KI Bilderkennungs API mit C2PA und Klassifikator entwickeln

Jemand lädt ein Foto in Ihr Produkt hoch und behauptet, es sei mit einer Kamera aufgenommen worden. Kann Ihr Backend das beweisen oder widerlegen? Bildgeneratoren erzeugen mittlerweile Ergebnisse, die für menschliche Prüfer echt aussehen, sodass „den Augen vertrauen“ schon vor einer Weile aufgehört hat zu funktionieren. Die gute Nachricht ist, dass Sie kein eigenes Modell trainieren müssen, um eine nützliche Antwort zu liefern. Sie können zwei unabhängige Signale, ein kryptografisches Provenienz-Manifest und einen Machine-Learning-Klassifikator, zu einem einzigen Urteil kombinieren, das ehrlicher ist als jedes Signal allein.

Dieses Tutorial führt Sie durch den Aufbau dieses Backends als einen einzigen Dienst mit einem POST /verify-Endpunkt. Sie übergeben ihm ein Bild, und es liefert ein JSON-Urteil mit einem Konfidenz-Score und den gefundenen Provenienz-Details zurück. Wir werden Python und FastAPI für den Server, die Open-Source C2PA-Tools für das Provenienz-Signal und eine gehostete Erkennungs-API für das Klassifikator-Signal verwenden. Da dies ein API-Projekt ist, werden wir zuerst den Endpunkt-Vertrag entwerfen und Apidog verwenden, um ihn zu simulieren und zu testen, damit Ihr Frontend-Team mit der Integration beginnen kann, bevor der Backend-Code fertig ist.

TL;DR

Sie werden einen FastAPI-Dienst erstellen, der POST /verify zur Verfügung stellt, welcher einen Bild-Upload akzeptiert, dessen C2PA Content Credentials Manifest mit der c2pa-python-Bibliothek extrahiert und validiert, einen gehosteten KI-Erkennungs-Klassifikator als zweites unabhängiges Signal aufruft und ein einziges JSON-Urteil (likely_authentic, likely_ai oder uncertain) mit einem Konfidenz-Score und den Rohdaten der Provenienz zurückgibt. Sie werden auch das OpenAPI-Schema für den Endpunkt entwerfen und Apidog verwenden, um einen Mock-Server zu generieren und Endpunkt-Tests dagegen auszuführen.

Button

Warum zwei Signale statt einem

Bevor Sie mit dem Codieren beginnen, ist es hilfreich, sich darüber im Klaren zu sein, was Sie erkennen möchten. Es gibt keine einzelne Eigenschaft einer Datei, die Ihnen sagt „ein Mensch hat dies gemacht“ oder „eine KI hat dies gemacht“. Stattdessen gibt es Anhaltspunkte, und jeder Anhaltspunkt erfasst eine andere Art von Bild, während andere übersehen werden.

Der erste Anhaltspunkt ist die Provenienz. C2PA, die Coalition for Content Provenance and Authenticity, ist ein offener Standard, der fälschungssichere, kryptografisch signierte Metadaten an eine Mediendatei anhängt. Dieses Metadaten-Bündel wird als Manifest bezeichnet, und der benutzerorientierte Name dafür sind Content Credentials. Wenn ein teilnehmendes Tool, eine Kamera, ein Editor oder ein Bildgenerator, ein Bild erstellt oder ändert, kann es ein Manifest schreiben, das aufzeichnet, was passiert ist, und es mit einem Zertifikat signieren. Wenn Sie dieses Manifest lesen und validieren können, erhalten Sie eine starke, überprüfbare Aussage über die Geschichte des Bildes.

Der Haken: C2PA ist Opt-in, und das Manifest ist fragil. Ein Screenshot entfernt es. Eine erneute Kodierung über eine Messaging-App entfernt es. Viele Plattformen entfernen Metadaten beim Hochladen. Ein fehlendes Manifest sagt Ihnen also fast nichts; es bedeutet nicht, dass das Bild gefälscht ist, und es bedeutet auch nicht, dass es echt ist.

Der zweite Anhaltspunkt ist ein statistischer Klassifikator. Ein Erkennungsmodell wird mit Millionen von echten und generierten Bildern trainiert und lernt die visuellen Artefakte, die Generatoren tendenziell hinterlassen. Es funktioniert bei jedem Bild, mit oder ohne Metadaten, ist aber probabilistisch. Es gibt eine Wahrscheinlichkeit zurück, keine Tatsache, und es kann falsch liegen, insbesondere bei Bildern außerhalb seiner Trainingsverteilung oder bei stark komprimierten Bildern.

Keines der Signale ist allein ausreichend. Die Provenienz ist präzise, aber selten vorhanden. Der Klassifikator ist immer verfügbar, aber niemals sicher. Kombinieren Sie sie, und Sie erhalten ein Urteil, das im Wesentlichen besagt: „Hier ist, was die Kryptografie beweist, hier ist, was das Modell schätzt, und hier ist, wie zuversichtlich uns die Kombination macht.“ Das ist das Designziel. Wenn Sie einen tieferen Einblick wünschen, warum Einzel-Signal-Ansätze unzureichend sind, behandelt unser Artikel über warum die KI-Bilderkennung fehlschlägt die Fehlermodi detailliert.

