die es Betrügern ermöglicht, ihre Nachrichten und Webseiten seriöser erscheinen zu lassen und sogar Deepfakes und Audio einzubauen.
KI-Unternehmen werden weiterhin versuchen, so viele Daten wie möglich zu sammeln. Das bedeutet, dass KI-Vorschriften von entscheidender Bedeutung sind. Jeder, der eine KI-Anwendung entwickelt, sollte aber seine eigenen Grundsätze aufstellen, um sicherzustellen, dass er geeignete Daten auf angemessene Weise verwendet, und er sollte transparent machen, woher er seine Daten bezieht - aber angesichts der Realität des Wettbewerbs und des „Innovationsfiebers“ sind auch externe Beschränkungen erforderlich.
Wenn KI selbst Entscheidungen trifft
Im Gegensatz zu den heutigen großen Sprachmodellen (LLMs), die zur Ausführung von Aufgaben die Eingabe von Nutzern erfordern, wird die agentenbasierte KI den Einsatz zielgerichteter autonomer Agenten beinhalten, die eigenständig Entscheidungen treffen und Aktionen innerhalb von Systemen auslösen. Anstatt mit dem expliziten „Wie“ der Lösung eines bestimmten Problems programmiert zu werden, sind sie so konstruiert, dass sie sich selbst ein Bild von der Problemlösung machen.
Wenn wir bereits Bedenken haben, dass eingespeiste Trainingsdaten geschützte oder persönliche Informationen enthalten könnten, die in KI-Ergebnissen offengelegt werden könnten, wenn diese Ergebnisse mehr oder weniger unter menschlicher Kontrolle stehen, was wird dann erst passieren, wenn diese Ergebnisse autonom und unsichtbar sind?
KI-Vorschriften müssen sicherstellen, dass solche Systeme unter Berücksichtigung des Datenschutzes und der Datenintegrität entwickelt werden. Brasilien, Italien, die EU und andere Länder haben sich bisher für diese Art von Kontrollen eingesetzt. In anderen Ländern haben die Regulierungsbehörden möglicherweise einen schweren Stand. Die Entscheidung des Obersten Gerichtshofs der USA vom Juni 2024, den Bundesbehörden die Auslegung des Gesetzes und dessen Anwendung zu untersagen, erschwert die KI-Aufsicht und könnte die Regulierungsmaßnahmen drastisch verlangsamen, indem dringende Fragen an die Gerichte verwiesen werden.
Abgesehen von strengen, intelligenten KI-Vorschriften müssen Unternehmen nach links rücken und Sicherheit und Datenschutz so früh wie möglich in ihre Softwareentwicklungs- und -einführungszyklen integrieren. Silos werden zu Katastrophen führen - Datenlecks, Gerichtsverfahren oder Reputationsschäden, die durch versehentlichen oder vorsätzlich ignoranten Missbrauch von KI-bezogenen Daten verursacht werden.
Die traurige Wahrheit ist, dass die größten Akteure am wenigsten zu verlieren haben: Sie haben verfügen über genügend Geld und die Marktposition, um ein paar Schläge zu verkraften. Kleinere KI-Firmen und Unternehmen, die KI-Outputs verwenden, könnten gegen Gesetze und Vorschriften wie die Datenschutz-Grundverordnung verstoßen und Geldstrafen, Vertrauensverluste bei Kunden und sogar Gefängnisstrafen für Führungskräfte erleiden.
Letztendlich werden solide interne Kontrollmechanismen, ergänzt durch gesunde Regulierungssysteme, es der Welt ermöglichen, die Vorteile der sich entwickelnden KI zu nutzen, ohne den Datenschutz, die Identität oder die Sicherheit von Personen zu gefährden.