Aus dem Internet-Observatorium #89

Video-Automatisierung: Die Spammer gewinnen / Die xz-Hintertür / Das vorerst letzte Trade & Tech / Chatkontrolle reloaded

Apr. 03, 2024

Hallo zu einer neuen Ausgabe! Nachdem ich in den vergangenen Wochen häufiger auf die Veränderungen für das textbasierte Internet geblickt habe, werfe ich heute einen Blick auf die Folgen künstlicher Intelligenz für das Video-Ökosystem.

Video-Automatisierung: Die Spammer gewinnen

Neulich musste ich einen älteren Angehörigen (90+) beruhigen: Nein, Schlagermoderator Andy Borg ist nicht tot. Diese Botschaft benötigte einige Überzeugungskraft, denn mein Angehöriger hatte ja sogar seinen Sarg gesehen - auf YouTube.

Todesnachrichten-Spam ist inzwischen ein eigenes Genre. Vollautomatisiert hergestellt, liebloser Dreck, der irgendwo in den Suchen oder Autoplay-Listen auftauchen soll. Im nächsten Video zum Beispiel eine Todesmeldung über Otto Waalkes. Im Text geht es zwar gar nicht um seinen Tod, sondern es wird eine wohl KI-generierte Geschichte einer Krebserkrankung und Organtransplantation erzählt, in die Waalkes’ Name eingebaut wurde. Das Resultat ist Kauderwelsch, Leer-Content, Spam. Mit ein paar Otto-Fotos drüber.

In den USA betrifft der Todesspam nicht nur Prominente, sondern vermehrt auch Privatleute. Allerdings solche, die tatsächlich gestorben sind: Jemand kommt ums Leben und eine Handvoll von Content-Farmen publizieren automatisierte Nachruf-Videos mit generischer KI-Betextung. Alles für eine Handvoll Traffic.

Instagram und TikTok unterscheiden sich nur thematisch, nicht strategisch von dieser Spam-Taktik: “Faceless Reels” heißen Videos, in denen die Ersteller weder auftauchen, noch selber Material filmen müssen. Je automatisierter, desto schneller.

404 Media hat Anfang März die Szene rund um den Automatisierungs-Hustle porträtiert. Zu ihr gehört inzwischen eine ganze Branche von Automatisierungs-Influencern. Zum Beispiel er hier:

Die passende Software dazu liefern Firmen wie Crayo.AI: Die Software produziert mittels ChatGPT ein Skript - zum Beispiel lustige Fakten, Antworten aus Reddit AMAs, Screenshots von Tweets, undsoweiter. Mit der Audio-Software ElevenLabs wird der Text als KI-Voiceover drüber gelegt, zum Schluss irgendein zufälliges Gameplay als Bewegtbildkomponente ausgewählt. Wer möchte, kann auch noch generische Musik im Hintergrund platzieren. Und so lässt sich innerhalb von ganz wenigen Minuten ein Video produzieren, das zwar unattraktiv aussieht, aber oft Reichweite bringt. Hier zwei Beispiele:

@askreddit.fyp WHATS SUPRISINGLY ILLEGAL? #reddit #askreddit #fyp #redditreadings #weirdlawsintheworld

Tiktok failed to load.

Enable 3rd party cookies or use another browser

@crazy.shortstories What is some information that the public hasn’t been exposed to? #reddit #redditreadings #redditstories #askreddit This story may be adapted for more entertainment. We were funded for this.

Tiktok failed to load.

Enable 3rd party cookies or use another browser

Das Ganze lässt sich natürlich auch auf bestimmte Zielgruppen zuschneiden… zum Beispiel: Kinder. Hier ein Tutorial, wie man mit Canva (und ein bisschen Adobe Express) animierte Videos für Kinder erstellt.

Das Resultat: Videos wie dieses, das laut diesem Wired-Artikel mit einer Wahrscheinlichkeit von 95 Prozent teilweise von einer KI erstellt wurde.

