Нейросетевой инструмент может обнаруживать манипуляции с изображениями на уровне отдельных пикселей.
Исследователи продемонстрировали новый алгоритм обнаружения так называемых глубоких фальшивых изображений, незаметно измененных системами искусственного интеллекта, потенциально в гнусных целях. Первоначальные тесты алгоритма выявляли фальшивые изображения от незарегистрированных до уровня отдельных пикселей с точностью от 71 до 95 процентов, в зависимости от используемого набора данных выборки. Алгоритм пока не был расширен и не включает обнаружение видео-изображений, содержащих подделки.
Глубокие подделки - это "изображения или видео, которые были подделаны - до этого вы что-то вставляли или удаляли - так что это меняет смысл фотографии",
говорит Амит Рой-Чоудхури, профессор по электротехнике и компьютерной технике Калифорнийского университета, Риверсайд. Проблема возникает потому, что это сделано
"таким образом, чтобы человеческому глазу не было сразу видно, что им манипулировали".
Чрезмерно надежный алгоритм обнаружения может быть использован в качестве оружия теми, кто пытается распространять ложную информацию.
В быстро развивающихся ситуациях, таких как гуманитарный кризис, запуск нового продукта или предвыборная кампания, фальшивые видео и изображения могут изменить ход событий. Представьте себе фальшивый образ, в котором политический кандидат предположительно совершил насильственное преступление, или фальшивое видео, в котором генеральный директор якобы признается в сокрытии проблем безопасности в своей фирменной линейке продуктов.
Чаудхури является одним из пяти авторов алгоритма глубокого обнаружения подделок, описанного в недавней публикации IEEE Transactions on Image Processing. По его словам, такие алгоритмы обнаружения могут стать мощным инструментом в борьбе с этой новой угрозой эпохи социальных сетей. Но люди также должны быть осторожны, чтобы не стать слишком зависимыми от этих алгоритмов, предупреждает он. Чрезмерно надежный алгоритм обнаружения, который может быть обманут, может быть использован в качестве оружия теми, кто пытается распространить ложную информацию. Глубокая подделка, созданная для использования специфических слабых мест доверенного алгоритма, может привести к тому, что этот алгоритм благословит подделку сертификатом подлинности в сознании экспертов, журналистов и общественности, что нанесет еще больший ущерб.
"Я думаю, что мы должны быть осторожны во всем, что связано с искусственным интеллектом и машинным обучением сегодня,
- говорит Рой-Чоудхури.
"Мы должны понимать, что результаты, которые дают эти системы, являются вероятностными. И очень часто вероятность не находится в диапазоне 0,98 или 0,99. Они намного ниже этого. Мы не должны принимать их на слепой вере. Это трудные проблемы."
В этом смысле, по его словам, подделки - это просто новый рубеж в кибер-безопасности. А кибер-безопасность - это вечная гонка вооружений, в которой плохие парни и хорошие парни часто идут по нарастающей.
Рой-Чоудхури говорит, что своей последней работой его группа использовала ряд концепций, которые уже существуют в литературе по отдельности, но которые они объединили в новом и потенциально мощном ключе.
Одним из компонентов алгоритма является разновидность так называемой "повторяющейся нейронной сети", которая разделяет рассматриваемое изображение на небольшие патчи и посмотрит на эти патчи по пикселям. Нейронная сеть была обучена, позволив ей исследовать тысячи как поддельных, так и подлинных изображений, поэтому она научилась некоторым качествам, которые выделяют подделки на уровне одного пикселя.
Рой-Чоудхури говорит, что границы вокруг фальсифицированной части изображения часто содержат следы манипуляций. "Если вставляется объект, то часто именно пограничные области имеют определенные характеристики, - говорит он. "Поэтому человек, который пытается подделать изображение, вероятно, постарается сделать это так, чтобы граница была очень гладкой. Мы обнаружили, что фальсифицированные изображения часто были более гладкими, чем на естественных изображениях. Потому что человек, который сделал эту манипуляцию, старался сделать ее очень гладкой."
Другая часть алгоритма, на параллельной дорожке к части, смотрящей на отдельные пиксели, передает все изображение через ряд фильтров кодирования - почти как при сжатии изображения, как при нажатии кнопки "сжать изображение" при сохранении формата TIFF или JPEG. Эти фильтры, в математическом смысле, позволяют алгоритму рассматривать все изображение на больших, более целостных уровнях.
Затем алгоритм сравнивает выходные данные анализа фильтров кодирования по пикселям и результаты анализа фильтров кодирования более высокого уровня. Когда эти параллельные анализы вызывают красные флажки над одной и той же областью изображения, оно затем помечено как возможное подделка.
Например, скажем, что на картинку пустой ветви дерева вставлен запасной образ птицы-песенника. В этом случае алгоритм "пиксель за пикселем" может помечать пиксели вокруг птичьих клешней как проблематичные, в то время как алгоритм кодирования может обнаруживать закономерности на большом изображении (замечая, возможно, другие пограничные проблемы или аномалии на более масштабном уровне). До тех пор пока обе эти нейронные сети отмечали одну и ту же область изображения вокруг птицы, алгоритм группы Роя-Чоудхури классифицировал бы фотографию птицы и участка как возможную подделку.
Рой-Чоудхури говорит, что теперь алгоритм должен быть расширен для работы с видео. По его словам, такой алгоритм следующего уровня потенциально мог бы включать в себя последовательное поэтапное развитие изображения и возможность распознавания любых обнаруживаемых закономерностей на основе этой эволюции во времени.
Учитывая срочность обнаружения подделок, поскольку враждебные субъекты во всем мире все чаще пытаются манипулировать политическими событиями, используя ложную информацию, Рой-Чоудхури призывает исследователей связаться со своей группой для получения кода или указаний по дальнейшей разработке этого алгоритма обнаружения подделок в дикой природе.
