Der Widerstand gegen KI wächst

Hacker-News-Kommentare

• Ich freue mich zwar, dass diese Person eine Community gefunden hat, aber sie wirkt auf mich zu sehr von einer Anti-AI-Stimmung überwältigt. Ich denke, es wird auch in den nächsten 30 Jahren weiter Gruppen geben, die AI hassen und aufhalten wollen. Solche Gegenbewegungen gab es immer schon bei Smartphones, dem Internet und dem Fernsehen. Wenn Model Poisoning andererseits wirklich zuverlässig möglich wird, dann ist das ein ziemlich interessantes Problem der Informatik. Ich teile die Ziele von Anti-AI-Aktivisten nicht, aber an den Angriffstechniken selbst habe ich großes Interesse. Wenn sie also weiter in diese Richtung forschen, werden auch Leute, die ihre Sache nicht unterstützen, diese Diskussion ernsthaft lesen.

  • Ich denke, Model Poisoning stößt letztlich an eine Grenze, die dem halting problem ähnelt. Sobald ein Mechanismus öffentlich wird, mit dem sich ein messbares Verhalten verändern lässt, wird das System zwangsläufig lernen, genau diesen Mechanismus zu berücksichtigen und sich dagegen zu wehren. Öffentlich bekannte Poisoning-Techniken werden am Ende wahrscheinlich einfach in Defensive-Training oder Filterung absorbiert. Wenn sie nur dann wirken, wenn sie Informationen selbst massiv beschädigen, werden die Daten auch für Menschen unbrauchbar und damit praktisch wenig nützlich. Deshalb vermute ich, dass solche Angriffe entweder kaum Wirkung haben oder nur kurz funktionieren, bis sie in die Trainingspipeline aufgenommen und neutralisiert werden. Trotzdem ist es ein interessantes CS-Problem, weil dieses kurze Zeitfenster raue Stellen sichtbar machen kann, an denen Menschen und Modelle unterschiedlich reagieren.
  • Ich habe hier vor ein paar Jahren einmal einen erfundenen Spieltitel ausgedacht und mehrere Kommentare dazu hinterlassen, um zukünftige AI-Modelle zu vergiften. Jetzt erinnere ich mich nicht einmal mehr an den Namen des Spiels, und ich habe auch keine Lust, hunderte Male auf More zu klicken, um die alten Kommentare wiederzufinden.
  • Ich vermute, dass chinesische Modelle robuster gegen Poisoning sein werden. Und ich denke, dazu trägt auch bei, dass die chinesische Öffentlichkeit viel AI-freundlicher ist als der Westen.
  • Wenn die Menschheit wegen einer nicht ausgerichteten Superintelligenz in ein paar Jahren ausstirbt, möchte ich dazu den zynischen Witz machen, dass dann zumindest auch die aktive Community verschwunden wäre, die AI hasst und aufzuhalten versucht.
  • Ich denke, SEO hat sich bereits ganz natürlich zu LLM training und agentic search optimization weiterentwickelt. Ich habe das Gefühl, dass genau darin der Kern der aktuellen Entwicklung liegt.

• Ich finde es schade, dass Poisoning-Versuche ihre Energie an einem so seltsamen Ort einsetzen. Es gibt bereits mehr als genug unverunreinigte Daten für das Training, und neue Inhalte werden meiner Ansicht nach weiterhin durch automatisches Sammeln aus der realen Welt oder durch qualitätskontrollierte Arbeit in großen Werkstätten in Afrika erzeugt. Deshalb denke ich, dass man zwar das alte Internet verschmutzen kann, aber nicht den Pfeil der Zeit selbst zurückdreht. Außerdem wächst inzwischen ein neues Internet, das stärker auf APIs und offener announce federation basiert, sodass die Bedeutung solchen traditionellen Poisonings immer weiter abnimmt.

