Open-Source-KI vs. Unternehmens-KI: Was jedes Modell sagt und was nicht

Open-Source-KI vs. proprietäre KI: die zwei Lager

Auf der einen Seite: geschlossene Modelle. Das sind KI-Systeme, auf die man über eine API oder eine Website zugreift. Das Unternehmen kontrolliert die Gewichte (die internen Parameter, die das Modell zum Laufen bringen), und man interagiert ausschließlich über ihre Schnittstelle. Zu diesem Lager gehören OpenAIs GPT-Serie, Anthropics Claude und Googles Gemini. Das Unternehmen kann das Modell aktualisieren, sein Verhalten ändern und die Nutzung überwachen.

Auf der anderen Seite: Open-Weight-Modelle. Das sind Modelle, bei denen der Entwickler die eigentlichen Dateien veröffentlicht, die das Modell zum Laufen bringen. Man kann sie herunterladen, auf eigener Hardware betreiben und nach Belieben modifizieren. Zu diesem Lager gehören Metas Llama, Mistrals Modelle und Googles Gemma-Serie. Sobald die Gewichte öffentlich sind, hat der Entwickler praktisch keine Kontrolle mehr über das, was als nächstes passiert.

Man beachte die sorgfältige Terminologie: «Open-Weight» statt «Open-Source». Die meisten dieser Modelle kommen mit Lizenzen, die bestimmte Nutzungen einschränken. Metas Llama-3-Lizenz zum Beispiel verbietet die Nutzung für Waffenentwicklung, Schadsoftware und Aktivitäten, die «ein Risiko des Todes oder Körperschadens darstellen». Sobald die Gewichte jedoch heruntergeladen sind, beruht die Durchsetzung im Wesentlichen auf dem Ehrensystem.

Was jedes Modell verweigert

Eine Studie des Stanford CRFM, die die Nutzungsrichtlinien von 30 Grundmodell-Entwicklern untersuchte, fand nahezu universelle Übereinstimmung bei einigen Kategorien (illegale Inhalte, Schadsoftware, Kindesmissbrauch) und erhebliche Divergenz bei anderen. So sieht die praktische Landschaft in fünf Kategorien aus, die Nutzer tatsächlich beschäftigen:

Medizinische Beratung. Alle geschlossenen Modelle sprechen Gesundheitsthemen an, aber umhüllen alles mit Haftungsausschlüssen. GPT, Claude und Gemini erklären Wechselwirkungen zwischen Medikamenten, beschreiben Symptome und erörtern Behandlungsoptionen, erinnern aber daran, dass sie keine Ärzte sind. Die Open-Weight-Basismodelle (Llama, Mistral, Gemma) verhalten sich standardmässig ähnlich. Von der Community modifizierte «unzensierte» Versionen geben dieselben Informationen ohne die Haftungsausschlüsse.

Waffen und Explosivstoffe. Hier wird die Kluft grösser. Geschlossene Modelle weigern sich, Syntheseanleitungen für Explosivstoffe oder detaillierte Anleitungen zur Waffenmodifikation bereitzustellen. Open-Weight-Modelle in ihrer Standardkonfiguration tun dasselbe. Unzensierte Community-Varianten diskutieren diese Themen freier, obwohl die von ihnen bereitgestellten Informationen in der Regel nicht detaillierter sind als das, was seit Jahrzehnten in Chemiebüchern oder Militärhandbüchern öffentlich verfügbar ist.

Kontroverse Geschichte. Geschlossene Modelle behandeln sensible historische Themen (Kolonialismus, Kriegsverbrechen, Völkermord) mit großer Vorsicht und aus verschiedenen Perspektiven. Claude und GPT neigen dazu, umfangreichen Kontext hinzuzufügen. Gemini war historisch gesehen am vorsichtigsten und weigerte sich manchmal, sensible historische Figuren überhaupt zu besprechen. Open-Weight-Modelle, insbesondere unzensierte Varianten, behandeln diese Themen ohne die redaktionelle Rahmung.

Erwachseneninhalte. Die klarste Trennlinie. Alle großen geschlossenen Modelle weigern sich, explizit sexuelle Inhalte zu generieren. Unzensierte Open-Weight-Modelle haben diese Einschränkung nicht. Das ist, gemessen am Volumen, der mit Abstand häufigste Grund, warum Menschen unzensierte Modelle suchen.

