Eine neue Schrift namens Ghost Font verspricht, Texte für KI-Modelle unlesbar zu machen, während Menschen sie mühelos entziffern. Der Trick klingt nach der Wunderwaffe gegen KI-Scraper, scheitert aber schon an den ersten neugierigen Entwicklern.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenGhost Font besteht aus Punkten, die auf einem Standbild wie reines Rauschen aussehen und erst in Bewegung ein Wort ergeben. Der Entwickler Eric Lu vom Anbieter Mixfont will damit Inhalte vor dem automatischen Auslesen schützen. Innerhalb weniger Stunden haben Leser auf Hacker News die Verschleierung mit kurzen Skripten wieder geknackt.
Das Wichtigste in Kürze
- Bewegung als Versteck: Ein einzelnes Vollbild zeigt nur Rauschen, lesbar wird die Botschaft erst im Video.
- Falsche Annahme: Der Schutz beruht darauf, dass KI nur Einzelbilder auswertet. Eine Bewegungsanalyse hebt ihn mit wenigen Zeilen Code auf.
- Verschleierung statt Schutz: Selbst die Macher räumen ein, dass ein Agent mit Code-Ausführung die Schrift entschlüsselt.
- Was wirklich hilft: Serverseitige Zugangssperren und der maschinenlesbare Nutzungsvorbehalt nach §44b UrhG.
Wie funktioniert Ghost Font?

Die Schrift dreht das Prinzip einer gewöhnlichen Textdatei um. Statt fester Buchstaben liefert Ghost Font ein Video, in dem sich der Hintergrund gleichmäßig bewegt, während die eigentlichen Zeichen stillstehen. Für das Auge entsteht daraus ein lesbares Wort, ein Screenshot zeigt dagegen nur ein Feld aus zufälligen Punkten.
Zusätzlich baut der Anbieter eine Köder-Botschaft ein, die falsche Fährten legen soll.[1] Nach Darstellung von Mixfont sind mehrere aktuelle Modelle am Entschlüsseln gescheitert, eines habe nach 19 Minuten eine Botschaft halluziniert, die gar nicht existierte.
Warum hält die KI-Sperre nicht?
Der Denkfehler steckt in der Annahme, ein KI-Modell betrachte immer nur einzelne Frames. Sobald ein Programm die Bilder eines Videos voneinander abzieht oder die Bewegung der Punkte per optischem Fluss verfolgt, tritt der stehende Text sofort hervor. Genau das haben Leser auf Hacker News vorgeführt: Ein Skript aus rund 20 Zeilen Python mit der Funktion cv2.phaseCorrelate hat genügt, um die Botschaft auszulesen.
Der Anbieter selbst gesteht die Grenze ein. Ein Agent mit lokaler Code-Ausführung könne die Bewegung analysieren und die Schrift entziffern. Damit ist Ghost Font Verschleierung, kein Schutz.
Das Muster ist bekannt. Jeder Versuch, ausgelieferte Inhalte im Browser vor Maschinen zu verstecken, verliert, weil die Daten den Client ohnehin erreichen. Googles Content-Signale in der robots.txt hat der Konzern selbst für weitgehend wirkungslos erklärt, und wo IP-Sperren greifen sollen, tarnen sich Scraper hinter Millionen privater Anschlüsse.
Ghost Font bedient einen alten Reflex: Ausgelieferte Inhalte lassen sich nicht zugleich vor der Maschine verbergen. Schutz entsteht auf dem Server und im Recht, nicht in einer trickreichen Schriftart.
— Markus Seyfferth, Chefredakteur Dr. Web
Wie die bewegungsbasierte Schrift Text vor KI verstecken will und warum die Sperre nicht hält.
Der Anspruch
Laut Mixfont können führende KI-Modelle die Schrift nicht ohne Weiteres entziffern. Eine eingebaute Köder-Botschaft soll zusätzlich in die Irre führen.
Die Realität
Die Hacker-News-Community hat die Botschaft mit wenigen Zeilen Code entschlüsselt. Auch der Anbieter räumt ein, dass ein Agent mit Code-Ausführung sie liest.
Was schützt Inhalte wirklich vor KI?
Wirksamer Schutz setzt dort an, wo der Inhalt das Gerät noch nicht verlassen hat. Zugang steuern schlägt optische Tricks: Wertvolle Texte hinter einer Anmeldung oder Bezahlschranke entziehen sich dem freien Auslesen. Auch die Frage nach der Urheberschaft frei hochgeladener Dateien entscheidet sich am Zugang, nicht an der Darstellung.
Die zweite Ebene ist rechtlich. Das deutsche Urheberrecht erlaubt Rechteinhabern in §44b UrhG einen Nutzungsvorbehalt gegen Text und Data Mining.[2] Bei online zugänglichen Werken wirkt dieser Vorbehalt allerdings nur, wenn er maschinenlesbar erklärt ist, etwa per robots.txt, Meta-Tag oder tdmrep.json. Was genau als maschinenlesbar gilt, ist vor dem Landgericht Hamburg bis heute umstritten.
Für Redaktionen und Shops im DACH-Raum heißt das vor allem, den Zugang serverseitig zu steuern und den Nutzungsvorbehalt maschinenlesbar zu hinterlegen. Besonders wertvolle Inhalte lassen sich zudem lizenzieren, statt sie zu verstecken. Ein Blick auf die Grundlagen der Sichtbarkeit in generativen Suchmaschinen hilft, den Spagat zwischen Auffindbarkeit und Schutz bewusst zu ziehen. Ganz unsichtbar zu werden, ist im offenen Web ohnehin weder machbar noch immer erwünscht, wie auch die Debatte um KI-generierte Inhalte in sozialen Netzwerken zeigt.
Quellen
[1] Mixfont: „Ghost Font“ ↩
[2] Bundesministerium der Justiz: „§44b UrhG – Text und Data Mining“ ↩
Mehr Newshunger?
- Google erklärt KI-Opt-out in der robots.txt für wirkungslos
- Residential Proxies: Wie sich KI-Scraper hinter Millionen Privat-IPs verstecken
- KI-Inhalte sind überall auf Social Media, besonders auf LinkedIn
- Search Console für Creator: Google misst Social- und Video-Plattformen
- B2B SEO im Maschinenbau: Wo B2C-Regeln versagen