Architekturübersicht

Der Dienst ist absichtlich klein gehalten. Ein Endpunkt, zwei Downstream-Aufrufe, eine kombinierte Antwort.

                ┌─────────────────────────────┐
   image  ──▶   │   FastAPI  POST /verify      │
                │                              │
                │   1. Upload validieren       │
                │   2. ┌──────────────────┐    │
                │      │ C2PA manifest     │    │  Provenienz-Signal
                │      │ (c2pa-python)     │    │
                │      └──────────────────┘    │
                │   3. ┌──────────────────┐    │
                │      │ classifier API    │    │  statistisches Signal
                │      │ (hosted detector) │    │
                │      └──────────────────┘    │
                │   4. zu Urteil kombinieren   │
                └─────────────────────────────┘
                              │
                              ▼
                   JSON-Urteil + Konfidenz

Schritt 1 überprüft, ob der Upload ein echtes Bild eines unterstützten Typs und innerhalb eines Größenlimits ist. Schritt 2 liest das C2PA-Manifest lokal; kein Netzwerkaufruf, nur Parsing und Zertifikatsvalidierung. Schritt 3 sendet die Bild-Bytes über HTTPS an einen gehosteten Klassifikator. Schritt 4 führt die beiden Ergebnisse mit einer kleinen Regelfunktion zusammen und gibt das Urteil zurück.

Die beiden Signalschritte sind unabhängig. Das ist wichtig für die Fehlerbehandlung: Wenn der Klassifikator ein Timeout hat, können Sie immer noch ein teilweises Urteil vom Provenienz-Signal zurückgeben und umgekehrt. Darauf werden wir im Abschnitt zur Härtung zurückkommen.

Für den Stack ist Python 3.10 oder neuer erforderlich, da die C2PA-Bibliothek dies benötigt. Sie werden FastAPI für die Webservices, Uvicorn zum Ausführen, python-multipart für Datei-Uploads, httpx für den ausgehenden Klassifikator-Aufruf und c2pa-python für die Provenienz verwenden.

pip install fastapi "uvicorn[standard]" python-multipart httpx c2pa-python

Das C2PA-Signal

Die Content Authenticity Initiative veröffentlicht unter der GitHub-Organisation contentauth die Open-Source C2PA-Tools. Es gibt zwei Komponenten, von denen Sie hören werden:

c2patool, ein Kommandozeilen-Tool zum Anzeigen und Hinzufügen von Manifesten. Es ist praktisch für eine schnelle Inspektion über ein Terminal. Beachten Sie, dass sein eigenständiges Repository archiviert wurde und das CLI im Rust-Projekt c2pa-rs beheimatet ist.
c2pa-python, die Python-Bindung für dieselbe zugrunde liegende Rust-Bibliothek (c2pa-rs). Dies wird Ihr Dienst verwenden. Es wird auf PyPI als c2pa-python veröffentlicht und mit pip install c2pa-python installiert.

Der Lesepfad der Bibliothek konzentriert sich auf ein Reader-Objekt. Sie zeigen es auf ein Bild und fragen dann nach dem Manifest-Speicher als JSON. Hier ist der Kern des Provenienz-Moduls.

# provenance.py
import json
import c2pa


def read_provenance(image_path: str) -> dict:
    """
    Read and validate the C2PA manifest from an image.
    Returns a normalized dict describing what was found.
    """
    try:
        with c2pa.Reader(image_path) as reader:
            manifest_store = json.loads(reader.json())
    except c2pa.C2paError as err:
        # ManifestNotFound is the expected case for most images.
        if str(err).startswith("ManifestNotFound"):
            return {
                "has_manifest": False,
                "validation": "none",
                "detail": "No C2PA manifest present in this image.",
            }
        # Any other C2paError means the file had C2PA data we could not parse.
        return {
            "has_manifest": True,
            "validation": "error",
            "detail": f"Could not parse manifest: {err}",
        }

    active_label = manifest_store.get("active_manifest")
    manifests = manifest_store.get("manifests", {})
    active = manifests.get(active_label, {})

    # validation_status appears only when there are validation problems.
    validation_status = manifest_store.get("validation_status", [])
    validation = "valid" if not validation_status else "invalid"

    claim_generator = active.get("claim_generator", "unknown")
    signature_issuer = active.get("signature_info", {}).get("issuer", "unknown")

    return {
        "has_manifest": True,
        "validation": validation,
        "claim_generator": claim_generator,
        "signature_issuer": signature_issuer,
        "validation_status": validation_status,
        "detail": "Manifest read successfully.",
    }

Ein paar Anmerkungen dazu, was der Code tut. Der Reader wird als Kontextmanager verwendet, damit die zugrunde liegenden Ressourcen freigegeben werden. reader.json() gibt den vollständigen Manifest-Speicher als JSON-String zurück; die Bibliothek bietet auch reader.detailed_json() an, wenn Sie den ausführlichen Bericht mit jeder Behauptung und Zutat wünschen. Das erwartete Ergebnis für die meisten Uploads ist ein C2paError, dessen Nachricht mit ManifestNotFound beginnt, da die meisten Bilder einfach keine Content Credentials haben. Behandeln Sie dies als Daten, nicht als Fehler.