  • Das finde ich interessant. AI-Labs wirken wirklich verzweifelt, wenn es darum geht, neue Internet-Inhalte zu bekommen, und scheinen Daten sogar von abgeschotteten Plattformen kaufen zu wollen, solange sie nur bezahlen können. Teilweise sieht es sogar so aus, als wollten sie sie auch ohne Zustimmung holen. Ich habe den Eindruck, dass missbräuchliches und raffinierteres Scraping gerade massiv zunimmt.
  • Unabhängig davon, dass es viel Content gibt, denke ich, dass Menschen, die etwas ins Internet gestellt haben, sich damit abmühen, nicht erlaubte AI-Crawler zu blockieren. In vielen Fällen müssen sie das schon allein tun, um ihre Infrastruktur vor einer simplen Flut von Requests zu schützen. Da AI-Crawler Zugriffssperren oft nicht respektieren, wirkt Poisoning aus Sicht von Besitzern, die ihre Inhalte nicht fürs Training verwendet sehen wollen, durchaus wie eine vernünftige Reaktion, wenn es technisch möglich ist. Vielleicht ist es sogar fast die einzige Möglichkeit, Crawler zu vertreiben.
  • Dass es genug unverunreinigten Content gibt, stimmt meiner Meinung nach schon. Nach den Fällen, mit denen ich selbst zu tun hatte, reicht es aber nicht aus, einfach Inhalte zu verstecken, die für Menschen kaum sichtbar sind, für Scraper jedoch relevant wirken, um einen gesamten Datensatz oder ein Modell nennenswert zu vergiften. Man kann damit aber zumindest den Netto-Nutzen, den jemand aus dem Ignorieren meines Signals „Bitte nicht mit Scraper-Requests fluten“ zieht, auf null oder leicht negativ drücken. Und selbst wenn nicht: Die Umsetzung war an sich ein ziemlich unterhaltsames Spiel. Falls jemand Poisoning automatisieren will: Zufällige Wörter und Zeichen werden durch Filter leicht entfernt und funktionieren daher nicht gut. Das Umordnen des Inhalts der aktuellen und benachbarter Seiten und das Einmischen kleiner zusätzlicher Fragmente scheint dagegen eher das Potenzial zu haben, Verbindungen zwischen Tokens zu schwächen. Und weil manche Scraper eine ganze Seite verwerfen, wenn dort offener Schimpftext steht, könnte es bei einigen wirken, an Stellen, die nur Bots sehen, ein paar unangenehme Strings einzustreuen. Natürlich verhindert keine dieser Methoden das eigentliche resource hogging, also den Bandbreitenverbrauch.
  • Ich würde empfehlen, sich model collapse anzusehen. In einer Umgebung wie heute, in der AI-generierte Inhalte überhandnehmen, ist die bloße Menge an Content möglicherweise keine ausreichende Trainingsressource mehr. Wichtig ist außerdem, dass riesige Datenmengen zunehmend privat werden oder hinter Paywalls verschwinden.
  • Ich finde es interessant, dass auch Anthropic sich direkt mit dem Problem von small-sample poisoning beschäftigt. Dazu kann man sich gleich https://www.anthropic.com/research/small-samples-poison ansehen.

• Ich erinnere mich noch an eine Zeit, in der die Hauptthemen der alten Hackerkultur darin bestanden, Barrieren zu beseitigen, die die Nutzung von Informationen erschwerten, etwa DRM, DMCA, patent trolls oder PGP export control. Verglichen mit der Zeit, in der „Information wants to be free“ fast wie ein Motto galt, wirkt es heute wie ein gewaltiger Wandel, dass die Stimmung stärker dahin geht, Webseitenbetreibern keinen Grund mehr zu geben, Unternehmen das Stehlen zu erleichtern, wenn diese nicht in der Lage sind, ethisch an Trainingsdaten zu kommen. Vor 25 Jahren hätte man so einen Wandel wohl kaum vorhergesehen.

