Exposing the Illusion of Fairness: Auditing Vulnerabilities to Distributional Manipulation Attacks

Diese Arbeit untersucht, wie böswillige KI-Anbieter durch mathematisch fundierte Manipulationen scheinbar faire und repräsentative Datensätze erzeugen können, um Compliance-Audits zu täuschen, und entwickelt darauf aufbauend statistische Methoden zur Erkennung solcher Täuschungsversuche.

Das Wesentliche

🕵️‍♂️ Der große Fairness-Betrug: Wie KI-Systeme sich „sauber" waschen lassen

Stellen Sie sich vor, Sie sind ein Kontrolleur (ein Auditor), der prüfen soll, ob ein neuer KI-Algorithmus fair ist. Der Algorithmus entscheidet zum Beispiel, wer einen Kredit bekommt oder wer eine Stelle erhält. Das Gesetz sagt: „Der Algorithmus darf keine Gruppe (z. B. aufgrund des Geschlechts oder der Herkunft) benachteiligen."

Normalerweise gibt der Besitzer des Algorithmus (der Auditierte) Ihnen einen Stapel mit Beispielen (Daten), damit Sie prüfen können, ob er fair arbeitet.

Das Problem: Was passiert, wenn der Besitzer des Algorithmus ein Schurke ist? Was, wenn er den Stapel mit Beispielen so manipuliert, dass er für Sie wie ein perfekter, fairer Stapel aussieht, obwohl sein eigentliches System im Hintergrund immer noch unfair ist?

Genau das untersuchen die Autoren dieses Papers. Sie nennen dieses Phänomen „Fairwashing" (eine Art „Fairen-Waschen"), ähnlich wie beim berühmten „VW-Abgasskandal", bei dem Autos nur im Testmodus sauber fuhren, aber im echten Leben dreckig.

---

🎭 Die drei Akteure im Theater

1. Der Schauspieler (Der Auditierte): Er hat den KI-Algorithmus. Er weiß, dass er unfair ist, will aber nicht bestraft werden. Also versucht er, Ihnen einen „Trick-Stapel" an Daten zu geben.
2. Der Kritiker (Der Auditor): Er schaut sich nur den Stapel an, den der Schauspieler gibt. Er rechnet aus: „Hey, hier sieht es fair aus!"
3. Der Regisseur (Die Aufsichtsbehörde): Ein strenger Chef, der den ganzen Stapel (die echten Daten) kennt. Er soll prüfen, ob der Stapel, den der Schauspieler gegeben hat, wirklich repräsentativ ist oder ob er nur ein „Fake" ist.

---

🎨 Die Kunst des Täuschens: Wie wird der Stapel „geputzt"?

Die Forscher haben herausgefunden, dass es mathematisch fast unmöglich ist, einen perfekten Betrug zu erkennen, wenn man nur auf den Stapel schaut. Der Schauspieler kann die Daten auf zwei clevere Arten manipulieren:

1. Die „Entropische Projektion" (Das Umsortieren)

Stellen Sie sich vor, Sie haben einen Haufen Karten. Manche Karten sind rot (Gruppe A), manche blau (Gruppe B). Der Algorithmus gibt roten Karten öfter „Nein" und blauen „Ja". Das ist unfair.
Der Schauspieler nimmt nun den Stapel und tauscht nur ein paar Karten um. Er nimmt eine rote Karte, die „Nein" bekam, und gibt ihr stattdessen ein „Ja". Er macht das so geschickt, dass der Stapel immer noch aussieht wie der ursprüngliche Haufen, aber plötzlich die Zahlen für die Fairness stimmen.

• Die Metapher: Es ist wie wenn Sie ein Foto von einer Menschenmenge nehmen und mit Photoshop ein paar Gesichter austauschen, damit die Statistik der Lächelnden passt, ohne dass das Foto im Ganzen verdächtig aussieht.

2. Die „Optimal-Transport-Methode" (Das Verschieben)

Hier ist es noch raffinierter. Der Schauspieler verändert nicht nur die Karten, sondern bewegt die Menschen auf dem Foto ein wenig. Er schiebt eine Person, die eigentlich zur Gruppe A gehört, ein winziges Stück in Richtung Gruppe B, oder ändert ihre Eigenschaften minimal.

