Dentro de la guerra entre deepfakes y detectores de deepfake

Imagine una película retorcida sobre un maestro criminal atrapado en una guerra de ingenio con el mejor detective del mundo.

El criminal busca realizar un enorme truco de confianza, utilizando un juego de manos experto y una asombrosa habilidad para disfrazarse de prácticamente cualquier persona en el planeta. Es tan bueno en lo que hace que puede hacer que la gente crea que vio cosas que en realidad nunca sucedieron.

Pero luego conocemos al detective. Es una persona brillante que no se detiene ante nada y puede detectar el "aviso" de cualquier ladrón. Sabe exactamente qué buscar, e incluso el comportamiento más mínimo (una ceja levantada por aquí, una vocal caída por allá) es suficiente para alertarla cuando algo anda mal. Ella es la única persona que ha atrapado a nuestro antagonista, y ahora está tras su pista una vez más.

Sin embargo, hay un problema: nuestro ladrón sabe que ella sabe qué buscar. Como resultado, ha cambiado su juego, sin que el protagonista se dé cuenta.

El problema de los deepfakes

Esta es, en esencia, la historia de los deepfakes y su detección hasta el momento. Deepfakes, una forma de medio sintético en el que la imagen de las personas se puede alterar digitalmente como un Cara/Apagado remake dirigido por A.I. investigadores, han sido motivo de preocupación desde que aparecieron en escena en 2017. Si bien muchos deepfakes son alegres (intercambiando Arnie por Sly Stallone en El terminador), también representan una amenaza potencial. Los deepfakes se han utilizado para crear vídeos pornográficos falsos que parecen reales y se han utilizado en engaños políticos, así como en fraudes financieros.

Para que estos engaños no se conviertan en un problema aún mayor, alguien debe poder intervenir y decir, definitivamente, cuándo se utiliza un deepfake y cuándo no.

No pasó mucho tiempo hasta que aparecieron los primeros detectores de deepfake. En abril de 2018, cubrí uno de los esfuerzos anteriores para hacer esto, que fue construido por investigadores de la Universidad Técnica de Munich en Alemania. Al igual que la propia tecnología deepfake, utilizó A.I. — sólo que esta vez sus creadores lo utilizaron no para crear falsificaciones, sino para detectarlas.

Los detectores de deepfake funcionan buscando aquellos detalles de un deepfake que no son bastante justo al buscar imágenes no solo en busca de valles extraños, sino también del más mínimo bache extraño. Recortan datos faciales de imágenes y luego los pasan a través de una red neuronal para determinar su legitimidad. Los detalles del sorteo pueden incluir cosas como un parpadeo mal reproducido.

Pero ahora investigadores de la Universidad de California en San Diego han ideado una forma de derrotar a los detectores de deepfake insertando lo que se llama ejemplos contradictorios en fotogramas de vídeo. Los ejemplos contradictorios son un fallo fascinante, aunque aterrador, en el sistema de inteligencia artificial. Matriz. Son capaces de engañar incluso a los sistemas de reconocimiento más inteligentes para que, por ejemplo, pensar que una tortuga es un arma, o un espresso es una pelota de béisbol. Lo hacen añadiendo sutilmente ruido a una imagen para que la red neuronal realice una clasificación incorrecta.

Como confundir un rifle con un reptil con caparazón. O un vídeo falso por uno real.

Engañando a los detectores

"Ha habido un aumento reciente en los métodos para generar videos deepfake realistas". Paarth Neekhara, dijo a Digital Trends un estudiante de posgrado en ingeniería informática de UC San Diego. “Dado que estos videos manipulados pueden usarse con fines maliciosos, se ha realizado un esfuerzo significativo para desarrollar detectores que puedan detectar videos deepfake de manera confiable. Por ejemplo, Facebook lanzó recientemente el Desafío de detección de deepfake para acelerar la investigación sobre el desarrollo de detectores de deepfake. [Pero] si bien estos métodos de detección pueden lograr más del 90% de precisión en un conjunto de datos de videos falsos y reales, nuestro trabajo muestra que un atacante puede eludirlos fácilmente. Un atacante puede inyectar un ruido cuidadosamente elaborado, que es bastante imperceptible para el ojo humano, en cada fotograma de un vídeo para que un detector de víctimas lo clasifique erróneamente”.

