Detektory DeepFake zostały pokonane. Zagrożenie manipulacją znowu wzrosło
Jakiś czas temu wydawało się, że jedna z największych plag współczesnego internetu została pokonana, a wszystko za sprawą specjalistycznych detektorów, ale nic z tego, DeepFake znowu stał się zagrożeniem.
Przypominamy w dużym skrócie, że DeepFake to technologia, która z udziałem sztucznej inteligencji pozwala na niezwykle realistycznie wyglądającą podmianę osób występujących w materiałach wideo, co z jednej strony jest bardzo fascynujące, a z drugiej doprowadziło już do wielu nadużyć, jak wykorzystywanie wizerunku znanych osób w filmach porno czy kradzieże tożsamości. W pewnym momencie wydawało się jednak, że udało się podjąć walkę z tym zjawiskiem, a to za sprawą specjalnych detektorów, ale wygląda na to, że byliśmy w błędzie. Naukowcy udowodnili właśnie, że detektory DeepFake można obejść, a wszystko przez podanie sztucznej inteligencji tzw. próbek przeciwstawnych dla każdej klatki.
Próbki przeciwstawne to specjalne materiały, które powodują, że sztuczna inteligencja, jak np. modele maszynowego uczenia, popełniają błędy - co więcej, zespół pokazał, że całość działa nawet po kompresji wideo. W DeepFake’ach twarz osoby jest modyfikowana, żeby stworzyć maksymalnie realistyczny efekt i wydarzenia, jakie nigdy nie miały miejsca. W efekcie detektory skupiają się na twarzach w wideo, najpierw je śledząc, a następnie wysyłając dane do sieci neuronowej, która ustala, czy są prawdziwe, czy też fałszywe. Dla przykładu, mruganie nie jest dobrze reprodukowane w DeepFake’ach, więc detektory skupiają się też na ruchach oka, jak jednej z możliwości weryfikacji.
Tyle że właśnie okazuje się, że jeśli atakujący zdobędzie pewną wiedzą o docelowym systemie detekcji, jest w stanie stworzyć specjalne treści, które będą przygotowane do kamuflowania słabych punktów DeepFake’ów i obchodzenia detektorów. Mówiąc w dużym skrócie, wystarczy stworzyć obrazy odpowiednio zmodyfikowanej twarzy, a następnie umieścić je między klatkami wideo - co prawda kompresja czy zmiana rozmiaru standardowo je usuwa, ale można połączyć to z rozwiązaniem pozwalającym je zachować. Naukowcy z oczywistych względów odmówili umieszczenia swojego kodu w sieci, chroniąc w ten sposób wiele osób, bo z pewnością wielu cyberprzestępców chętnie położyło by nim swoje ręce.
Naukowcy przetestowali jednak swój system w dwóch różnych scenariuszach, tj. kiedy atakujący ma pełen dostęp do modelu detektora i wszystkich danych oraz kiedy musi polegać tylko na szacunkach maszynowego uczenia. W pierwszym przypadku mogą się pochwalić 99% skutecznością w przypadku nieskompresowanego wideo i 85% w przypadku skompresowanego, a w drugim scenariuszu równie imponującymi 86% bez kompresji i 78% z kompresją. Wydaje się więc, że nie ma tu żadnych wątpliwości - detektory DeepFake można oszukać i musimy być na to przygotowani, bo skoro potrafią to naukowcy, to przestępcy z czasem również opracują potrzebne narzędzia.
Źródło: GeekWeek.pl/Eurekalert