Politische Meinungen. Geschlossene Modelle sind darauf trainiert, ausgewogene Perspektiven zu präsentieren und Parteinahme zu vermeiden. Die Stanford-Studie ergab, dass OpenAI, Anthropic, Cohere und Midjourney die Nutzung für politische Kampagnen oder Lobbying explizit verbieten, während Google und Meta keine solche Einschränkung auferlegen. Unzensierte Open-Source-Modelle werden die Meinungen ausdrücken, die in ihren Trainingsdaten vorhanden waren, ohne die «beide Seiten»-Rahmung.

Wie «Entzensierung» tatsächlich funktioniert

Wenn ein Unternehmen wie Meta Llama veröffentlicht, hat das Modell bereits einen Prozess namens RLHFEin maschinelles Lernverfahren, bei dem KI-Modelle aus menschlichem Feedback über ihre Ausgaben lernen und lernen, welche Antworten sie priorisieren oder ablehnen sollen. (Reinforcement Learning from Human Feedback, Bestärkungslernen durch menschliches Feedback) durchlaufen. Das Basismodell hat vom gesamten Internet gelernt und weiß über alles Bescheid, einschliesslich Dinge, über die es wohl nicht beiläufig diskutieren sollte. RLHF ist der Prozess, der dem Modell beibringt, wann es «Darüber würde ich lieber nicht sprechen» sagen soll.

Die entscheidende Erkenntnis: RLHF entfernt kein Wissen. Es fügt eine Verhaltensschicht darüber hinzu. Das Modell «weiß» die Information immer noch; es wurde lediglich trainiert, die Diskussion darüber zu verweigern. Deshalb ist Entzensierung überhaupt möglich.

Die Community nutzt zwei Hauptansätze:

Fine-TuningWeiteres Training eines vortrainierten KI-Modells auf spezifischen Daten, um sein Verhalten für einen bestimmten Zweck oder eine spezialisierte Aufgabe anzupassen. auf gefilterten Datensätzen. Das ist die von Eric Hartford mit seiner Dolphin-Modellreihe begründete Methode. Hartford nimmt Instruktions-Datensätze (die Daten, die verwendet werden, um Modellen das Befolgen von Anweisungen beizubringen) und filtert jede Instanz heraus, in der das Modell verweigert, ausweicht oder moralisiert. Dann fine-tunet er das Modell auf diesem bereinigten Datensatz. Das Ergebnis ist ein Modell, das auf Anweisungen reagiert, ohne die Verweigerungsmuster. Hartfords Argument: «Es gibt kein ‘einzig wahres korrektes Alignment‘, und es gibt keinen Grund, warum das OpenAIs Variante von Alignment sein sollte.»

Abliteration. Das ist der chirurgischere Ansatz. Forscher entdeckten, dass Verweigerungsverhalten in Sprachmodellen als eine spezifische Richtung in den internen Aktivierungen des Modells kodiert ist, ein einzelner mathematischer Vektor, der bei Aktivierung eine Verweigerungsantwort erzeugt. Abliteration identifiziert diese «Verweigerungsrichtung» und entfernt sie aus den Modellgewichten durch einen Prozess namens Orthogonalisierung. Die Mathematik ist überraschend elegant: Man modifiziert die Gewichtsmatrix W zu W’ = W – r(r^TW), wobei r der Verweigerungsrichtungsvektor ist. Das verhindert, dass das Modell Aktivierungen entlang der Verweigerungsachse erzeugt, während alle anderen Fähigkeiten intakt bleiben.

Das praktische Ergebnis: Innerhalb von Tagen nach Metas Veröffentlichung eines neuen Llama-Modells erscheinen abliterierte Versionen auf Hugging Face. Der Prozess ist mittlerweile so routinemässig, dass die Community ihn erwartet.

Ist Open-Source-KI gefährlich?

Hier wird die Debatte wirklich interessant, denn die Belege sprechen nicht eindeutig für eine Seite.

