Wewnątrz wojny między Deepfakes a detektorami Deepfake

Wyobraź sobie kręty film o mistrzu kryminalnym toczącym wojnę rozumu z najlepszym detektywem na świecie.

Przestępca stara się zastosować potężną sztuczkę zaufania, wykorzystując specjalistyczną sztuczkę i niesamowitą umiejętność przebrania się za praktycznie każdą osobę na planecie. Jest tak dobry w tym, co robi, że potrafi sprawić, że ludzie uwierzą, że widzieli rzeczy, które nigdy się nie wydarzyły.

Ale wtedy spotykamy detektywa. Jest błyskotliwą osobą, która niczego nie powstrzymuje i potrafi wykryć „powiedz” każdego złodzieja. Wie, czego szukać, i nawet najdrobniejsze zachowanie – uniesienie brwi tutaj, opuszczenie samogłoski tam – wystarczy, aby zaalarmować ją, gdy coś jest nie tak. Jest jedyną osobą, która kiedykolwiek złapała naszego antagonistę, a teraz znów jest na jego tropie.

Jest jednak problem: nasz złodziej o tym wie ona wie, czego szukać. W rezultacie zmienił swoją grę, a bohater nie zdaje sobie z tego sprawy.

Problem z deepfake’ami

Tak w skrócie wygląda dotychczasowa historia deepfakes i ich wykrywania. Deepfakes, forma mediów syntetycznych, w których podobizny ludzi mogą być cyfrowo zmieniane, np Twarz/Wyłącz remake w reżyserii A.I. badaczy, są powodem do niepokoju, odkąd pojawiły się na scenie w 2017 roku. Chociaż wiele deepfake'ów jest beztroskich (wymiana Arnie w roli Sly’a Stallone’a Terminator), stanowią także potencjalne zagrożenie. Deepfakes wykorzystywano do tworzenia fałszywych filmów pornograficznych, które wyglądają jak prawdziwe, a także do oszustw politycznych i oszustw finansowych.

Aby takie oszustwa nie stały się jeszcze większym problemem, ktoś musi wkroczyć i ostatecznie określić, kiedy używany jest deepfake, a kiedy nie.

Nie trzeba było długo czekać, aby pojawiły się pierwsze wykrywacze deepfake’ów. Do kwietnia 2018 r. pokryłem jedna z wcześniejszych prób osiągnięcia tego celu, który został zbudowany przez naukowców z niemieckiego Uniwersytetu Technicznego w Monachium. Podobnie jak sama technologia deepfake, wykorzystywała ona sztuczną inteligencję. — tyle że tym razem twórcy wykorzystali go nie do tworzenia podróbek, ale do ich wykrywania.

Wykrywacze deepfake działają na zasadzie wyszukiwania szczegółów deepfake, które nimi nie są całkiem przeszukując obrazy nie tylko w poszukiwaniu niesamowitych dolin, ale także najmniejszej niesamowitej dziury. Przycinają dane twarzy ze zdjęć, a następnie przepuszczają je przez sieć neuronową, aby sprawdzić ich autentyczność. Szczegóły rozdania mogą obejmować na przykład źle odwzorowane mruganie oczami.

Ale teraz badacze z Uniwersytetu Kalifornijskiego w San Diego wymyślili sposób na pokonanie detektorów deepfake poprzez wstawienie do klatek wideo tak zwanych przykładów kontradyktoryjnych. Kontrowersyjne przykłady to fascynujący – a jednocześnie przerażający – błąd w sztucznej inteligencji. Matryca. Potrafią oszukać nawet najinteligentniejsze systemy rozpoznawania, na przykład myśląc, że żółw to broń, albo espresso to baseball. Robią to poprzez subtelne dodanie szumu do obrazu, co powoduje, że sieć neuronowa dokonuje błędnej klasyfikacji.

To tak jakby pomylić karabin z gadem ze skorupą. Albo sfałszowany film zamiast prawdziwego.

Oszukiwanie detektorów

„Ostatnio nastąpił gwałtowny wzrost liczby metod generowania realistycznych filmów typu deepfake” Paarth Neekhara, studentka inżynierii komputerowej na Uniwersytecie Kalifornijskim w San Diego, powiedziała Digital Trends. „Ponieważ te zmanipulowane filmy można wykorzystać do złośliwych celów, włożono wiele wysiłku w opracowanie detektorów, które niezawodnie wykrywają fałszywe filmy. Na przykład, Facebook niedawno uruchomił wyzwanie Deepfake Detection Challenge, aby przyspieszyć badania nad opracowaniem detektorów deepfake. [Ale] chociaż te metody wykrywania mogą osiągnąć ponad 90% dokładności w przypadku zestawu danych zawierających fałszywe i prawdziwe filmy, nasza praca pokazuje, że osoba atakująca może je łatwo ominąć. Osoba atakująca może wstrzyknąć starannie spreparowany szum, który jest dość niedostrzegalny dla ludzkiego oka, do każdej klatki wideo, dzięki czemu zostanie błędnie zaklasyfikowany przez detektor ofiary”.