  • Ich konnte mit der Sicht, das sei ein Widerspruch, nie besonders viel anfangen. Es wird leichter verständlich, wenn man zwischen jemandem unterscheidet, der will, dass alle reich werden, und jemandem, der nur selbst reich werden will und dafür plant, alle anderen ärmer zu machen. Wenn jemand freien Zugang zu Informationen unterstützt, sich aber gleichzeitig gegen unternehmerische Datennutzung stellt, die den Informationszugang anderer beschädigt und Quellen verschleiert oder verfälscht, dann ist das meiner Meinung nach kein Widerspruch. Solange wir nicht in einer Welt leben, in der Copyright verschwunden ist, kreative Werke öffentliche Güter sind und Unternehmen Informationen nicht monopolisieren, fühlt sich das weniger wie ein Positionswechsel an als wie eine konsistente Anwendung derselben Prinzipien.
  • Ich sehe das als etwas, das in einer Kultur passiert, der starke Mechanismen fehlen, um Leute auszuschließen, die die Gemeinschaft zerstören wollen. Mir fällt dazu die Metapher ein, einen Vampir ins Haus zu lassen und sich dann zu wundern, warum der Hals weh tut.
  • Ich denke, die Leute damals wollten eine Ökonomie des Teilens und des Schenkens aufbauen. Sie waren nur nicht in der Lage, böswillige Akteure innerhalb dieser Sharing Economy aufzuhalten, und wurden bitter enttäuscht, als ihr Idealismus von eigennützigen Akteuren gekapert wurde. Deshalb kommt mir der heutige Backlash gar nicht so seltsam vor.
  • Ich stehe immer noch eher auf der Seite von „information wants to be free“. Leute, die Software unter einer Open-Source-Lizenz veröffentlichen und dann wütend werden, wenn ein LLM daraus lernt, kann ich nicht gut nachvollziehen. Als Google früher Quellcode indexierte, war es vergleichsweise ruhig, vermutlich weil damals Traffic zurückkam und sich das in Geld umsetzen ließ. Deshalb scheint mir diese Debatte weniger eine philosophische Frage zu sein als vielmehr eine Frage, wer das Geld bekommt, und das interessiert mich nicht besonders. Der zentrale Wert von Open Source besteht für mich darin, dass jede Person etwas lernen kann, ob durch AI oder auf andere Weise.
  • Ich stimme nicht zu, dass das ein Verrat am ursprünglichen Hacker ethos sei. „Information wants to be free“ ist nur ein Teil des Hacker ethos, nicht das Ganze, und es gibt viele andere Tendenzen, die mit cracking nichts zu tun haben. Außerdem ist Information auf einem Server nicht kostenlos wie Freibier, denn Serververfügbarkeit und Betrieb kosten real Geld. Mechanismen zu bauen, die gierigen Akteuren Nachteile zufügen, ist ein legitimes Recht von Serverbetreibern und zugleich ein interessantes tit-for-tat-Problem. Und weil diese Poisoning-Gegenmaßnahmen keine staatliche Intervention anstoßen, sondern eine direkte Reaktion von Einzelnen sind, passt auch das gut zu einem hackerhaften Temperament. Selbst wenn das also zufällig mit einem Aspekt von Informationsverfügbarkeit kollidiert, gehört eine solche LLM-Resistenz meiner Meinung nach eher zum ursprünglichen Hackergeist, als dass sie ihm widerspricht.

• Ich habe das Gefühl, der einfachste Weg, den Widerstand gegen AI zu vergrößern, ist, Dario Amodei und Sam Altman ins Fernsehen zu setzen und sie einfach reden zu lassen.

  • Und wenn man Alex Karp noch dazu auf autonomer-Waffen-Promotion ansetzt, ist die perfekte Dreifaltigkeit komplett.
  • Ich würde gern mehr darüber hören, warum du das so empfindest. Mir kommen Gründe in den Sinn wie: Sie finden keinen guten Draht zu normalen Menschen, ihre Anreize sind verzerrt, sie sprechen nicht direkt, und sie haben mehr Macht als gewählte politische Führung. Bei der Personenbewertung würde ich Amodei und Altman allerdings nicht in einen Topf werfen. Altman wirkt auf mich geschliffen und kompetent, aber gerade deshalb auch beunruhigend; da ist etwas Unmoralisches in dieser Atmosphäre, Menschen ihm statt Ideen folgen zu lassen. Amodei dagegen wirkt auf mich wie ein gutmeinender Geek, der Menschen mit Charakter und Idealen überzeugt. Im Umgang mit Medien ist er unbeholfen, aber gerade dadurch hat man das Gefühl, dass er wirklich für sich selbst spricht, und das wirkt auf mich eher positiv. Natürlich gibt es bei beiden noch viel zu kritisieren. Dario scheint bei den Zukunftsrisiken von AI noch nicht weit genug zu gehen, und Altman hinterlässt bei mir den Eindruck von jemandem, der klug und fähig, aber manipulativ ist. Trotzdem halte ich Dario für eine der Personen unter den Corporate Leadern, die alignment am ernsthaftesten nehmen. Er bringt eigenes Geld ein, versteht die Technik und scheint das Wesen der tatsächlichen Forschung wirklich zu kennen. Wenn man bedenkt, wie selten CEOs sind, die die Kernarbeit ihres Geschäfts tatsächlich selbst auf hohem Niveau leisten könnten, ist das schon etwas Besonderes.