Das Argument für Besorgnis. Der KI-Sicherheitsindex 2025 des Future of Life Institute bewertete große KI-Unternehmen anhand ihrer Sicherheitspraktiken. Meta erhielt ein D (1,06 von 4), deutlich unter Anthropics C+ (2,64) und OpenAIs C (2,10). Der Index stellte speziell fest, dass Open-Weight-Veröffentlichungen die Durchsetzung von Sicherheitsmaßnahmen nach der Verteilung erschweren. Die Sorge ist real: Sobald Gewichte öffentlich sind, hat der Entwickler keinen technischen Mechanismus mehr, um Modifikationen zu verhindern.

Das Argument gegen Panik. Der NTIA-Bericht 2024 über Open-Weight-Modelle stellte fest, dass «keine aktuellen Modelle, weder proprietäre noch weit verfügbare, bei diesen Aufgaben einen Mehrwert gegenüber Open-Source-Informationsressourcen bieten», wenn es um CBRN-Risiken (chemisch, biologisch, radiologisch, nuklear) geht. Auf den Punkt gebracht: Aktuelle KI-Modelle lehren Sie nichts über den Bau von Waffen, was Sie nicht bereits in einer Universitätsbibliothek oder durch eine gezielte Suche finden könnten. Die NTIA empfahl Beobachtung statt Einschränkung der Open-Weight-Verbreitung.

Die AI-Frontiers-Forschungsgruppe machte einen ergänzenden Punkt: Die Einschränkung offener Modelle birgt das Risiko, einen «digitalen Feudalismus» zu schaffen, bei dem kritische KI-Technologie von einer Handvoll Konzerne kontrolliert wird, während «wenig Belege» dafür existieren, «dass offene Modelle ein materielles Ansteigen katastrophaler Risiken gegenüber der heutigen Ausgangslage verursachen».

Die ehrliche Einschätzung: Das Informationsgefahren-Argument (dass KI gefährliches Wissen zugänglicher macht) ist genau dort am schwächsten, wo es am alarmierendsten klingt. Chemiebücher, Militärhandbücher, medizinische Referenzwerke: Diese Informationen sind bereits frei verfügbar. Ein KI-Modell, das diese Themen bespricht, schafft kein neues Wissen; es macht bestehendes Wissen etwas gesprächiger. Die echten Risiken liegen bei künftigen Modellen, die Informationen auf neuartige Weise synthetisieren könnten oder Fähigkeiten besitzen, die das übersteigen, was derzeit durch traditionelle Forschung verfügbar ist, aber so weit sind wir noch nicht.

Was das für Sie bedeutet

Wenn Sie geschlossene Modelle nutzen (ChatGPT, Claude, Gemini), erhalten Sie eine kuratierte Erfahrung. Das Modell hat Meinungen darüber, was es diskutiert und was nicht, und diese Meinungen werden vom Unternehmen festgelegt. Das ist nicht grundsätzlich schlecht: Die meisten Nutzer profitieren von Modellen, die nicht beiläufig über die Synthese gefährlicher Chemikalien diskutieren. Aber es bedeutet auch, dass das Unternehmen redaktionelle Entscheidungen darüber trifft, auf welches Wissen Sie über ihr Produkt zugreifen können. (Einen verwandten Blick darauf, wie KI die Softwarequalität verändert, finden Sie in unserem Artikel über KI-Slopware.)

Wenn Sie Open-Weight-Modelle nutzen, haben Sie die Möglichkeit, sie so zu betreiben, wie sie veröffentlicht wurden (mit intakten Sicherheitsleitplanken), oder von der Community modifizierte Versionen zu verwenden. Die Existenz unzensierter Modelle wird nicht verschwinden; die Techniken sind gut verstanden, die Nachfrage ist real, und die Lizenzbeschränkungen sind nach dem Herunterladen der Gewichte nicht mehr durchsetzbar.

Die produktivere Frage ist nicht, ob unzensierte Modelle existieren sollten. Sie lautet: Wie bauen wir Systeme, die wirklich nützlich sind, ohne leichtfertig zu sein, und wie unterscheiden wir zwischen dem Schutz von Nutzern vor Schaden und dem Schutz von Unternehmen vor Haftung? Das sind verschiedene Ziele, und sie erzeugen verschiedene Leitplanken.

Die Architektur der Verweigerung in Open-Source-KI

Inhaltsbeschränkungen in großen Sprachmodellen wirken auf mehreren Ebenen, und zu verstehen, wo im Stack jede Beschränkung liegt, erklärt, warum einige leicht zu entfernen sind und andere nicht.