Wenn ein Manifest vorhanden ist, sind zwei Felder für ein Urteil am wichtigsten. Der String claim_generator verrät Ihnen, welches Tool das Manifest geschrieben hat, zum Beispiel ein Kamera-Firmware-String oder der Name eines KI-Bildwerkzeugs. Das Array validation_status ist leer, wenn die Signatur und Hashes übereinstimmen, und mit Fehlercodes gefüllt, wenn dies nicht der Fall ist. Ein ungültiges Manifest ist ein deutliches Warnsignal, das lautstark gemeldet werden sollte; es bedeutet, dass die Datei eine Historie beansprucht, die die Kryptografie nicht bestätigt.

Was dieses Signal nicht leisten kann: Es kann Ihnen kein Urteil liefern, wenn kein Manifest vorhanden ist, was die meiste Zeit der Fall ist. Genau deshalb benötigen Sie das zweite Signal.

Das Klassifikator-Signal

Der Klassifikator ist eine gehostete API, die die Wahrscheinlichkeit bewertet, dass ein Bild von einer KI generiert wurde. Mehrere Anbieter bieten dies an. Dieses Tutorial verwendet Sightengine, da dessen KI-Erkennungsmodell eine dokumentierte HTTP-API und eine klare Antwortstruktur aufweist, aber das Muster ist für jeden Anbieter gleich; Sie tauschen die URL, die Parameter und das Feld, das Sie lesen, aus. Wenn Sie Optionen abwägen, vergleicht unser Überblick über die besten KI-Bilderkennungs-APIs Genauigkeit, Preise und Abdeckung verschiedener Anbieter.

Sightengines Prüf-Endpunkt ist https://api.sightengine.com/1.0/check.json. Sie senden das Bild als media per POST, setzen models auf genai und übergeben Ihren api_user und api_secret. Die Antwort enthält type.ai_generated, einen Wert von 0 bis 1, wobei ein höherer Wert eine höhere Wahrscheinlichkeit bedeutet, dass es KI-generiert ist.

# classifier.py
import httpx

SIGHTENGINE_URL = "https://api.sightengine.com/1.0/check.json"


async def classify_image(
    image_bytes: bytes,
    filename: str,
    api_user: str,
    api_secret: str,
    timeout_seconds: float = 8.0,
) -> dict:
    """
    Send the image to the hosted detector.
    Returns a normalized dict with the AI-generated score.
    """
    data = {
        "models": "genai",
        "api_user": api_user,
        "api_secret": api_secret,
    }
    files = {"media": (filename, image_bytes)}

    try:
        async with httpx.AsyncClient(timeout=timeout_seconds) as client:
            response = await client.post(SIGHTENGINE_URL, data=data, files=files)
            response.raise_for_status()
            payload = response.json()
    except httpx.TimeoutException:
        return {"available": False, "reason": "classifier_timeout"}
    except httpx.HTTPStatusError as err:
        return {
            "available": False,
            "reason": f"classifier_http_{err.response.status_code}",
        }
    except httpx.HTTPError as err:
        return {"available": False, "reason": f"classifier_error: {err}"}

    if payload.get("status") != "success":
        return {
            "available": False,
            "reason": payload.get("error", {}).get("message", "unknown_error"),
        }

    ai_score = payload.get("type", {}).get("ai_generated")
    if ai_score is None:
        return {"available": False, "reason": "missing_score_in_response"}

    return {"available": True, "ai_score": float(ai_score)}

Die Funktion ist asynchron, sodass ein langsamer Klassifikator den Event-Loop nicht blockiert. Das Timeout ist explizit und kurz; acht Sekunden sind ein sinnvoller Standardwert für einen interaktiven Endpunkt, und Sie sollten ihn an die tatsächliche Latenz Ihres Anbieters anpassen. Jeder Fehlerpfad gibt available: False mit einem maschinenlesbaren Grund zurück, anstatt eine Exception auszulösen. Das ist beabsichtigt: Ein Ausfall des Klassifikators sollte das Urteil beeinträchtigen, aber nicht die Anfrage abstürzen lassen. Die Urteilslogik im nächsten Abschnitt liest available und entscheidet, was zu tun ist.

Behandeln Sie den Score als Schätzung. Ein Wert von 0.92 bedeutet „das Modell ist ziemlich sicher“, nicht „dies ist nachweislich KI“. Anbieter aktualisieren ihre Modelle, und die Genauigkeit variiert je nach Generator und Grad der Bildkomprimierung, bevor es Sie erreicht hat. Für einen umfassenderen Überblick über das Verhalten dieser Tools in der Praxis, lesen Sie unseren Leitfaden wie man prüft, ob ein Bild KI-generiert ist.

