Generátory falešných tváří AI lze přetočit a odhalit skutečné tváře, na kterých trénovali

falešná osoba přetočit na skutečnou osobu

paní Tech | Pexels, tato osobaneexistuje.com





Načtěte web Tato osoba neexistuje a ukáže vám lidskou tvář, téměř dokonalou ve svém realismu, ale zcela falešnou. Refresh a neuronová síť za stránkou vygeneruje další a další a další. Nekonečnou sekvenci tváří vytvořených umělou inteligencí vytváří generativní adversariální síť (GAN) – typ umělé inteligence, který se učí vytvářet realistické, ale falešné příklady dat, na kterých je trénován.

Ale takové vygenerované tváře — které začínají být používá se ve filmech a reklamách CGI – nemusí být tak jedinečné, jak se zdají. V dokumentu s názvem Tato osoba (pravděpodobně) existuje , výzkumníci ukazují, že mnoho tváří vytvořených GAN se nápadně podobá skutečným lidem, kteří se objevují v tréninkových datech. Falešné tváře mohou účinně demaskovat skutečné tváře, na kterých byl GAN ​​trénován, což umožňuje odhalit identitu těchto jedinců. Práce je nejnovější z řady studií, které zpochybňují populární myšlenku, že neuronové sítě jsou černé skříňky, které neprozrazují nic o tom, co se děje uvnitř.

Lidé si najímají své tváře, aby se z nich staly marketingové klony ve stylu deepfake

Postavy s umělou inteligencí založené na skutečných lidech mohou hrát v tisících videí a říkat cokoli v jakémkoli jazyce.



K odhalení skrytých tréninkových dat použili Ryan Webster a jeho kolegové z University of Caen Normandy ve Francii typ útoku zvaný členský útok, který lze použít ke zjištění, zda byla určitá data použita k trénování modelu neuronové sítě. Tyto útoky obvykle využívají jemných rozdílů mezi tím, jak model zachází s daty, na kterých byl trénován – a proto je viděl již tisíckrát – a neviditelnými daty.

Model může například přesně identifikovat dříve neviděný obrázek, ale s o něco menší jistotou než ten, na kterém byl trénován. Druhý, útočící model se může naučit rozpoznat takové zprávy v chování prvního modelu a použít je k předpovědi, kdy jsou určitá data, jako je fotografie, v trénovací sadě nebo ne.

Takové útoky mohou vést k vážným únikům zabezpečení. Například zjištění, že něčí lékařská data byla použita k trénování modelu spojeného s nemocí, může odhalit, že tato osoba má tuto nemoc.



Websterův tým rozšířil tuto myšlenku tak, že místo identifikace přesných fotografií použitých k výcviku GAN identifikoval fotografie v tréninkové sadě GAN, které nebyly totožné, ale zdálo se, že zobrazují stejného jedince – jinými slovy tváře se stejnou identitou. Za tímto účelem vědci nejprve vygenerovali obličeje pomocí GAN a poté použili samostatnou umělou inteligenci pro rozpoznávání obličejů, aby zjistili, zda identita těchto vygenerovaných obličejů odpovídá identitě některého z obličejů viděných v tréninkových datech.

Výsledky jsou zarážející. V mnoha případech tým našel v tréninkových datech více fotografií skutečných lidí, které se zdály odpovídat falešným obličejům generovaným GAN, což odhalovalo identitu jednotlivců, na kterých byla AI vycvičena.

Levý sloupec v každém bloku ukazuje plochy generované GAN. Tyto falešné tváře jsou následovány třemi fotografiemi skutečných lidí identifikovaných v tréninkových datech



UNIVERZITA V NORMANDII CAEN

Práce vyvolává vážné obavy o soukromí. Komunita umělé inteligence má při sdílení trénovaných modelů hlubokých neuronových sítí zavádějící pocit bezpečí, říká Jan Kautz, viceprezident výzkumu učení a vnímání ve společnosti Nvidia.

Teoreticky by se tento druh útoku mohl vztahovat na jiná data spojená s jednotlivcem, jako jsou biometrická nebo lékařská data. Na druhou stranu Webster poukazuje na to, že lidé by tuto techniku ​​mohli také použít ke kontrole, zda jejich data nebyla použita k trénování AI bez jejich souhlasu.

Umělci by mohli zjistit, zda jejich práce byla použita k trénování GAN v komerčním nástroji, říká: Pro důkaz porušení autorských práv byste mohli použít metodu, jako je ta naše.



Tento proces lze také použít k zajištění toho, aby sítě GAN nezveřejňovaly soukromá data. GAN mohl zkontrolovat, zda se jeho výtvory podobají skutečným příkladům ve svých tréninkových datech, pomocí stejné techniky vyvinuté výzkumníky, než je uvolní.

Rok se deepfakes stal mainstreamem V roce 2020 se AI-syntetická média začala vzdalovat temným koutům internetu.

Přesto to předpokládá, že můžete získat tato tréninková data, říká Kautz. On a jeho kolegové z Nvidie přišli na jiný způsob, jak odhalit soukromá data, včetně snímků tváří a dalších objektů, lékařských dat a dalších, který vůbec nevyžaduje přístup k tréninkovým datům.

Místo toho vyvinuli algoritmus, který dokáže znovu vytvořit data, kterým byl vystaven trénovaný model obrácení kroků, kterými model prochází při zpracování těchto údajů. Vezměte trénovanou síť pro rozpoznávání obrazu: k identifikaci toho, co je na obrázku, síť prochází řadou vrstev umělých neuronů. Každá vrstva extrahuje různé úrovně informací, od hran přes tvary až po lépe rozpoznatelné prvky.

Kautzův tým zjistil, že mohou přerušit model uprostřed těchto kroků a obrátit jeho směr, čímž znovu vytvoří vstupní obraz z interních dat modelu. Techniku ​​testovali na různých běžných modelech rozpoznávání obrazu a GAN. V jednom testu ukázali, že dokážou přesně znovu vytvořit obrázky z ImageNet, jednoho z nejznámějších souborů dat pro rozpoznávání obrázků.

Obrázky z ImageNet (nahoře) spolu s rekreacemi těchto obrázků vytvořených přetočením modelu trénovaného na ImageNet (dole)

NVIDIA

Stejně jako ve Websterově práci se znovu vytvořené obrázky velmi podobají skutečným. Překvapila nás výsledná kvalita, říká Kautz.

Vědci tvrdí, že tento druh útoku není pouze hypotetický. Smartphony a další malá zařízení začínají více využívat umělou inteligenci. Kvůli omezením na baterii a paměť jsou modely někdy na samotném zařízení zpracovány jen napůl a odeslány do cloudu ke konečnému výpočetnímu otřesu, což je přístup známý jako split computing. Většina výzkumníků předpokládá, že split computing neodhalí žádná soukromá data z telefonu osoby, protože je sdílen pouze model, říká Kautz. Jeho útok ale ukazuje, že tomu tak není.

Kautz a jeho kolegové nyní pracují na tom, aby přišli na způsoby, jak zabránit modelkám v úniku soukromých dat. Chtěli jsme porozumět rizikům, abychom mohli minimalizovat zranitelnosti, říká.

I když používají velmi odlišné techniky, myslí si, že jeho práce a Webster's se dobře doplňují. Websterův tým ukázal, že soukromá data lze nalézt ve výstupu modelu; Kautzův tým ukázal, že soukromá data lze odhalit obráceným postupem a znovu vytvořit vstup. Prozkoumání obou směrů je důležité pro lepší pochopení toho, jak útokům předcházet, říká Kautz.

skrýt