All’interno della guerra in rapida escalation tra deepfake e rilevatori di deepfake
Immagina un film tortuoso su un maestro criminale bloccato in una guerra di ingegni con il più grande detective del mondo.
Il criminale cerca di tirare fuori un enorme trucco di fiducia, usando un gioco di prestigio esperto e un’incredibile capacità di travestirsi praticamente da chiunque sul pianeta. È così bravo in quello che fa che può far credere alle persone di aver visto cose che in realtà non sono mai accadute.
Ma poi incontriamo il detective. È un tipo brillante, fermo davanti a nulla, in grado di individuare il “racconto” di qualsiasi ladro. Sa esattamente cosa cercare, e anche il più piccolo comportamento – un sopracciglio alzato qui, una vocale abbassata là – è sufficiente per avvisarla quando qualcosa non va. È l’unica persona ad aver mai catturato il nostro antagonista, e ora è di nuovo sulle sue tracce.
Tuttavia, c’è un problema: il nostro ladro sa che lei sa cosa cercare. Di conseguenza, ha cambiato il suo gioco, senza che il protagonista se ne accorgesse.
Il problema del deepfake
Questa è, in sostanza, la storia dei deepfake e del rilevamento dei deepfake fino ad ora. Deepfakes, una forma di media sintetici in cui le sembianze delle persone possono essere alterate digitalmente come un remake Face / Off diretto da ricercatori di intelligenza artificiale, sono stati motivo di preoccupazione da quando sono apparsi sulla scena nel 2017. Mentre molti deepfake sono spensierati (sostituendo Arnie per Sly Stallone in The Terminator ), rappresentano anche una potenziale minaccia. I deepfake sono stati utilizzati per creare falsi video pornografici che sembrano reali e sono stati utilizzati in bufale politiche, nonché in frodi finanziarie.
Affinché tali bufale diventino un problema ancora più grande, qualcuno deve essere in grado di intervenire e dire, in modo definitivo, quando viene utilizzato un deepfake e quando non lo è.
Non ci volle molto perché apparissero i primi rilevatori di deepfake. Entro aprile 2018, ho coperto uno dei primi sforzi per farlo , che è stato costruito dai ricercatori dell’Università tecnica tedesca di Monaco. Proprio come la stessa tecnologia deepfake, utilizzava l’intelligenza artificiale, solo che questa volta i suoi creatori la utilizzavano non per creare falsi, ma per individuarli.
I rilevatori di deepfake funzionano cercando quei dettagli di un deepfake che non sono del tutto corretti perlustrando le immagini non solo per le valli misteriose, ma anche per le più piccole buche misteriose. Ritagliano i dati del viso dalle immagini e poi li trasmettono attraverso una rete neurale per scoprirne la legittimità. I dettagli in omaggio potrebbero includere cose come il battito delle palpebre riprodotto male.
Ma ora i ricercatori dell’Università della California di San Diego hanno escogitato un modo per sconfiggere i rilevatori di deepfake inserendo quelli che vengono chiamati esempi di contraddittorio nei fotogrammi video. Gli esempi di contraddittorio sono un affascinante – ma terrificante – glitch nella matrice dell’IA. Sono in grado di ingannare anche il più intelligente dei sistemi di riconoscimento, ad esempio, pensando che una tartaruga sia una pistola o un espresso sia una palla da baseball. Lo fanno aggiungendo sottilmente del rumore a un’immagine in modo che la rete neurale faccia la classificazione sbagliata.
Come scambiare un fucile per un rettile bombardato. O un video falso per uno vero.
Ingannare i rilevatori
“C’è stata una recente ondata di metodi per la generazione di video deepfake realistici”, ha detto a Digital Trends Paarth Neekhara , uno studente laureato in ingegneria informatica della UC San Diego. “Poiché questi video manipolati possono essere utilizzati per scopi dannosi, c’è stato uno sforzo significativo nello sviluppo di rilevatori in grado di rilevare in modo affidabile video deepfake. Ad esempio, Facebook ha recentemente lanciato la Deepfake Detection Challenge per accelerare la ricerca sullo sviluppo di rilevatori deepfake. [Ma] sebbene questi metodi di rilevamento possano raggiungere una precisione superiore al 90% su un set di dati di video falsi e reali, il nostro lavoro mostra che possono essere facilmente aggirati da un aggressore. Un malintenzionato può iniettare un rumore accuratamente predisposto, che è abbastanza impercettibile per l’occhio umano, in ogni fotogramma di un video in modo che venga classificato erroneamente da un rilevatore di vittime “.
Gli aggressori possono creare questi video anche se non possiedono una conoscenza specifica dell’architettura e dei parametri del rilevatore. Questi attacchi continuano a funzionare anche dopo la compressione dei video, come accadrebbe se fossero condivisi online su una piattaforma come YouTube.
Quando è stato testato, il metodo è stato più del 99% in grado di ingannare i sistemi di rilevamento quando gli è stato concesso l’accesso al modello del rilevatore. Tuttavia, anche ai livelli di successo più bassi, per i video compressi in cui non si conoscevano informazioni sui modelli di rilevatore, li ha comunque sconfitti nel 78,33% delle volte. Non è una gran notizia.
I ricercatori stanno rifiutando di pubblicare il loro codice sulla base del fatto che potrebbe essere utilizzato in modo improprio, ha osservato Neekhara. “I video avversari generati utilizzando il nostro codice possono potenzialmente aggirare altri rilevatori di deepfake invisibili che vengono utilizzati nella produzione da alcune piattaforme di social media”, ha spiegato. “Stiamo collaborando con team che stanno lavorando alla creazione di questi sistemi di rilevamento deepfake e stiamo utilizzando la nostra ricerca per creare sistemi di rilevamento più robusti”.
Un gioco di deepfake gatto e topo
Questa non è la fine della storia, ovviamente. Per tornare alla nostra analogia con il film, questo sarebbe ancora solo circa 20 minuti nel film. Non siamo ancora arrivati alla scena in cui il detective si rende conto che il ladro pensa di averla ingannata. O al punto in cui il ladro si rende conto che il detective sa che lui sa che lei lo sa. Oppure … ottieni l’immagine.
Un simile gioco al gatto e al topo per il rilevamento dei deepfake, che probabilmente continuerà a tempo indefinito, è ben noto a chiunque abbia lavorato nella sicurezza informatica. Gli hacker dannosi trovano le vulnerabilità, che vengono quindi bloccate dagli sviluppatori, prima che gli hacker trovino le vulnerabilità nella loro versione fissa, che viene quindi nuovamente ottimizzata dagli sviluppatori. Continua all’infinito.
“Sì, la generazione di deepfake e i sistemi di rilevamento seguono da vicino le dinamiche di virus e antivirus”, Shehzeen Hussain , un dottorato in ingegneria informatica dell’Università di San Diego. studente, ha detto a Digital Trends. “Attualmente, i rilevatori di deepfake vengono addestrati su un set di dati di video reali e falsi generati utilizzando le tecniche di sintesi deepfake esistenti. Non vi è alcuna garanzia che tali rilevatori siano infallibili contro i futuri sistemi di generazione di deepfake … Per rimanere al passo nella corsa agli armamenti, i metodi di rilevamento devono essere regolarmente aggiornati e addestrati sulle prossime tecniche di sintesi deepfake. [Devono anche essere resi robusti agli esempi del contraddittorio incorporando video del contraddittorio durante l’addestramento “.
Un documento che descrive questo lavoro , intitolato “Adversarial Deepfakes: Evaluating Vulnerability of Deepfake Detectors to Adversarial examples”, è stato recentemente presentato alla conferenza virtuale WACV 2021.