• Die Metapher: Stellen Sie sich vor, Sie haben eine Kugel aus Ton. Sie drücken sie ein wenig, damit sie wie eine andere Form aussieht, aber Sie tun es so sanft, dass niemand merkt, dass die Kugel eigentlich deformiert wurde.

---

🔍 Der Kampf: Kann man den Betrug entlarven?

Die Forscher haben nun geprüft: Kann der Regisseur (die Behörde) merken, dass der Stapel manipuliert wurde?

Sie haben verschiedene Werkzeuge (statistische Tests) entwickelt, um zu schauen: „Sieht dieser kleine Stapel wirklich aus wie ein zufälliges Stück vom großen Ganzen?"

Die Ergebnisse sind alarmierend:

• Kleine Stichproben sind leicht zu täuschen: Wenn der Schauspieler Ihnen nur einen kleinen Stapel (z. B. 10 % der Daten) gibt, kann er den Betrug oft so perfekt verbergen, dass selbst die besten Werkzeuge nichts merken. Es ist wie ein Zaubertrick: Wenn man nur kurz hinsieht, sieht man den Trick nicht.
• Große Stichproben sind schwerer zu täuschen: Wenn der Schauspieler gezwungen wird, einen riesigen Stapel (z. B. 20 % oder mehr) vorzulegen, wird es für ihn immer schwieriger, alle Karten so zu manipulieren, dass sie nicht auffallen. Der „Trick" wird zu groß, um ihn zu verstecken.
• Einige Methoden sind besser als andere: Die Forscher haben gezeigt, dass bestimmte Manipulationsmethoden (wie das „Verschieben" von Datenpunkten) viel schwerer zu erkennen sind als andere (wie einfaches Umsortieren).

---

💡 Die wichtigsten Lehren für die Praxis

Was bedeutet das für die Welt der KI?

1. Vertraue nicht blind: Nur weil ein Unternehmen sagt „Hier ist eine faire Datenauswahl", heißt das noch lange nicht, dass es fair ist. Sie könnten gerade getäuscht werden.
2. Größe zählt: Der beste Schutz gegen diesen Betrug ist, große Datenmengen zu verlangen. Je mehr Daten der Auditor prüfen darf, desto schwieriger ist es für den Betrüger, den „Fake" zu verstecken.
3. Der ganze Kuchen muss gesehen werden: Die Aufsichtsbehörden sollten nicht nur auf den kleinen, vorgelegten Stapel schauen. Sie sollten Zugriff auf die gesamten Daten haben, um zu prüfen, ob der vorgelegte Stapel wirklich repräsentativ ist.

🏁 Fazit

Dieses Papier zeigt uns, dass die Welt der KI-Audits ein Wettrüsten ist. Während wir neue Methoden entwickeln, um Fairness zu prüfen, finden Betrüger immer ausgeklügeltere mathematische Tricks, um sich „sauber" zu waschen.

Die Botschaft ist klar: Fairness-Audits sind nur dann sicher, wenn wir die Kontrolle über die Daten behalten und nicht zulassen, dass die Geprüften selbst aussuchen dürfen, was sie uns zeigen. Wir müssen den „Zauberern" die Möglichkeit nehmen, den Trick nur für die Kamera zu performen.

Technische Zusammenfassung

Hier ist eine detaillierte technische Zusammenfassung des Papers „Exposing the Illusion of Fairness: Auditing Vulnerabilities to Distributional Manipulation Attacks" auf Deutsch:

1. Problemstellung

Das Paper adressiert eine kritische Schwachstelle im Prozess der Fairness-Audits von KI-Systemen, insbesondere im Kontext der EU-KI-Verordnung (AI Act).