Oder wie wäre es mit diesem vollständig KI-generierten Kinderlied-Video (ab Minute 7), auf das Erik Hoel hingewiesen hat?

Creepy. Aber es ist wahrscheinlich altmodisch von mir, so etwas als Spam zu bezeichnen - handelt es sich doch schlicht um einen wachsenden Anteil des veröffentlichten Contents. Die Internet-Verschmutzung von gestern ist der Trend von heute. Aber dass wir uns im beginnenden synthetischen Zeitalter daran gewöhnen könnten, auf immer weniger menschengemachte Kultur zu stoßen, ist eine schlechte Entwicklung.

Die xz-Hintertür

Das ganze Osterdrama um die Hintertür in der obskuren xz-Kompressionsbibliothek liblzma.so lässt sich bei heise.de schön nachlesen, deshalb von mir nur ein tl;dr: Ein Bestandteil von SSH wäre beinahe millionenfach komprommitiert worden, weil der überlastete verantwortliche Open-Source-Entwickler Lasse Collin Hilfe von einem Nutzer annahm, der versuchte, eine Backdoor in eine neue Version einzuschleusen. Das Ganze fiel nur auf, weil ein anderer Entwickler sich an den langen (lang im Sinne von “eine halbe Sekunde länger als davor”) störte und schließlich auf das Problem stieß.

Perfide daran: Offenbar wurde mit Sockenpuppen, also Fake-Accounts, für Social Engineering eingesetzt. Insgesamt dauerte die Operation zwei Jahre - Hinweis darauf, dass ein Nationalstaat hinter der Sache stecken dürfte. So gelang das Einschleusen der Sicherheitslücke beinahe,

“…weil ein böswilliger Benutzer namens Jia Tan geduldig mehr als zwei Jahre damit verbrachte, zu xz beizutragen und scheinbar eine Sockenpuppe verwendet hat, um den Betreuer davon zu überzeugen, zusätzliche Hilfe bereitzustellen. Diese Sockenpuppe mit dem Namen “Jigar Kumar” nutzte ein öffentliches Eingeständnis von psychischen Problemen des Entwicklers Lasse Collin aus, um ihn dazu zu drängen, zusätzliche Hilfe in Anspruch zu nehmen.“

Die IT-Welt ist also knapp an einer Sicherheitskatastrophe vorbeigeschrammt, die womöglich niemals entdeckt worden wäre.

Das Ganze erinnert einerseits an den SolarWinds-Hack, im Sinne eines Angriffs auf die Supply Chain, der Millionen von Systemen kompromittierbar gemacht hätte. Auf der anderen Seite klingt auch der Heartbleed-Bug an, eine Sicherheitslücke, die damals schon das Problem “wenige, überlastete Menschen verantworten OpenSource-Libraries und -Subsysteme, die mehr oder weniger Grundlage der gesamten Computerwelt sind” zeigte.

Was die Lehren sind, darüber lässt sich diskutieren: Bruce Schneier fordert, keine kritischen Systeme mehr auf Software-Libraries aufzubauen, die von einzelnen, überforderten Menschen betreut werden (zu spät, würde ich sagen?). Ben Thompson ($) wiederum weist darauf hin, dass das OpenSource-Prinzip ja funktioniert hat - ein anderer Entwickler hat erkannt, dass etwas nicht stimmt, und ist der Sache nachgegangen.

Was natürlich die Frage aufwirft, wie viele solcher Attacken bereits unentdeckt durchgeführt wurden und erfolgreich waren. Denn was Upstream passiert, also in den Grundanwendungen und -paketen für ganze Software-Kategorien, ist gemessen an den Konsequenzen viel zu wenig auf unserem Schirm.

