Künstliche Intelligenz erzeugt heute Bilder auf Knopfdruck. Was als experimentelles Forschungsfeld begann, ist längst Alltag in Werbung, Journalismus und Design. Doch während KI-Generatoren florieren, wächst die Sorge unter Kreativen: Wurden meine Fotos oder Illustrationen zum Training dieser Systeme verwendet?
Der Informatiker Antoni Kowalczuk vom CISPA Helmholtz-Zentrum für Informationssicherheit hat ein innovatives Verfahren entwickelt, um genau das herauszufinden. Mit seinem System lässt sich nachweisen, ob ein KI-Modell urheberrechtlich geschütztes Bildmaterial in seine Trainingsdaten aufgenommen hat. Veröffentlicht wurde Kowalczuks Verfahren im Juni 2025 auf der IEEE Conference on Computer Vision and Pattern Recognition (CVPR) unter dem Titel „CDI: Copyrighted Data Identification in Diffusion Models“.
Diffusion Model als Grundlage
KI-Bildgeneratoren wie etwa DALL·E, Midjourney oder Stable Diffusion basieren auf sogenannten Diffusion Models. „Ein Diffusion Model ist ein tiefes neuronales Netz, das lernt, Bilder schrittweise zu erzeugen, indem es nach und nach Rauschen aus dem Bild entfernt“, erklärt Antoni Kowalczuk, PhD-Student am CISPA. Das Training dieser Systeme erfolgte mit Bildern aus dem Internet.
Dies geschah angeblich ohne Zustimmung der Personen mit Urheberrechten an diesen Bildern. „Als die Modelle noch rein wissenschaftlichen Zwecken dienten, hat die Urheberrechtsfrage niemanden so wirklich interessiert“, erzählt Kowalczuk. „Aber ab dem Moment, in dem die Leute anfingen, mit den Modellen Geld zu verdienen, wurde das Thema plötzlich relevant. Ich dachte, dass ich da mit meiner Forschung etwas bewirken kann.“
Woran bestehende Ansätze scheitern
Bisherige Anwendungen, die herausfinden, ob KI-Modelle bestimmte Bilder als Trainingsmaterial verwenden, basieren auf einer Methode namens „Membership Inference Attacks“ (MIA). Diese versuchen zu beurteilen, ob ein einzelnes Bild zum Training eines KI-Modells verwendet wurde.
Die Forschung zeige jedoch, dass die Wirksamkeit solcher Angriffe (MIAs) gegen null geht, sobald die Modelle und ihre Trainingsdaten größer werden.„Aus diesem Grund habe ich mit meinen Kolleginnen und Kollegen eine neue Methode namens „Copyrighted Data Identification“ (CDI) entwickelt“, erzählt der CISPA-Forscher. „Grundlegend für CDI ist, dass wir nicht einzelne Bilder, sondern ganze Datensätze untersuchen, zum Beispiel eine Sammlung von Stockfotos oder ein digitales Kunstportfolio.“
Funktionsweise von CDI
Für CDI hat Kowalczuk ein vierstufiges Verfahren konzipiert, das überprüft, ob ein KI-Modell urheberrechtlich geschützte Bilder in seinen Trainingsdaten hat. Dazu stellt er zwei Datensets zusammen: „Im Ersten sind Bilder enthalten, von denen der Dateninhaber glaubt, dass sie zum Training dieses spezifischen Modells verwendet wurden. Das Zweite ist ein sogenannter Validierungssatz, der aus Bildern besteht, bei denen wir uns zu 100 % sicher sind, dass sie nicht beim Training verwendet wurden“, erklärt der Forscher.
Anschließend lasse man beide Datensätze durch das KI-Modell laufen, um dessen Reaktionen zu beobachten. Auf Grundlage dieser Reaktionen werde ein Werkzeug trainiert, das erkennen könne, ob der betroffene Datensatz wahrscheinlich Teil der Trainingsdaten war. „Am Ende wird ein statistischer Test durchgeführt, um zu prüfen, ob die betroffenen Daten systematisch höhere Werte erzielen als die unveröffentlichten“, so Kowalczuk. Ist das der Fall, spricht das stark dafür, dass die KI mit diesen Daten trainiert wurde; ist das nicht der Fall, bleibt das Ergebnis offen.
Der CISPA-Forscher testete CDI an einer Reihe bestehender KI-Modelle, für die Informationen über die Trainingsdaten vorliegen. Darunter sind etwa Modelle, die mit dem ImageNet-Datensatz trainiert wurden. Dabei nutzte er sowohl echte Bilddatensätze (wie aus der Open-Images-Datenbank) als auch gezielt manipulierte Testdaten.
Die Ergebnisse seien laut Kowalczuk vielversprechend: „CDI kann mit hoher Genauigkeit erkennen, ob ein Datensatz im Training war, auch bei komplexen, großen Modellen. Selbst wenn wir die exakten Bilder, die zum Training verwendet wurden, nicht eindeutig identifizieren können, lässt sich dennoch zuverlässig erkennen, ob Daten aus dem Datensatz zum Training des Modells verwendet wurden. CDI liefert auch dann zuverlässige Ergebnisse, wenn nur ein Teil des Gesamtwerks im Training genutzt wurde.“
Herausforderungen bei Umsetzung und Praxistransfer
CDI ist eine sehr komplexe Methode, die momentan nur von Forschenden eingesetzt werden kann. „Einige der von uns extrahierten Merkmale erfordern vollständigen Zugriff auf das Modell und seinen Code“, so Kowalczuk. „Darüber hinaus gibt es einige sehr wichtige Kriterien für die von uns verwendeten Datensamples.“ CDI liefert daher aktuell nur einen theoretischen Nachweis, dass es möglich ist, herauszufinden, ob ein bestimmter Satz von Bildern zum Training von KI-Modellen verwendet wurde.
Damit eine Anwendung entwickelt werden könnte, die auch Urheber ohne großes technisches Know-how nutzen können, wären weitere Modifikationen und Entwicklungen notwendig. Momentan erscheint dies jedoch technisch (noch) nicht lösbar. „CDI ist noch ziemlich jung und es gibt noch viel zu tun. Aber eines ist klar: Wenn wir bessere Methoden haben, werden wir vielleicht irgendwann die Brücke von der Theorie zur Umsetzung überschreiten“, so der CISPA-Forscher.
Link zur Originalpublikation: Dubiński, Jan; Kowalczuk, Antoni; Boenisch, Franziska; Dziedzic, Adam (2025). CDI: Copyrighted Data Identification in Diffusion Models. CISPA. Conference contribution. https://doi.org/10.60882/cispa.29436212.v1
Bild oben: © CISPA