System-Prompt-Einschränkungen sind die äußerste Schicht. Das sind natürlichsprachige Anweisungen, die jedem Gespräch vorangestellt werden. GPT-4, Claude und Gemini verwenden alle System-Prompts, die Verweigerungskategorien festlegen. Diese werden in Open-Weight-Modellen trivialerweise umgangen, indem man sie einfach entfernt, und in geschlossenen Modellen durch verschiedene «Jailbreak»-Techniken, die trotz ständiger Behebung weiterhin neue Angriffsflächen finden.

RLHFEin maschinelles Lernverfahren, bei dem KI-Modelle aus menschlichem Feedback über ihre Ausgaben lernen und lernen, welche Antworten sie priorisieren oder ablehnen sollen./RLAIF-Alignment ist die Verhaltens-Trainingsschicht. Nach dem Vortraining auf Textkorpora und Instruktions-Fine-TuningWeiteres Training eines vortrainierten KI-Modells auf spezifischen Daten, um sein Verhalten für einen bestimmten Zweck oder eine spezialisierte Aufgabe anzupassen. durchlaufen Modelle Bestärkungslernen durch menschliches (oder KI-)Feedback. Dieser Prozess formt die Antwortverteilung des Modells: Bei einem Prompt über Waffensynthese lernt das Modell, Verweigerungstoken hohe Wahrscheinlichkeit und Compliance-Token geringe Wahrscheinlichkeit zuzuweisen. Entscheidend: RLHF modifiziert nicht, was das Modell in seinen Feed-Forward-Schichten «weiß»; es modifiziert die Richtlinie, die regelt, welches Wissen oberfläche wird. Das Basismodell Llama 3.1 405B wird vor RLHF Themen besprechen, die die chat-fein-getunete Version verweigert.

Sicherheits-Klassifikatoren sind Post-Generierungs-Filter, die Ausgaben vor der Auslieferung bewerten. OpenAI führt einen separaten Klassifikator auf GPT-Ausgaben aus; Anthropic verwendet Methoden der konstitutionellen KI, die Sicherheitsüberlegungen in den Generierungsprozess selbst einbetten. Diese Klassifikatoren erhöhen die Latenz und können in Open-Weight-Deployments einfach dadurch umgangen werden, dass man sie nicht ausführt.

Ein Richtlinienvergleich der Anbieter

Das Stanford Center for Research on Foundation Models analysierte die Nutzungsrichtlinien von 30 Entwicklern und enthüllte aufschlussreiche Divergenzen selbst zwischen Unternehmen, die sich scheinbar über Prinzipien einig sind:

Waffenentwicklung: Allen AI, Anthropic, Meta, Mistral, OpenAI und Stability AI verbieten waffenbezogene Nutzung explizit. Googles Richtlinie für Gemini adressiert «Schaden» allgemein, ohne Waffen namentlich zu nennen. Gemmas permissivere Lizenzierung spiegelt Googles Doppelstrategie wider: strenge Kontrollen beim geschlossenen Produkt, leichtere Einschränkungen beim offenen.

Politische Inhalte: OpenAI, Anthropic, Cohere und Midjourney verbieten politische Wahlkampfarbeit und Lobbying explizit. Google, Meta und Eleven Labs erlegen keine solche Einschränkung auf. Diese Divergenz entspricht genau den Geschäftsmodellen: Unternehmen, die an Grossunternehmen verkaufen (wo politische Voreingenommenheit ein Haftungsrisiko ist), schränken es ein; Unternehmen, die Developer-Ökosysteme umwerben (wo Flexibilität ein Verkaufsargument ist), tun es nicht.

Sexuelle Inhalte: Universelles Verbot bei geschlossenen Anbietern. Unter Open-Weight-Anbietern schränken Meta und Mistral Inhalte mit Minderjährigen und Gewalt eng ein, verbieten aber explizite Erwachseneninhalte nicht pauschal. Das schafft den rechtlichen Spielraum für Community-Fine-Tunes.

Medizinische/rechtliche/finanzielle Beratung: Acht von 30 Entwicklern verbieten die Nutzung für professionelle Beratung. Der Rest schweigt, was rechtlich interessant ist: Schweigen in einer Nutzungsrichtlinie ist keine Erlaubnis, aber auch kein Verbot.