Das vorerst letzte Trade & Tech

Donnerstag und Freitag findet im belgischen Löwen das vorerst letzte Treffen des transatlantischen “Trade and Technology Councils” statt. Unter anderem werden Blinken, Raimondo, Vestager und Breton dabei sein. Konkret sollen ein regelmäßiger Austausch zwischen dem KI-Büro der EU-Kommission und dem amerikanischen AI Safety Institute vereinbart werden, auch bei der Standardisierung und globalen Einführung von 6G will man die Zusammenarbeit fixieren. Unklar war zuletzt, ob das TTC weiter existieren wird.

Bislang hat das TTC meine Erwartungen erfüllt: Man redet (gut!), aber bleibt in vielen Absprachen unkonkret (Roadmaps ftw!). Ein Dialogforum eben. Angesichts der immer spannungsreicheren transatlantischen Handelsbeziehungen sicher hilfreich, aber wenig praktikabel, wenn es um reale Handelsbarrieren oder Rivalitäten (von Stahl bis Cloud) geht. Und warum es für dieses Format zehn Arbeitsgruppen braucht, weiß wahrscheinlich niemand so genau.

Kurz: Ein reformiertes TTC könnte ein relevanter Gesprächskanal, im Digitalbereich rund um Standardisierung sogar ein Koordinierungsformat sein. Das wäre nicht viel, aber gerade im Falle der Rückkehr eines America-First-Präsidenten unerlässlich.

Chatkontrolle reloaded

Die belgische EU-Ratspräsidentschaft ist offenbar optimistisch, in den kommenden sechs Wochen die Chatkontrolle doch noch über die Bühne zu bekommen. Zitat aus einem Protokoll, das Netzpolitik.org veröffentlicht hat und die Argumentation der EU-Kommission gut wiedergibt:

“Es gäbe nur eine funktionale Vorgehensweise und das sei das Scannen von Inhalten. Wenn man einen Verdacht voraussetze, “beiße sich die Katze in den Schwanz”, denn nur wenn man scanne, wisse man, wer verdächtig sei. Es gebe bereits heute “allgemeines Scannen” für unterschiedliche Arten von Bedrohungen. Whatsapp beispielsweise wende das an für die Suche nach Spyware, unerwünschte URLs oder Spamfilter.”

Nur wenn man scannt, weiß man, wer verdächtig ist. Das Ganze erinnert an das Argument des damaligen NSA-Chefs Keith Alexander im Jahr 2005, wer eine Nadel im Heuhaufen suche, sollte erst einmal den gesamten Heuhaufen einpacken. Was das in der Praxis bedeutete, wissen wir inzwischen.

Einmal mehr versucht man also auf Seiten der europäischen Innenpolitiker, blanken Unsinn durchzusetzen. Einmal mehr würde der Europäische Gerichtshof das ganze Projekt wahrscheinlich kassieren. Aber verlassen darauf sollte man sich nicht, schon gar nicht auf lange Sicht, denn Richter wie Thomas von Danwitz werden nicht ewig im Amt bleiben.

1 Zitat: Der Internet als Mega-Dungeon

“Früher sahen wir die Materialität des Internets, wir betrachteten es als Dungeon und uns selbst als Zauberer. Oder als Grenzregion, die es zu erkunden galt, oder als Geocities-Nachbarschaft. Und das ist irgendwie verloren gegangen. Nicht, weil wir nicht mehr darüber nachdenken, sondern weil vor allem Firmen versuchen, Menschen das Gefühl für diese Materialität zu entziehen. Rechenzentren, Kabel, zunehmend umweltbelastendes Computing, Arbeitsausbeutung undsoweiter.
Und deshalb denke ich, dass eine der gängigsten Rhetoriken für das Digitale die der Flachheit geworden ist - das Wort Plattformen zeigt es. Eine gewisse Tiefenlosigkeit. , Und in diesem Sinne ist der Mega-Dungeon eine Möglichkeit, dieses räumliche und volumetrische Modell in Diskussionen über das Internet und alle anderen Kommunikations- oder Computertechnologien einzubringen oder erneut einzubinden.”

Gabriele de Seta im Podcast Never Post! über das Internet als Mega-Dungeon.