• Kontext: Bei regulatorischen Audits stellt der Auditierte (z. B. ein Unternehmen) typischerweise nur eine Teilmenge (Stichprobe) seiner Daten dem Auditor zur Verfügung, um die Einhaltung von Fairness-Metriken wie dem Disparate Impact (DI) nachzuweisen. Eine Aufsichtsbehörde prüft, ob diese Teilmenge repräsentativ für die gesamte Datenverteilung ist.
• Das Risiko: Ein böswilliger Auditieller kann absichtlich eine Stichprobe auswählen oder manipulieren, die zwar die Fairness-Schwellenwerte erfüllt (z. B. DI $\ge$ 0,8), aber nicht repräsentativ für die tatsächliche, diskriminierende Datenverteilung ist. Dies erzeugt eine „Illusion der Fairness" (Fairwashing).
• Ziel: Die Autoren untersuchen, inwieweit ein Angreifer eine nicht-konforme Ursprungsverteilung so minimal verändern kann, dass die resultierende Stichprobe die Fairness-Bedingungen erfüllt, aber für statistische Tests der Aufsichtsbehörde als repräsentativ erscheint.

2. Methodik und theoretische Grundlagen

Die Arbeit formalisiert das Problem als eine eingeschränkte Projektionsaufgabe (constrained distributional projection). Das Ziel des Angreifers ist es, eine neue Verteilung $Q_t$ zu finden, die:

1. Die Fairness-Bedingung erfüllt (z. B. $DI(f, Q_t) \ge t$).
2. So nah wie möglich an der ursprünglichen Verteilung $Q_n$ liegt, um Entdeckung zu vermeiden.

Die Nähe wird durch zwei verschiedene Distanzmaße definiert, die unterschiedliche Angriffsstrategien ermöglichen:

A. Entropische Projektion (basierend auf KL-Divergenz)

• Ansatz: Minimierung der Kullback-Leibler-Divergenz ($D_{KL}$) zwischen der manipulierten und der ursprünglichen Verteilung unter Einhaltung einer Erwartungswert-Bedingung für die Fairness-Metrik.
• Theorem 1: Die Lösung ist eine exponentiell gewichtete Neuverteilung der ursprünglichen Datenpunkte. Die Gewichte $\lambda_i$ werden so gewählt, dass der neue Erwartungswert der Fairness-Funktion erreicht wird, während die Divergenz minimiert wird.
• Varianten: Es werden zwei Strategien zur Anpassung der Gewichte untersucht:
  • Balanced: Gleiche absolute Änderung für beide Gruppen.
  • Proportional: Änderung proportional zur Gruppengröße.

B. Optimaler Transport (basierend auf Wasserstein-Distanz)

• Ansatz: Minimierung der 2-Wasserstein-Distanz ($W_2$), was einer geometrischen Verschiebung der Datenpunkte entspricht.
• Theorem 2: Die Lösung ist eine Push-Forward-Maß-Transformation ($T_\lambda$), die jeden Datenpunkt $Z_i$ auf einen neuen Punkt $T_\lambda(Z_i)$ abbildet, der die Fairness-Bedingung erfüllt und den Abstand zum Ursprung minimiert.
• Implementierung: Da keine geschlossene Form existiert, wird dies über Gradientenabstieg gelöst.
• Varianten:
  • Grad_balanced / Grad_proportional: Direkte Verschiebung der Features.
  • 1D-Transport: Eine Variante, die sicherstellt, dass diskrete Variablen (z. B. Alter) innerhalb ihrer gültigen Bereiche bleiben, indem sie auf den nächsten erreichbaren Wert im Datensatz projiziert werden.

C. Alternative Angriffsvektoren (ohne Modellzugriff)

• Replace(S, Ŷ): Manipulation nur der sensiblen Attribute ($S$) und der Vorhersagen ($\hat{Y}$), ohne die Eingabemerkmale ($X$) zu ändern. Dies ist besonders effektiv, da es die Verteilung der Features $X$ unverändert lässt.
• MW(X, S, Ŷ): Ein Matching-Algorithmus, der Individuen durch andere aus dem Datensatz ersetzt, um die Fairness zu maximieren und dabei die Distanz zu minimieren.

3. Gegenmaßnahmen: Statistische Tests

Um solche Manipulationen zu erkennen, schlägt das Paper vor, dass Aufsichtsbehörden statistische Tests auf Basis von Verteilungsdistanzen durchführen.