Ein bemerkenswerter Befund: Nur 3 von 10 führenden Entwicklern legen ihre Durchsetzungsmechanismen offen. Nur 2 erklären Nutzern Richtlinienverstösse. Die Transparenzlücke zwischen KI-Entwicklern und Social-Media-Unternehmen (die regelmässige Transparenzberichte veröffentlichen) bleibt groß.

Die Mechanik der Entzensierung

Methode 1: Datensatzfilterung + Fine-Tuning. Eric Hartfords Ansatz, dokumentiert in seinem technischen Blogbeitrag, funktioniert durch die Pflege des Instruktions-Datensatzes. Standard-Instruktionsdatensätze werden mit ChatGPTs API generiert, was bedeutet, dass sich ChatGPTs Alignment-Präferenzen auf alle Modelle ausbreiten, die auf diesen Daten trainiert werden. Hartfords Prozess: einen bestehenden Instruktionsdatensatz nehmen, programmatisch jede Instanz identifizieren und entfernen, in der die Antwort Verweigerungssprache enthält («Ich kann nicht», «Ich bin nicht in der Lage», «Als KI»), dann das Basismodell auf diesem gefilterten Datensatz fine-tunen. Das resultierende Modell behält die Instruktionsbefolgungsfähigkeit bei, verliert aber die Verweigerungsverteilung.

Die Rechenkosten sind bescheiden. Der NTIA-Bericht stellte fest, dass «das Wegtrain der Sicherheitsfunktionen von Llama 2-Chat 13B unter Beibehaltung der Modellleistung weniger als 200 Dollar kostet». Das Fine-Tuning eines 7-Milliarden-Parameter-Modells auf einem gefilterten Datensatz kann auf einer einzelnen Consumer-GPU mit 24 GB VRAM in weniger als einem Tag mit QLoRA (Quantized Low-Rank Adaptation) durchgeführt werden.

Methode 2: Abliteration (Aktivierungsengineering). Das ist mechanistisch interessanter. Die Technik nutzt die Tatsache aus, dass Verweigerungsverhalten in Transformer-Modellen als Merkmal niedrigen Rangs im ResidualstromIn Transformer-Netzwerken die laufende Summe, die durch das Modell fließt und Schicht für Schicht Repräsentationen des Eingabetexts akkumuliert. kodiert ist, nicht über das gesamte Modell verteilt.

Der Prozess läuft in fünf Schritten ab:

1. Datensammlung. Gepaarte Prompts zusammenstellen: einen Satz, der Verweigerung auslöst, einen der konforme Antworten erhält. Aktivierungsvektoren über alle Transformer-Schichten für beide Sätze aufzeichnen.
2. Differenzvektor-Berechnung. Mittlere Aktivierungsvektoren für Verweigern-vs-Compliance-Zustände auf jeder Schicht berechnen. PCA anwenden, um die dominante Variationsrichtung zu extrahieren: die «Verweigerungsrichtung».
3. Schicht-Identifikation. Verweigerung konzentriert sich in mittleren bis späten Transformer-Schichten (typischerweise Schichten 15-25 in einem 32-Schichten-Modell). Das ermöglicht gezielte Eingriffe statt einer Modifikation des gesamten Modells.
4. Gewichts-Orthogonalisierung. Gewichtsmatrix W zu W’ = W – r(r^TW) modifizieren, wobei r der Einheitsverweigerungsrichtungsvektor ist. Diese orthogonale Projektion verhindert mathematisch, dass das Modell Aktivierungen entlang der Verweigerungsachse erzeugt.
5. Validierung. Auf zuvor verweigerten Prompts und Standard-Benchmarks testen. Gut ausgeführte Abliteration bewahrt allgemeine Fähigkeitswerte (MMLU, HumanEval) und eliminiert gleichzeitig das Verweigerungsverhalten.

Die Eleganz der Abliteration besteht darin, dass sie zeigt: Verweigerung ist geometrisch überraschend einfach. RLHF, trotz des teuren Trainingsprozesses, erzeugt eine Verhaltensänderung, die durch eine einzige Richtung in einem hochdimensionalen Raum beschrieben werden kann. Das hat Implikationen für die KI-Sicherheitsforschung: Wenn Sicherheitsverhalten so schwach ausgeprägt ist, könnte es in Open-Weight-Kontexten grundsätzlich schwierig sein, es robust gegen motivierte Entfernung zu gestalten.