Atakujący mogą stworzyć takie filmy, nawet jeśli nie posiadają konkretnej wiedzy na temat architektury i parametrów detektora. Ataki te nadal działają po skompresowaniu filmów, tak jak miałoby to miejsce w przypadku udostępniania ich online na platformie takiej jak YouTube.

Podczas testów metoda okazała się w ponad 99% zdolna do oszukania systemów detekcyjnych po uzyskaniu dostępu do modelu detektora. Jednak nawet przy najniższym poziomie skuteczności – w przypadku skompresowanych filmów, w których nie były znane żadne informacje o modelach detektorów – nadal pokonywał je w 78,33% przypadków. To nie jest świetna wiadomość.

Neekhara zauważył, że badacze odmawiają publikacji swojego kodu, uzasadniając to tym, że mógłby zostać niewłaściwie wykorzystany. „Wrogie filmy wideo wygenerowane przy użyciu naszego kodu mogą potencjalnie ominąć inne, niewidoczne detektory deepfake, które są wykorzystywane w produkcji przez niektóre [platformy] mediów społecznościowych” – wyjaśnił. „Współpracujemy z zespołami, które pracują nad budowaniem systemów wykrywania deepfake i wykorzystujemy nasze badania do tworzenia solidniejszych systemów wykrywania”.

Deepfake gra w kotka i myszkę

To oczywiście nie koniec tej historii. Wracając do naszej analogii z filmem, film miałby dopiero około 20 minut. Nie dotarliśmy jeszcze do sceny, w której detektyw zdaje sobie sprawę, że złodziej myśli, że go oszukał. Albo do momentu, w którym złodziej zdaje sobie sprawę, że detektyw wie, że on wie, że ona wie. Lub.. Dostajesz obraz.

Taka zabawa w kotka i myszkę służąca do wykrywania deepfake’ów, która prawdopodobnie będzie trwać w nieskończoność, jest dobrze znana każdemu, kto pracował w cyberbezpieczeństwie. Złośliwi hakerzy znajdują luki w zabezpieczeniach, które są następnie blokowane przez programistów, zanim hakerzy znajdą luki w naprawionej wersji, która następnie zostanie ponownie poprawiona przez programistów. Kontynuuj w nieskończoność.

„Tak, systemy generowania i wykrywania deepfake'ów ściśle śledzą dynamikę wirusów i programów antywirusowych” Shehzeena Hussaina, doktor inżynierii komputerowej na Uniwersytecie Kalifornijskim w San Diego. student, powiedział Digital Trends. „Obecnie wykrywacze deepfake są szkolone na zestawie danych obejmującym prawdziwe i fałszywe filmy wygenerowane przy użyciu istniejących technik syntezy deepfake. Nie ma gwarancji, że takie detektory będą niezawodne wobec przyszłych systemów generowania deepfake’ów… Aby wyprzedzić konkurencję w wyścigu zbrojeń metody wykrywania muszą być regularnie aktualizowane i szkolone w zakresie nadchodzących technik syntezy deepfake. [Muszą też] uodpornić się na kontradyktoryjne przykłady poprzez włączenie kontradyktoryjnych filmów podczas szkoleń”.

A artykuł opisujący tę pracę, zatytułowany „Adversarial Deepfakes: Evaluating Vulnerability of Deepfake Detectors to Adversarial Przykłady”, został niedawno zaprezentowany na wirtualnej konferencji WACV 2021.

Zalecenia redaktorów

• Sztuczna inteligencja zamieniła Breaking Bad w anime – i to jest przerażające
• Dlaczego sztuczna inteligencja nigdy nie będzie rządzić światem
• Złudzenia optyczne mogą pomóc nam w zbudowaniu sztucznej inteligencji nowej generacji
• Wykończenie: jak naukowcy nadają robotom zmysły dotyku przypominające ludzkie
• Analogowa sztuczna inteligencja? Brzmi szalenie, ale może to być przyszłość

Ulepsz swój styl życiaDigital Trends pomaga czytelnikom śledzić szybko rozwijający się świat technologii dzięki najnowszym wiadomościom, zabawnym recenzjom produktów, wnikliwym artykułom redakcyjnym i jedynym w swoim rodzaju zajawkom.