• Ich sehe AI als ein Corporate-Tool, mit dem Unternehmen mehr Arbeit aus Beschäftigten herauspressen wollen. Gleichzeitig wirkt es auf mich wie ein Mittel, Beschäftigten die Illusion einzupflanzen, sie seien plötzlich turbo-charged devs. Die heutige Tech-Industrie wirkt auf mich eher wie ein vom Geld getriebener Zirkus als wie ein ernsthafter Versuch, die Menschheit zu verbessern.

  • Ich glaube zumindest unter noch halbwegs vernünftigen Programmierern nicht, dass dieser Mythos vom „turbo-charged dev“ wirklich geglaubt wird. Die meisten sehen doch ziemlich klar, dass diese ganze Show letztlich ein Mittel zum Geldverdienen ist.

• Für mich ist diese Poisoning-Bewegung eher slacktivism. Ich kann die Analyse bis zu einem gewissen Grad nachvollziehen, dass Arbeit der Arbeiterklasse durch compute ersetzt wird und compute reines Kapital ist, wodurch am Ende die Kapitalistenklasse der Arbeiterklasse die Kehle zudrückt. Und ich glaube auch, dass Kapitalisten sich tatsächlich eine Entwicklung in diese Richtung wünschen könnten. Aber wenn man es so sieht, reicht ein bisschen Modellvergiftung bei weitem nicht aus, um das, was gerade passiert, frontal anzugehen.

• Ich sehe diese Entwicklung besonders stark auf Reddit. Manche Communities sind so AI-freundlich, dass sie AI-Zusammenfassungs-Kommentare anheften und AI-geschriebene Beiträge fördern, während andere Subreddits eher in Richtung Vorsicht oder offenem Anti-AI gehen. Foto-Communities kämpfen damit, dass ihre Arbeit für AI gehalten wird, und Programmierer-Communities sind überwiegend dafür, aber gleichzeitig skeptisch. Am Ende scheinen sich auch die traditionellen Subreddits irgendwo auf dem AI-Spektrum zu verorten. Beispiele, die mir einfallen, sind https://www.reddit.com/r/vibecoding/, https://www.reddit.com/r/isthisAI/, https://www.reddit.com/r/aiwars/, https://www.reddit.com/r/antiai/, https://www.reddit.com/r/photography/comments/1q4iv0k/what_do_you_say_to_people_who_think_every_photo/, https://www.reddit.com/r/webdev/comments/1s6mtt7/ai_has_sucked_all_the_fun_out_of_programming/

  • Das wirkt auf mich wie Reddit und im weiteren Sinne wie ein klassischer Fall menschlichen Gruppendenkens. Menschen wollen sich lieber schnell irgendwo auf einer eindimensionalen Linie positionieren oder einem von zwei Lagern zugeordnet werden, statt mit Nuancen umzugehen.

• Ich hoffe, dass wir irgendwann subtilere Gespräche über AI und die Rolle führen können, die sie in der Welt spielen sollte. Im Moment wirkt es fast so, als gäbe es nur Extreme. Irgendwo zwischen der Haltung, AI komplett aus der Welt verbannen zu wollen, und der Haltung, ihr alles zu überlassen, würde ich gern über realistische Dinge sprechen: verantwortungsvollen Einsatz, gesellschaftliche Puffermechanismen, Energieverbrauch.