Los atacantes pueden crear estos vídeos incluso si no poseen conocimientos específicos de la arquitectura y los parámetros del detector. Estos ataques también siguen funcionando después de que los videos se comprimen, como lo harían si se compartieran en línea en una plataforma como YouTube.

Cuando se probó, el método tenía más del 99% de capacidad para engañar a los sistemas de detección cuando se les daba acceso al modelo de detector. Sin embargo, incluso en sus niveles de éxito más bajos (para vídeos comprimidos en los que no se conocía información sobre los modelos de detectores), los derrotó el 78,33% de las veces. Esa no es una gran noticia.

Los investigadores se niegan a publicar su código porque podría usarse indebidamente, señaló Neekhara. "Los videos conflictivos generados usando nuestro código pueden potencialmente eludir otros detectores de deepfake invisibles que están siendo utilizados en producción por algunas [plataformas] de redes sociales", explicó. "Estamos colaborando con equipos que están trabajando en la construcción de estos sistemas de detección de deepfake y estamos utilizando nuestra investigación para construir sistemas de detección más sólidos".

Un juego de gato y ratón deepfake

Por supuesto, este no es el final de la historia. Volviendo a nuestra analogía con la película, esto todavía sería solo unos 20 minutos después de la película. Aún no hemos llegado a la escena en la que el detective se da cuenta de que el ladrón cree que la ha engañado. O hasta el momento en que el ladrón se da cuenta de que el detective sabe que él sabe que ella sabe. O.. te dan la imagen.

Este tipo de juego del gato y el ratón para la detección de deepfakes, que probablemente continuará indefinidamente, es bien conocido por cualquiera que haya trabajado en ciberseguridad. Los piratas informáticos maliciosos encuentran vulnerabilidades, que luego son bloqueadas por los desarrolladores, antes de que los piratas informáticos encuentren vulnerabilidades en su versión reparada, que luego los desarrolladores modifican una vez más. Continuar hasta el infinito.

"Sí, los sistemas de generación y detección de deepfakes siguen de cerca la dinámica de los virus y antivirus". Shehzeen Hussain, un doctorado en ingeniería informática de UC San Diego. estudiante, dijo a Digital Trends. “Actualmente, los detectores de deepfake se entrenan en un conjunto de datos de videos reales y falsos generados utilizando técnicas de síntesis de deepfake existentes. No hay garantía de que tales detectores sean infalibles contra futuros sistemas de generación de deepfake... Para mantenerse a la vanguardia En la carrera armamentista, los métodos de detección deben actualizarse periódicamente y capacitarse sobre las próximas técnicas de síntesis de deepfake. [Ellos] también deben ser resistentes a los ejemplos contradictorios incorporando videos contradictorios durante el entrenamiento”.

A artículo que describe este trabajo, titulado “Adversarial Deepfakes: Evaluación de la vulnerabilidad de los detectores Deepfake a ejemplos adversarios”, se presentó recientemente en la conferencia virtual WACV 2021.

Recomendaciones de los editores

• La IA convirtió Breaking Bad en un anime, y es aterrador
• Por qué la IA nunca gobernará el mundo
• Las ilusiones ópticas podrían ayudarnos a construir la próxima generación de IA
• Toque final: cómo los científicos están dando a los robots sentidos táctiles similares a los humanos
• ¿IA analógica? Parece una locura, pero podría ser el futuro.

Mejora tu estilo de vidaDigital Trends ayuda a los lectores a mantenerse al tanto del vertiginoso mundo de la tecnología con las últimas noticias, reseñas divertidas de productos, editoriales interesantes y adelantos únicos.