Entwurf des /verify-Vertrags

Hier kommt der Teil, in dem sich Apidog bewährt. Bevor Sie den Routen-Handler schreiben, entwerfen Sie die Anfrage und Antwort als OpenAPI-Schema. Dies zuerst zu tun, bietet Ihnen drei Vorteile: eine einzige Quelle der Wahrheit, auf die sich beide Teams einigen, einen Mock-Server, den das Frontend sofort aufrufen kann, und eine Test-Suite, die Sie ausführen können, sobald das Backend existiert.

Die Anfrage

POST /verify akzeptiert einen multipart/form-data-Body mit einem Feld, image, der zu prüfenden Datei. Halten Sie es so einfach. Optionale Abfrageparameter können später hinzugefügt werden.

Die Antwort

Die Antwort ist der Punkt, an dem sich die Designarbeit auszahlt. Sie muss das endgültige Urteil, die Konfidenz und beide Rohsignale anzeigen, damit ein Aufrufer die Entscheidung überprüfen kann. Hier ist die Struktur.

{
  "verdict": "likely_ai",
  "confidence": 0.86,
  "signals": {
    "provenance": {
      "has_manifest": true,
      "validation": "valid",
      "claim_generator": "SomeImageTool/2.1",
      "signature_issuer": "Some Issuing CA"
    },
    "classifier": {
      "available": true,
      "ai_score": 0.91
    }
  },
  "explanation": "Ein gültiges C2PA-Manifest nennt ein KI-Bildwerkzeug, und der Klassifikator bewertete das Bild als wahrscheinlich KI-generiert.",
  "checked_at": "2026-05-21T09:30:00Z"
}

verdict ist einer von drei String-Werten: likely_authentic, likely_ai oder uncertain. Drei Werte, nicht zwei, weil Ehrlichkeit zählt; wenn die Signale widersprüchlich oder beide schwach sind, ist „uncertain“ die richtige Antwort. confidence ist ein Gleitkommawert von 0 bis 1, der beschreibt, wie stark die Signale das Urteil unterstützen. signals enthält beide Roh-Inputs, damit der Aufrufer seine eigene Benutzeroberfläche anzeigen oder seine eigene Richtlinie anwenden kann. explanation ist ein menschenlesbarer Satz für Support-Mitarbeiter und Logs.

Dies als OpenAPI-Schema auszudrücken ist unkompliziert. Hier ist die Antwortkomponente, die Sie in Ihre Spezifikation aufnehmen würden.

components:
  schemas:
    VerifyResponse:
      type: object
      required: [verdict, confidence, signals, checked_at]
      properties:
        verdict:
          type: string
          enum: [likely_authentic, likely_ai, uncertain]
        confidence:
          type: number
          format: float
          minimum: 0
          maximum: 1
        signals:
          type: object
          properties:
            provenance:
              type: object
              properties:
                has_manifest: { type: boolean }
                validation:
                  type: string
                  enum: [valid, invalid, error, none]
                claim_generator: { type: string }
                signature_issuer: { type: string }
            classifier:
              type: object
              properties:
                available: { type: boolean }
                ai_score:
                  type: number
                  format: float
        explanation: { type: string }
        checked_at: { type: string, format: date-time }

Sie können dieses Schema direkt im visuellen Designer von Apidog erstellen oder eine bestehende OpenAPI-Datei importieren. Das Design der API vor der Implementierung ist ein Arbeitsablauf, der sich im Allgemeinen lohnt; unser Spec-First-Modus-Walkthrough zeigt, wie Sie dies End-to-End in Apidog tun.

Der Code-Walkthrough

Nun fügen sich die Teile zusammen. Unten ist die FastAPI-App: Eingabeprüfung, beide Signalaufrufe, die Kombinationsfunktion und die Route.

Kombination der beiden Signale

Die Urteilsfunktion ist das Herzstück des Dienstes. Sie kodiert Ihre Richtlinie. Provenienz ist, wenn gültig und vorhanden, das stärkere Signal, da sie kryptografisch ist; der Klassifikator ist ein Tiebreaker und ein Fallback. Hier ist eine klare, konservative Version.

# verdict.py


def combine_signals(provenance: dict, classifier: dict) -> dict:
    """Merge the provenance and classifier signals into one verdict."""
    has_manifest = provenance.get("has_manifest", False)
    validation = provenance.get("validation", "none")
    generator = (provenance.get("claim_generator") or "").lower()

    classifier_ok = classifier.get("available", False)
    ai_score = classifier.get("ai_score")

    # Heuristic: known AI tools tend to identify themselves in the manifest.
    ai_keywords = ("firefly", "dall-e", "dalle", "midjourney", "stable",
                   "gpt", "gemini", "imagen", "generat")
    generator_looks_ai = any(k in generator for k in ai_keywords)

    # Case 1: a valid manifest naming an AI generator. Strong AI signal.
    if has_manifest and validation == "valid" and generator_looks_ai:
        return _verdict("likely_ai", 0.95,
                        "Ein gültiges C2PA-Manifest nennt ein KI-Bildwerkzeug.")