Die Risikolandschaft: Was die Forschung sagt

Der KI-Sicherheitsindex Sommer 2025 des Future of Life Institute bewertete sieben führende KI-Unternehmen anhand von 33 Indikatoren in sechs Bereichen. Die Ergebnisse zeichnen ein differenziertes Bild:

• Anthropic erzielte den höchsten Score mit C+ (2,64/4), anerkannt für substanzielle Biorisiko-Evaluierungspraktiken
• OpenAI erhielt C (2,10/4), ausgezeichnet durch seine veröffentlichte Hinweisgeberschutz-Richtlinie
• Google DeepMind erreichte C- (1,76/4)
• Meta erhielt D (1,06/4)
• Nur drei Unternehmen (Anthropic, OpenAI, Google DeepMind) führen substanzielle Tests auf gefährliche Fähigkeiten im Bereich Biosicherheit und Cyberterrorismus durch

Aber der FLI-Index misst primär unternehmerische Sicherheitspraktiken, nicht Risiken auf Modellebene. Die Bewertung tatsächlicher Modellfähigkeiten durch die NTIA erzählte eine andere Geschichte: «Keine aktuellen Modelle, weder proprietäre noch weit verfügbare, bieten bei diesen Aufgaben einen Mehrwert gegenüber Open-Source-Informationsressourcen» für CBRN-Bedrohungen. Das marginale Risiko offener Gewichte im Vergleich zu bereits online verfügbaren Informationen bleibt unklar.

Die AI-Frontiers-Gruppe fügte wichtigen Kontext hinzu: Open-Weight-Modelle haben bereits zehntausende Derivate auf Hugging Face, was Fachexperten ermöglicht, spezialisierte Anwendungen in Medizin, Recht und Bildung zu entwickeln, die geschlossene Modelle nicht bedienen können. Die Einschränkung offener Gewichte zur Missbrauchsprävention würde gleichzeitig diese nützlichen Anwendungen verhindern.

Die ehrliche technische Einschätzung: Modelle der aktuellen Generation erhöhen Informationsgefahren nicht wesentlich über bestehende Ausgangswerte hinaus. Die NTIA empfiehlt ausdrücklich Beobachtung statt Einschränkung. Das Risikokalkül könnte sich mit fähigeren künftigen Modellen ändern, insbesondere solchen, die auf proprietären Datensätzen (klassifizierte Forschung, unveröffentlichte biologische Sequenzen) trainiert werden oder über substanziell verbessertes mehrstufiges Denken über physische Prozesse verfügen. Aber dieses Risiko ist spekulativ und zukunftsorientiert, und auf Spekulation aufgebaute Politik hat eine schlechte Erfolgsbilanz.

Das strukturelle Anreizproblem

Es gibt eine Dimension dieser Debatte, die technisch selten diskutiert wird: die wirtschaftlichen Anreize, die Sicherheitsentscheidungen prägen.

Anbieter geschlossener Modelle (OpenAI, Anthropic, Google) haben ein finanzielles Interesse daran, Open-Weight-Modelle als gefährlich darzustellen. Jeder Nutzer, der Llama lokal betreibt, ist ein Nutzer, der nicht für API-Aufrufe zahlt. «Sicherheit» und «Wettbewerbsvorteil» sind nicht dasselbe, können aber von außen identisch aussehen. Wenn OpenAI für Regulierung lobbyiert, die Open-Weight-Konkurrenten benachteiligen würde, bietet das Sicherheitsargument Deckung für das, was auch eine Geschäftsstrategie ist.

Open-Weight-Befürworter (Meta, Mistral, die breitere Open-Source-Community) haben ihre eigenen Anreize: Ökosystem-Lock-in über einen anderen Mechanismus. Meta gibt Llama kostenlos heraus, weil ein Ökosystem von Llama-basierten Anwendungen Metas Relevanz im KI-Stack erhöht. Mistral verteilt Modelle offen, um mit gut finanzierten geschlossenen Konkurrenten zu konkurrieren. Keiner tut das aus reinem ideologischem Engagement für Offenheit.

Das Verstehen dieser Anreize löst die Sicherheitsfrage nicht, aber es sollte Sie skeptisch gegenüber jedem machen, der behauptet, die Antwort sei offensichtlich.