• Hypothesentests: Prüfung, ob die eingereichte Stichprobe $D_n$ und die (zugängliche) Gesamtverteilung $Q_n$ aus derselben Verteilung stammen.
• Verwendete Metriken:
  • Kolmogorov-Smirnov (KS) Test (für 1D).
  • Wasserstein-Distanz.
  • Kullback-Leibler (KL) Divergenz.
  • Maximum Mean Discrepancy (MMD).
• Strategie: Die Behörde zieht Stichproben aus der manipulierten Verteilung und prüft, ob diese die Tests bestehen. Wenn die Distanz zwischen manipuliertem und originalem Datensatz signifikant ist, wird die Nullhypothese (Repräsentativität) verworfen.

4. Wichtige Ergebnisse und Experimente

Die Autoren validierten ihre Theorien an sieben Datensätzen (u. a. Adult, Folktables, Bank Fraud) und verschiedenen Modellen.

• Effektivität der Manipulation:

  • Es ist möglich, die Fairness-Metrik (DI) signifikant zu verbessern (z. B. von 0,30 auf >0,80), während die Verteilung für statistische Tests „unsichtbar" bleibt.
  • Die Methode MW(X, S, Ŷ) (Matching) und die Entropischen Projektionen erwiesen sich als am schwersten zu erkennen. Sie erreichen oft die beste Balance zwischen Fairness-Verbesserung und minimaler Verteilungsverschiebung.
  • Methoden, die die Eingabemerkmale $X$ stark verändern (wie einige Gradienten-basierte Ansätze), werden leichter durch Tests (insbesondere $D_{KL}$ und MMD) erkannt.

• Entdeckungswahrscheinlichkeit:

  • Bei kleinen Stichprobengrößen (z. B. 10% des Datensatzes) können viele Manipulationen unentdeckt bleiben.
  • Mit zunehmender Stichprobengröße (z. B. 20%) sinkt die Wahrscheinlichkeit, dass eine Manipulation unentdeckt bleibt, drastisch.
  • Für Datensätze mit sehr geringer ursprünglicher Diskriminierung (z. B. DI nahe 0,67) oder extremen Klassenungleichgewichten (z. B. Fraud-Daten mit 1% Positivfällen) ist eine Manipulation fast immer erfolgreich und schwer zu erkennen, da nur minimale Änderungen nötig sind.

• Trade-off: Es besteht ein direkter Zielkonflikt zwischen dem Grad der Fairness-Verbesserung und der Distanz zur Originalverteilung. Je mehr Fairness „gefälscht" werden muss, desto größer ist die Distanz und desto höher die Entdeckungsrate.

5. Signifikanz und Empfehlungen

Das Paper hat weitreichende Implikationen für die Regulierung und Praxis von KI-Audits:

1. Vertrauenswürdigkeit von Audits: Globale Fairness-Metriken allein sind unzureichend, wenn der Auditierte die Auswahl der Testdaten kontrolliert. Eine „faire" Stichprobe garantiert keine fairen Modelle im Einsatz.
2. Repräsentativität als Primärziel: Der Fokus muss sich von der reinen Metrik-Prüfung auf die Überprüfung der Repräsentativität der Stichprobe verlagern.
3. Praktische Richtlinien:
   • Stichprobengröße: Aufsichtsbehörden sollten große Stichproben anfordern, da dies den Raum für unentdeckte Manipulationen verkleinert.
   • Kombinierte Tests: Es sollte eine Kombination verschiedener statistischer Tests (KL, Wasserstein, KS, MMD) verwendet werden, um verschiedene Arten von Manipulationen abzudecken.
   • Zugang zu Daten: Audits sollten idealerweise den Zugriff auf den gesamten Datensatz oder zumindest die Möglichkeit beinhalten, eigene, vom Auditierten unabhängige Stichproben zu ziehen.
4. Erweiterbarkeit: Die Methoden funktionieren nicht nur für tabellarische Daten, sondern können (mit geeigneten Embeddings) auch auf Bilder und Text angewendet werden, was die Relevanz für komplexe KI-Systeme unterstreicht.

Fazit: Das Paper zeigt, dass Fairness-Audits einem „Wettrüsten" unterliegen. Ohne strenge Protokolle zur Sicherstellung der Repräsentativität und ohne robuste statistische Gegenmaßnahmen können böswillige Akteure systematisch die Illusion von Fairness erzeugen, was die Wirksamkeit regulatorischer Maßnahmen wie des EU AI Act gefährdet.