    # Case 2: a valid manifest from a camera or non-AI editor. Strong authentic signal.
    if has_manifest and validation == "valid" and not generator_looks_ai:
        if classifier_ok and ai_score is not None and ai_score > 0.85:
            return _verdict("uncertain", 0.55,
                            "Manifest sieht authentisch aus, aber der Klassifikator "
                            "ist anderer Meinung; Signale widersprechen sich.")
        return _verdict("likely_authentic", 0.9,
                        "Ein gültiges C2PA-Manifest von einem Nicht-KI-Werkzeug ist vorhanden.")

    # Case 3: a manifest that fails validation. Treat as suspicious.
    if has_manifest and validation in ("invalid", "error"):
        return _verdict("uncertain", 0.6,
                        "Das Bild enthält ein C2PA-Manifest, dessen Validierung fehlgeschlagen ist; "
                        "seine beanspruchte Historie ist unbestätigt.")

    # Case 4: no manifest. Fall back entirely to the classifier.
    if classifier_ok and ai_score is not None:
        if ai_score >= 0.7:
            return _verdict("likely_ai", round(ai_score, 2),
                            "Keine Provenienzdaten; der Klassifikator bewertete das "
                            "Bild als wahrscheinlich KI-generiert.")
        if ai_score <= 0.3:
            return _verdict("likely_authentic", round(1 - ai_score, 2),
                            "Keine Provenienzdaten; der Klassifikator bewertete das "
                            "Bild als wahrscheinlich authentisch.")
        return _verdict("uncertain", 0.5,
                        "Keine Provenienzdaten und der Klassifikator-Score ist "
                        "nicht schlüssig.")

    # Case 5: no manifest and no classifier. We genuinely cannot say.
    return _verdict("uncertain", 0.0,
                    "Keine Provenienzdaten und der Klassifikator war nicht verfügbar.")


def _verdict(verdict: str, confidence: float, explanation: str) -> dict:
    return {"verdict": verdict, "confidence": confidence,
            "explanation": explanation}

Lesen Sie die fünf Fälle durch, und Sie werden die Richtlinie erkennen. Ein gültiges Manifest dominiert. Ein fehlgeschlagenes Manifest ist eine Warnung, kein Beweis für eine Fälschung, daher fällt es unter „uncertain“. Ein Konflikt zwischen einem sauberen Manifest und einem hohen Klassifikator-Score fällt ebenfalls unter „uncertain“, anstatt eine Seite zu wählen. Und wenn beide Signale fehlen, sagt der Dienst dies ehrlich mit null Konfidenz, anstatt zu raten. Sie werden diese Schwellenwerte an Ihre eigene Risikotoleranz anpassen; eine Content-Plattform und eine Nachrichtenredaktion würden die Grenzen anders ziehen.

Die FastAPI-App

# main.py
import os
import tempfile
from datetime import datetime, timezone

from fastapi import FastAPI, UploadFile, File, HTTPException
from fastapi.responses import JSONResponse

from provenance import read_provenance
from classifier import classify_image
from verdict import combine_signals

app = FastAPI(title="AI Image Detector API", version="1.0.0")

ALLOWED_TYPES = {"image/jpeg", "image/png", "image/webp"}
MAX_BYTES = 12 * 1024 * 1024  # 12 MB

SIGHTENGINE_USER = os.environ.get("SIGHTENGINE_API_USER", "")
SIGHTENGINE_SECRET = os.environ.get("SIGHTENGINE_API_SECRET", "")


@app.post("/verify")
async def verify(image: UploadFile = File(...)):
    # 1. Validieren des Uploads.
    if image.content_type not in ALLOWED_TYPES:
        raise HTTPException(
            status_code=415,
            detail=f"Nicht unterstützter Typ {image.content_type}. "
                   f"Senden Sie JPEG, PNG oder WebP.",
        )

    image_bytes = await image.read()
    if len(image_bytes) == 0:
        raise HTTPException(status_code=400, detail="Leere Datei.")
    if len(image_bytes) > MAX_BYTES:
        raise HTTPException(status_code=413, detail="Datei überschreitet 12 MB Limit.")

