Por dentro da guerra entre deepfakes e detectores de deepfake

Imagine um filme sinuoso sobre um mestre do crime travado em uma guerra de inteligência com o maior detetive do mundo.

O criminoso tenta realizar um enorme truque de confiança, usando prestidigitação especializada e uma habilidade incrível de se disfarçar como praticamente qualquer pessoa no planeta. Ele é tão bom no que faz que consegue fazer as pessoas acreditarem que viram coisas que nunca aconteceram de verdade.

Mas então conhecemos o detetive. Ela é uma pessoa brilhante e que não pára diante de nada, que consegue detectar a “diga” de qualquer ladrão. Ela sabe exatamente o que procurar, e até mesmo o menor comportamento – uma sobrancelha levantada aqui, uma vogal caída ali – é suficiente para alertá-la quando algo está errado. Ela é a única pessoa que pegou nosso antagonista e agora está no encalço dele mais uma vez.

No entanto, há um problema: nosso ladrão sabe disso ela sabe o que procurar. Com isso, ele mudou seu jogo, sem que o protagonista percebesse.

O problema do deepfake

Esta é, em essência, a história dos deepfakes e da detecção de deepfakes até agora. Deepfakes, uma forma de mídia sintética em que as imagens das pessoas podem ser alteradas digitalmente como um Se enfrentam remake dirigido por A.I. pesquisadores, têm sido motivo de preocupação desde que surgiram em cena em 2017. Embora muitos deepfakes sejam alegres (trocando Arnie para Sly Stallone em O Exterminador do Futuro), eles também representam uma ameaça potencial. Deepfakes têm sido usados ​​para criar vídeos pornográficos falsos que parecem reais e têm sido usados ​​em fraudes políticas, bem como em fraudes financeiras.

Para que essas fraudes não se tornem um problema ainda maior, alguém precisa ser capaz de intervir e dizer, definitivamente, quando um deepfake está sendo usado e quando não está.

Não demorou muito para que os primeiros detectores de deepfake aparecessem. Em abril de 2018, cobri um dos primeiros esforços para fazer isso, que foi construído por pesquisadores da Universidade Técnica de Munique, na Alemanha. Assim como a própria tecnologia deepfake, ela usou IA. – só que desta vez seus criadores o utilizaram não para criar falsificações, mas para identificá-las.

Os detectores de deepfake funcionam procurando os detalhes de um deepfake que não são bastante certo, vasculhando as imagens em busca não apenas de vales misteriosos, mas também do menor buraco misterioso. Eles cortam dados faciais de imagens e depois os passam por uma rede neural para descobrir sua legitimidade. Os detalhes da oferta podem incluir coisas como piscar de olhos mal reproduzido.

Mas agora pesquisadores da Universidade da Califórnia em San Diego descobriram uma maneira de derrotar detectores de deepfake, inserindo os chamados exemplos adversários em quadros de vídeo. Exemplos adversários são uma falha fascinante – mas assustadora – na IA. Matriz. Eles são capazes de enganar até mesmo o mais inteligente dos sistemas de reconhecimento, fazendo-o, por exemplo, pensando que uma tartaruga é uma arma, ou um expresso é uma bola de beisebol. Eles fazem isso adicionando sutilmente ruído a uma imagem, fazendo com que a rede neural faça a classificação errada.

Como confundir um rifle com um réptil sem carapaça. Ou um vídeo falso por um vídeo real.

Enganando os detectores

“Houve um aumento recente nos métodos para gerar vídeos deepfake realistas”, Paarth Neekhara, estudante de graduação em engenharia da computação da UC San Diego, disse à Digital Trends. “Como esses vídeos manipulados podem ser usados ​​para fins maliciosos, tem havido um esforço significativo no desenvolvimento de detectores que possam detectar vídeos deepfake de forma confiável. Por exemplo, Facebook lançou recentemente o Deepfake Detection Challenge para acelerar a pesquisa sobre o desenvolvimento de detectores deepfake. [Mas] embora esses métodos de detecção possam atingir mais de 90% de precisão em um conjunto de dados de vídeos falsos e reais, nosso trabalho mostra que eles podem ser facilmente contornados por um invasor. Um invasor pode injetar um ruído cuidadosamente elaborado, que é bastante imperceptível ao olho humano, em cada quadro de um vídeo, para que seja classificado incorretamente por um detector de vítimas.”

Os invasores podem criar esses vídeos mesmo que não possuam conhecimento específico da arquitetura e dos parâmetros do detector. Esses ataques também funcionam depois que os vídeos são compactados, como aconteceriam se fossem compartilhados online em uma plataforma como o YouTube.

Quando testado, o método foi mais de 99% capaz de enganar os sistemas de detecção quando teve acesso ao modelo do detector. No entanto, mesmo nos níveis mais baixos de sucesso – para vídeos compactados nos quais nenhuma informação era conhecida sobre os modelos de detectores – ainda os derrotou em 78,33% das vezes. Isso não é uma boa notícia.

Os pesquisadores estão se recusando a publicar seu código, alegando que ele poderia ser mal utilizado, observou Neekhara. “Os vídeos adversários gerados usando nosso código podem potencialmente contornar outros detectores de deepfake invisíveis que estão sendo usados ​​na produção por algumas [plataformas] de mídia social”, explicou ele. “Estamos colaborando com equipes que trabalham na construção desses sistemas de detecção de deepfakes e usando nossa pesquisa para construir sistemas de detecção mais robustos.”

Um jogo de gato e rato deepfake

Este não é o fim da história, é claro. Voltando à nossa analogia com o filme, isso ainda levaria apenas cerca de 20 minutos de filme. Ainda não chegamos ao local em que o detetive percebe que o ladrão pensa que a enganou. Ou até a parte em que o ladrão percebe que o detetive sabe que ele sabe que ela sabe. Ou.. você entendeu.

Esse jogo de gato e rato para detecção de deepfakes, que provavelmente continuará indefinidamente, é bem conhecido de qualquer pessoa que tenha trabalhado com segurança cibernética. Hackers maliciosos encontram vulnerabilidades, que são então bloqueadas pelos desenvolvedores, antes que os hackers encontrem vulnerabilidades em sua versão corrigida, que é então ajustada pelos desenvolvedores mais uma vez. Continue ad infinitum.

“Sim, os sistemas de geração e detecção de deepfakes acompanham de perto a dinâmica de vírus e antivírus”, Shehzeen Hussain, Ph.D. em engenharia da computação na UC San Diego. estudante, disse ao Digital Trends. “Atualmente, os detectores de deepfake são treinados em um conjunto de dados de vídeos reais e falsos gerados usando técnicas existentes de síntese de deepfake. Não há garantia de que tais detectores serão infalíveis contra futuros sistemas de geração de deepfakes… Para ficar à frente na corrida armamentista, os métodos de detecção precisam ser atualizados regularmente e treinados nas próximas técnicas de síntese de deepfake. [Eles] também precisam ser robustos para exemplos adversários, incorporando vídeos adversários durante o treinamento.”

A artigo descrevendo este trabalho, intitulado “Adversarial Deepfakes: Avaliando a vulnerabilidade de detectores Deepfake para exemplos adversários”, foi apresentado recentemente na conferência virtual WACV 2021.

Recomendações dos Editores

• IA transformou Breaking Bad em anime – e é assustador
• Por que a IA nunca dominará o mundo
• Ilusões de ótica podem nos ajudar a construir a próxima geração de IA
• Toque final: como os cientistas estão dando aos robôs sentidos táteis semelhantes aos humanos
• IA analógica? Parece loucura, mas pode ser o futuro

Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.