Във войната между Deepfake и детекторите на Deepfake

Представете си заплетен филм за майстор престъпник, въвлечен във война на разума с най-великия детектив в света.

Престъпникът се опитва да направи огромен трик за увереност, използвайки експертна ловкост и невероятна способност да се маскира като почти всеки на планетата. Той е толкова добър в това, което прави, че може да накара хората да повярват, че са видели неща, които никога не са се случвали.

Но тогава срещаме детектива. Тя е брилянтен човек, който не спира пред нищо, който може да забележи „разказа“ на всеки крадец. Тя знае точно какво да търси и дори най-малкото поведение - повдигната вежда тук, изпусната гласна там - е достатъчно, за да я предупреди, когато нещо не е наред. Тя е единственият човек, който някога е хващал нашия антагонист и сега отново е по следите му.

Има обаче проблем: нашият крадец знае това тя знае какво да търси. В резултат на това той е променил играта си, без главният герой да го осъзнава.

Проблемът с deepfake

Това по същество е историята на deepfakes и откриването на deepfake досега. Deepfakes, форма на синтетична медия, в която приликите на хората могат да бъдат цифрово променени като Лице/Изкл римейк, режисиран от A.I. изследователи, са причина за безпокойство, откакто се появиха на сцената през 2017 г. Докато много deepfakes са безгрижни (размяна Арни за Слай Сталоун в Терминаторът), те също представляват потенциална заплаха. Deepfakes са използвани за създаване на фалшиви порнографски видеоклипове, които изглеждат истински и са използвани в политически измами, както и във финансови измами.

За да не се превърнат подобни измами в още по-голям проблем, някой трябва да може да се намеси и да каже окончателно кога се използва дълбок фейк и кога не.

Не след дълго се появиха първите детектори за дълбоки фалшификати. До април 2018 г. покрих едно от по-ранните опити да се направи това, който е построен от изследователи от Германския технически университет в Мюнхен. Точно като самата технология deepfake, тя използва A.I. — само че този път създателите му го използваха не за създаване на фалшификати, а за да ги забелязват.

Детекторите за Deepfake работят, като търсят онези детайли от deepfake, които не са доста точно чрез търсене на изображения не само за странни долини, но и за най-малката странна дупка. Те изрязват данни за лица от изображения и след това ги предават през невронна мрежа, за да разберат тяхната легитимност. Подробностите за раздаването може да включват неща като лошо възпроизведено мигане на очи.

Но сега изследователи от Калифорнийския университет в Сан Диего са измислили начин да победят детекторите за дълбоки фалшификати чрез вмъкване на така наречените състезателни примери във видео кадри. Съперническите примери са очарователен – но ужасяващ – проблем в ИИ. Матрица. Те са в състояние да заблудят дори най-умните системи за разпознаване, например, мислейки, че костенурката е пистолет, или еспресото е бейзбол. Те правят това чрез фино добавяне на шум към изображение, така че да накара невронната мрежа да направи грешна класификация.

Все едно да сбъркате пушка с обстреляно влечуго. Или фалшиво видео за истинско.

Заблуждаване на детекторите

„Наскоро имаше скок в методите за генериране на реалистични дълбоки фалшиви видеоклипове,“ Паарт Никхара, студент по компютърно инженерство в UC San Diego, каза пред Digital Trends. „Тъй като тези манипулирани видеоклипове могат да се използват за злонамерени цели, бяха положени значителни усилия в разработването на детектори, които могат надеждно да открият дълбоко фалшиви видеоклипове. Например, Facebook наскоро стартира предизвикателството Deepfake Detection Challenge, за да ускори изследванията за разработване на детектори за дълбоки фалшификати. [Но] докато тези методи за откриване могат да постигнат повече от 90% точност на набор от данни от фалшиви и истински видеоклипове, нашата работа показва, че те могат лесно да бъдат заобиколени от нападател. Нападателят може да инжектира внимателно създаден шум, който е сравнително незабележим за човешкото око, във всеки кадър от видеоклип, така че да бъде класифициран погрешно от детектор на жертви.

Нападателите могат да създават тези видеоклипове, дори и да не притежават конкретни познания за архитектурата и параметрите на детектора. Тези атаки продължават да работят и след като видеоклиповете са компресирани, както биха били, ако се споделят онлайн на платформа като YouTube.

Когато беше тестван, методът беше повече от 99% способен да заблуди системите за откриване, когато получи достъп до модела на детектора. Въпреки това, дори при най-ниските си нива на успех - за компресирани видеоклипове, в които не беше известна информация за моделите на детектора - той все пак ги победи в 78,33% от времето. Това не е добра новина.

Изследователите отказват да публикуват кода си на основание, че може да бъде злоупотребен, отбеляза Neekhara. „Противопоставящите се видеоклипове, генерирани с помощта на нашия код, могат потенциално да заобиколят други невидими детектори за дълбоки фалшификати, които се използват в производството от някои социални медии [платформи]“, обясни той. „Ние си сътрудничим с екипи, които работят върху изграждането на тези системи за дълбоко откриване на фалшификати и използваме нашите изследвания, за да изградим по-стабилни системи за откриване.“

Игра на deepfake котка и мишка

Това не е краят на историята, разбира се. За да се върнем към нашата филмова аналогия, това все още ще бъде само около 20 минути от филма. Все още не сме стигнали до мястото, където детективът разбира, че крадецът си мисли, че я е заблудил. Или до момента, в който крадецът разбира, че детективът знае, че той знае, че тя знае. Или.. получавате картината.

Подобна игра на котка и мишка за дълбоко откриване на фалшификати, която вероятно ще продължи безкрайно, е добре известна на всеки, който е работил в киберсигурността. Злонамерените хакери откриват уязвимости, които след това се блокират от разработчиците, преди хакерите да открият уязвимости в тяхната фиксирана версия, която след това отново се променя от разработчиците. Продължете до безкрайност.

„Да, системите за генериране и откриване на deepfake следват отблизо динамиката на вируса и антивируса,“ Шехзин Хюсеин, доктор по компютърно инженерство в UC San Diego. студент, каза пред Digital Trends. „Понастоящем детекторите за дълбоки фалшификати се обучават върху набор от данни от истински и фалшиви видеоклипове, генерирани с помощта на съществуващи техники за синтез на дълбоки фалшиви изображения. Няма гаранция, че такива детектори ще бъдат безупречно защитени срещу бъдещи системи за генериране на дълбоки фалшиви... За да останем напред в надпреварата във въоръжаването методите за откриване трябва редовно да се актуализират и да се обучават за предстоящи техники за синтез на deepfake. [Те] също трябва да бъдат направени устойчиви на състезателни примери чрез включване на състезателни видеоклипове по време на обучението.“

А документ, описващ тази работа, озаглавен „Adversarial Deepfakes: Evaluating Vulnerability of Deepfake Detectors to Adversarial Examples“, наскоро беше представен на виртуалната конференция WACV 2021.

Препоръки на редакторите

• AI превърна Breaking Bad в аниме – и то е ужасяващо
• Защо AI никога няма да управлява света
• Оптичните илюзии могат да ни помогнат да изградим следващото поколение AI
• Завършващ щрих: Как учените дават на роботите човекоподобни тактилни сетива
• Аналогов AI? Звучи налудничаво, но това може да е бъдещето

Надградете начина си на животDigital Trends помага на читателите да следят забързания свят на технологиите с всички най-нови новини, забавни ревюта на продукти, проницателни редакционни статии и единствени по рода си кратки погледи.