    # 2. Provenienz-Signal. Der C2PA-Reader benötigt einen Dateipfad,
    #    daher in eine temporäre Datei schreiben und anschließend bereinigen.
    suffix = os.path.splitext(image.filename or "")[1] or ".img"
    with tempfile.NamedTemporaryFile(suffix=suffix, delete=False) as tmp:
        tmp.write(image_bytes)
        tmp_path = tmp.name
    try:
        provenance = read_provenance(tmp_path)
    finally:
        os.unlink(tmp_path)

    # 3. Klassifikator-Signal. Fehler geben available: False zurück, keine Exceptions.
    if SIGHTENGINE_USER and SIGHTENGINE_SECRET:
        classifier = await classify_image(
            image_bytes, image.filename or "upload",
            SIGHTENGINE_USER, SIGHTENGINE_SECRET,
        )
    else:
        classifier = {"available": False, "reason": "classifier_not_configured"}

    # 4. Kombinieren und antworten.
    result = combine_signals(provenance, classifier)
    return JSONResponse({
        "verdict": result["verdict"],
        "confidence": result["confidence"],
        "signals": {
            "provenance": {
                k: provenance.get(k) for k in
                ("has_manifest", "validation", "claim_generator",
                 "signature_issuer")
            },
            "classifier": {
                "available": classifier.get("available", False),
                "ai_score": classifier.get("ai_score"),
            },
        },
        "explanation": result["explanation"],
        "checked_at": datetime.now(timezone.utc).isoformat(),
    })

Führen Sie es lokal mit uvicorn main:app --reload aus, und der Endpunkt ist unter http://127.0.0.1:8000/verify live. Der C2PA-Reader erwartet einen Dateipfad, daher schreibt der Handler den Upload in eine temporäre Datei und löscht sie in einem finally-Block; der Klassifikator arbeitet direkt mit Bytes. Beachten Sie, dass die Anfrage niemals bei einem fehlenden Manifest oder einem nicht vorhandenen Klassifikator abstürzt; beides sind normale Zustände, die die Urteilsfunktion behandelt.

Ein so konzipiertes Backend, ein fokussierter Dienst mit einem sauberen Vertrag, passt zum breiteren Trend von Produkten, die ihre Kernfunktionalität über eine API verfügbar machen. Wenn diese Idee Sie interessiert, ist unser Essay über Software, die kopflos wird, lesenswert.

Testen und Mocken mit Apidog

Hier ist das Workflow-Problem: Ihr Frontend-Team möchte jetzt die Upload-Benutzeroberfläche und das Ergebnispanel erstellen, aber das oben genannte Backend dauert einige Tage, bis es fertiggestellt, mit Schlüsseln versehen und bereitgestellt ist. Sie möchten sie nicht blockieren. Dafür sind Mock-Server da, und hier zahlt sich der Entwurf des Schemas zuerst aus.

Einen Mock-Server aus dem Schema generieren

Importieren Sie das OpenAPI-Schema in Apidog oder erstellen Sie den /verify-Endpunkt im visuellen Designer. Apidog liest das Antwortschema und generiert automatisch einen Mock-Server. Da das Schema Feldtypen und Enums definiert, gibt der Mock Daten zurück, die exakt der Struktur des echten Endpunkts entsprechen: ein verdict, das einer der drei Enum-Werte ist, eine confidence-Gleitkommazahl zwischen 0 und 1, ein gefülltes signals-Objekt. Das Frontend richtet seinen fetch-Aufruf auf die Apidog Mock-URL und erhält ab dem ersten Tag realistische Antworten. Wenn das echte Backend ausgeliefert wird, ändern sie nur eine Basis-URL.

Der Mock ist auch der Ort, an dem Sie die schwierigen Fälle üben, bevor echter Code existiert. Definieren Sie Beispielantworten für die Urteile, die wichtig sind:

eine likely_authentic-Antwort mit einem gültigen Kamera-Manifest,
eine likely_ai-Antwort mit einem im Manifest genannten KI-Tool,
eine uncertain-Antwort, wenn der Klassifikator nicht verfügbar war,
die Fehlerantworten 415 und 413.

Das Frontend kann jeden Zustand, einschließlich der Fehlerzustände, gegen den Mock erstellen und gestalten. So liefern Sie eine Benutzeroberfläche und eine API parallel statt nacheinander aus.

Endpunkt-Tests in Apidog ausführen

Sobald das Backend läuft, erstellen Sie eine Anfrage in Apidog für POST /verify. Legen Sie die Methode fest, richten Sie sie an Ihre lokale URL, und wählen Sie im Tab Body form-data, fügen Sie das Feld image hinzu, setzen Sie dessen Typ auf Datei und wählen Sie ein Testbild von der Festplatte aus.

Senden Sie es, und Apidog zeigt die JSON-Antwort an. Fügen Sie nun Assertions hinzu, damit dies eine wiederholbare Prüfung und kein einmaliger Klick wird:

bestätigen Sie, dass der Antwortstatus 200 ist,
bestätigen Sie, dass verdict existiert und einer der drei erlaubten Strings ist,
bestätigen Sie, dass confidence eine Zahl zwischen 0 und 1 ist,
bestätigen Sie, dass signals.provenance.has_manifest ein Boolean ist.

Erstellen Sie ein kleines Testszenario, das mehrere Uploads nacheinander ausführt: ein Bild mit Content Credentials, ein einfaches JPEG ohne Manifest, eine überdimensionale Datei und eine Nicht-Bilddatei, die mit der Erweiterung .jpg umbenannt wurde. Jede davon überprüft einen anderen Zweig Ihrer Urteilslogik und Ihrer Eingabeprüfung. Speichern Sie das Szenario und Sie können die gesamte Suite nach jeder Änderung erneut ausführen oder in CI integrieren, sodass eine Regression in der Urteilsfunktion den Build fehlschlagen lässt. Das manuelle Testen eines Upload-Endpunkts mit curl wird schnell mühsam; ein gespeichertes Szenario nicht.