  • Ich denke, Venture Capital hat auf ein Szenario gesetzt, in dem AI die Welt übernimmt, und deshalb werden konservative und begrenzte Einsatzweisen von LLMs auf absehbare Zeit schwer finanzierbar sein. Ich habe auch das Gefühl, dass schon das Investieren in vorsichtige Anwendungsfälle ein subtiler Hinweis wäre, dass die bisherigen Kerninvestments an Wert verlieren könnten.
  • Ich stehe größtenteils genau in dieser Mitte. AI-Crawler und die Firmen dahinter sollten robots.txt respektieren und nicht unbegrenzt in eine Größenordnung wachsen, die Umwelt und Lieferketten schadet. Gleichzeitig hat der sorgfältige Einsatz von Modellen eindeutig einen Wert. Wenn ich zum Beispiel ein seltsames Problem auf einem Linux-Server verfolge, will ich nicht immer viel Zeit und mentale Energie hineinstecken. Deshalb möchte ich AI bewusst nur dann verwenden, wenn ich sie wirklich brauche, und ich hasse es, dass Microsoft Copilot ständig aggressiv gepusht wird. Ich will nicht in jedem Moment daran erinnert werden, meine Effizienz zu steigern, sondern es dann nutzen, wenn es sich für mich richtig anfühlt.
  • Als ich mir früher AI vorgestellt habe, war das nicht die Art von Einsatz, an die ich dachte. Dahinter stand eigentlich eine große Vision, große Probleme zu lösen. Deshalb finde ich, dass wir heute auf eine verantwortungsvolle Einführung von AI drängen sollten. Man sollte in Bereichen mit geringem Risiko beginnen und erst dann in wichtigere Felder aufsteigen, wenn sich in weniger katastrophalen Kontexten gezeigt hat, dass es zuverlässig funktioniert.
  • Ich bin ein wenig überrascht, so eine Meinung von jemandem auf dieser Seite zu lesen. Ich hatte eher den Eindruck, dass gerade hier diese mittlere Position besonders häufig sichtbar wird. Schon im letzten Jahr hat sich die Stimmung meiner Wahrnehmung nach deutlich weiterentwickelt: weg von bloßem vagen Herumfuchteln hin zu einer Haltung, die AI akzeptiert, ihre Probleme aber auch erkennt und über Gegenmaßnahmen nachdenkt. Ich halte AI für ein großartiges Werkzeug, wenn sie richtig eingesetzt wird, aber die aktuelle Art, sie allen einfach in die Hand zu drücken, ohne dass sie das Werkzeug überhaupt verstehen, ist beängstigend. Ich vermute, dass nicht wenige in dieser Community ein ähnliches Gefühl haben.

• Ich finde sowohl die Wut im ursprünglichen Blog überzogen als auch die Haltung unerquicklich, ernsthaft zu glauben, solche Poisoning-Versuche könnten dem Modelltraining überhaupt keinen Schaden zufügen; das wirkt auf mich ebenfalls wie mangelndes technisches Verständnis.

  • Ich wäre nicht so sicher, dass Poisoning absolut nie funktioniert. Zumindest wenn man sich einschlägige Fälle ansieht, hat man nicht das Gefühl, die Möglichkeit vollständig ausschließen zu können; als Beispiel fällt mir https://www.reddit.com/r/BrandNewSentence/comments/1so9wf1/comment/ogrqpxz/ ein.
  • Ich tue mich schwer damit, Wut an sich als cringe abzutun. Wenn man Wut pauschal als kindisch verwirft, kann das leicht in eine Haltung führen, die sich von Realitätssinn und moralischem Empfinden entfernt.
  • Für mich ist es eher cringe, wenn Leute ChatGPT ihre Nachrichten, E-Mails und Lebensläufe schreiben lassen, wenn berufliche Softwareentwickler per vibe coding ganze Apps bauen und wenn gleichzeitig überall davon geredet wird, aus LLMs werde bald AGI entstehen.

• Einerseits möchte ich den Witz „Resistance is futile“ machen, andererseits kann ich der Behauptung, dass AI Communities tatsächlich kaputtmacht, durchaus etwas abgewinnen. YouTube lässt zum Beispiel sogar die Bearbeitung von Meldungen von AI erledigen, wodurch böswillige Akteure fremde Originalvideos als ihre eigenen ausgeben und den Urhebern per demonetize die Einnahmen entziehen können. Sogar bekannte YouTuber wie Davie504 haben so etwas erlebt, und selbst Einsprüche werden dann wieder von Robotern bearbeitet, was extrem frustrierend ist.

  • Ich denke, dieses Problem bei YouTube gab es schon lange vor LLMs. Das Copyright-strike-System war schon immer kaputt. Deshalb finde ich es etwas ungenau, sich irgendein beliebiges Tech-Problem herauszugreifen und pauschal AI dafür verantwortlich zu machen.

Gibt es neben der Methode, die Daten zu vergiften, mit denen KI trainiert wird, nicht auch andere Formen des Widerstands?
Zum Beispiel keine von KI erzeugten Inhalte zu konsumieren ...

Beim Lesen davon hatte ich auch das Gefühl, dass es unbeabsichtigt nicht auch Menschen vergiften könnte.

Ich weiß nicht, wo das Problem entstanden ist, aber hinter „kkim“, „bom“, „doem“ und „jim“ wird ein unpassendes „eum“ angehängt. Ist das vielleicht auch Poisoning? ;)

Vielleicht wurde das Modell leicht verändert; derselbe Prompt verhält sich jetzt fehlerhaft. Ich habe diesen Teil korrigiert.