Härtung und Grenzfälle

Der Glücksfall ist die einfache 80 Prozent. Ein Verifizierungsdienst steht und fällt mit den anderen 20 Prozent, denn die Eingaben sind von Natur aus adversativ; jemand versucht, ein Bild als etwas auszugeben, was es nicht ist.

Beschädigte oder abgeschnittene Dateien. Eine Datei kann einen Bild-MIME-Typ haben und trotzdem Müll sein. Der C2PA-Reader löst einen C2paError bei Daten aus, die er nicht parsen kann, und die Funktion read_provenance wandelt dies bereits in ein sauberes Ergebnis anstelle eines 500er Fehlers um. Zur zusätzlichen Sicherheit können Sie das Bild mit einer Bibliothek wie Pillow vor der Verarbeitung dekodieren und mit einem 400 ablehnen, wenn die Dekodierung fehlschlägt. Das blockiert auch den Trick mit der umbenannten Textdatei.
Fehlendes Manifest. Abgedeckt, aber es lohnt sich, dies noch einmal zu betonen, da es der häufigste Fall und am einfachsten falsch zu handhaben ist. Kein Manifest ist kein Fehler und kein Urteil. Die Bibliothek signalisiert dies mit einem C2paError, dessen Nachricht mit ManifestNotFound beginnt; der Dienst fängt dies speziell ab und fährt mit dem Klassifikator fort. Lassen Sie niemals zu, dass ein fehlendes Manifest einen 500er Fehler oder ein „gefälschtes“ Urteil erzeugt.
Klassifikator-Timeout oder Ausfall. Der Klassifikator ist eine Netzwerkabhängigkeit von Drittanbietern, daher ist davon auszugehen, dass er manchmal ausfällt. Die Funktion classify_image verwendet ein explizites httpx-Timeout und gibt available: False bei jedem Timeout oder HTTP-Fehler zurück. Die Urteilsfunktion greift dann auf die Provenienz allein zurück oder gibt uncertain mit null Konfidenz zurück, falls ebenfalls kein Manifest vorhanden ist. Der Endpunkt antwortet immer noch mit einem 200 und einem ehrlichen Urteil; ein langsamer Anbieter kann Ihren Dienst nicht zum Absturz bringen.
Gefälschte Manifeste. Ein Manifest kann vorhanden, aber ungültig sein, mit einem schlechten Zertifikat signiert oder mit Hashes, die nicht mit den Pixeln übereinstimmen. Dies ist der Fall, den die Leute vergessen. Überprüfen Sie immer validation_status; ein leeres Array bedeutet, dass das Manifest verifiziert wurde, ein gefülltes bedeutet, dass dies nicht der Fall war. Die Urteilsfunktion behandelt ein fehlgeschlagenes Manifest als Warnung, die auf uncertain landet, niemals als Beweis. Einem unbestätigten Manifest zu vertrauen, ist schlimmer als gar kein Manifest zu haben.
Große Dateien und Missbrauch. Begrenzen Sie die Upload-Größe (das Beispiel verwendet 12 MB) und lehnen Sie alles Größere mit einem 413 ab, bevor Sie den gesamten Body in den Speicher lesen können. Platzieren Sie ein Rate-Limit vor dem Endpunkt; kryptografische Validierung und ein ausgehender API-Aufruf pro Anfrage sind nicht kostenlos, und ein offener Verifizierungs-Endpunkt ist ein einladendes Ziel.
Datenschutz. Sie empfangen Benutzerbilder. Verarbeiten Sie sie im Speicher oder in einer temporären Datei, die Sie sofort löschen, wie im Beispiel gezeigt, und protokollieren Sie keine Bild-Bytes. Wenn Sie Bilder an einen Drittanbieter-Klassifikator senden, erwähnen Sie dies in Ihrer Datenschutzerklärung und stellen Sie sicher, dass dies für Ihren Anwendungsfall zulässig ist.

Was jedes Signal erfasst und übersieht

Diese Tabelle ist das zu behaltende Denkmodell. Sie erklärt, warum der Dienst beide verwendet.

Szenario	C2PA Provenienz-Signal	Klassifikator-Signal
KI-Bild von einem Tool, das Content Credentials schreibt	Erkennt es: Manifest benennt den Generator	Erkennt es meistens: Artefakte vorhanden
KI-Bild mit entfernten Metadaten (Screenshot, erneuter Upload)	Übersieht es: kein Manifest zum Lesen	Erkennt es: arbeitet mit Pixeln, keine Metadaten erforderlich
Echtes Foto von einer Kamera, die Content Credentials signiert	Bestätigt es: gültiges Manifest, Nicht-KI-Generator	Kann bei starker Komprimierung oder Bearbeitung falsch-positiv sein
Echtes Foto ohne Metadaten	Kein Signal: nichts zu validieren	Nur beste Schätzung: probabilistisch, kann falsch sein
Bild mit gefälschtem oder manipuliertem Manifest	Erkennt es: `validation_status` kennzeichnet den Fehler	Kann es erkennen oder auch nicht, hängt von den Pixeln ab
Neuartiger Generator, auf den der Klassifikator nicht trainiert wurde	Erkennt es nur, wenn das Tool ein Manifest schreibt	Übersieht es oft: außerhalb der Trainingsverteilung
Stark bearbeitetes echtes Foto (KI-Retusche auf echter Basis)	Manifest, falls vorhanden, zeichnet die Bearbeitungshistorie auf	Mehrdeutig: teilweise synthetisch, Score liegt im mittleren Bereich

Lesen Sie jede Zeile, und Sie sehen dieselbe Geschichte: Wo ein Signal blind ist, ist das andere oft nicht blind. Die Provenienz ist exakt, aber spärlich; der Klassifikator ist universell, aber unscharf. Das kombinierte Urteil ist vertrauenswürdiger als jede Spalte allein, und der ehrliche Wert uncertain existiert für die Zeilen, in denen beide Signale schwach sind.

Anwendungsfälle in der Praxis

Dieses Muster ist nicht akademisch. Einige Bereiche, in die es direkt passt:

Plattformen für nutzergenerierte Inhalte. Ein Marktplatz oder eine soziale App kann Uploads durch /verify laufen lassen und alles, was als wahrscheinlich KI bewertet wird oder ein Manifest enthält, dessen Validierung fehlschlägt, kennzeichnen oder zur Überprüfung in eine Warteschlange stellen. Das dreiwertige Urteil lässt sich sauber auf „zulassen“, „markieren“ und „an einen Menschen senden“ abbilden.
Nachrichtenredaktionen und Faktenprüfung. Ein Redakteur, der ein virales Bild überprüft, erhält in einem einzigen Aufruf sowohl die kryptografische Provenienz, falls vorhanden, als auch eine unabhängige Modellschätzung, zusammen mit einem Erklärungssatz, den er in seinen Notizen zitieren kann.
Versicherungs- und Schadenbearbeitung. Wenn ein Kunde Fotobeweise einreicht, setzt ein Verifizierungsschritt eine Markierung bei Bildern, die generiert aussehen oder ein manipuliertes Manifest enthalten, bevor ein menschlicher Sachbearbeiter Zeit darauf verwendet.
Interne Asset-Pipelines. Ein Team, das KI-generierte Bilder aus einer Stock-Bibliothek fernhalten oder dort eindeutig kennzeichnen muss, kann die Aufnahme über /verify steuern.
Provenienz-bewusstes Publishing. Da immer mehr Kameras und Editoren Content Credentials übernehmen, kann ein CMS das Manifest beim Upload lesen und ein verifiziertes Abzeichen anzeigen, wobei auf den Klassifikator zurückgegriffen wird, wenn kein Manifest vorhanden ist.

Der gemeinsame Nenner: Sie möchten einen schnellen, automatisierten ersten Durchgang, der ehrlich über seine eigene Unsicherheit ist, damit die menschliche Aufmerksamkeit dorthin gelenkt wird, wo sie tatsächlich benötigt wird.

Fazit

KI-generierte Bilder gut zu erkennen, geht nicht darum, einen perfekten Test zu finden. Es geht darum, unabhängige Signale zu kombinieren und ehrlich mit der Konfidenz umzugehen.

C2PA Content Credentials bieten Ihnen ein starkes, kryptografisch überprüfbares Provenienz-Signal, aber das Manifest ist Opt-in und leicht zu entfernen, daher ist es oft nicht vorhanden.
Ein gehosteter Klassifikator liefert Ihnen ein universelles, aber probabilistisches Signal, das auf jedem Bild, mit oder ohne Metadaten, funktioniert.
Die Kombination dieser in einem kleinen FastAPI-Dienst erzeugt ein dreiwertiges Urteil, likely_authentic, likely_ai oder uncertain, mit einem Konfidenz-Score und beiden Rohsignalen zur Überprüfung.
Der Entwurf des OpenAPI-Vertrags ermöglicht es Ihnen, den Endpunkt in Apidog zu simulieren, sodass das Frontend parallel entwickelt werden kann, und anschließend gespeicherte Testszenarien gegen das reale Backend auszuführen.
Kein Detektor ist perfekt. Zwei Signale erhöhen die Konfidenz; sie eliminieren die Unsicherheit nicht, weshalb das Urteil uncertain eine Funktion und keine Lücke ist.

Um dies in der Realität umzusetzen, entwerfen Sie das /verify-Schema, generieren Sie einen Mock-Server und führen Sie Ihre Endpunkt-Tests an einem Ort aus. Laden Sie Apidog herunter, um die API während des Aufbaus zu entwerfen, zu simulieren und zu testen, und wechseln Sie dann mit einer einzigen Basis-URL-Änderung vom Mock zum Live-Backend.

Button