A hamis hírek veszélyei és azok kivédése

A kutatók bebizonyították, hogy a detektorok több fronton is legyőzhetőek, ha minden videó képkockába beillesztenek egymásnak ellentmondó elemeket. Az ellentétes elemek enyhén manipulált bemenetek. Ezek a mesterséges intelligencia rendszerek, melyek például a gépi tanulási modellek hibáját okozzák. Ezenkívül felfedezték, hogy a támadás a videó tömörítése után is működik.

„A munkánk azt mutatja, hogy a deepfake detektorok elleni támadások valós veszélyt jelenthetnek” – mondta Shehzeen Hussain, az UC San Diego-i számítástechnikai doktora. 

A deepfake az alany arcát módosítja annak érdekében, hogy megtévesztő felvételeket produkáljon olyan eseményekről, melyek valójában meg sem történtek. Ezek kivédésére létrejött detektorok, bármely körültekintéssel is készültek nem elég hatásosak. A tipikus detektorok a szemmozgását és a pislogást figyelik elsősorban, mert ezek a mélyhamisítások során nem jól reprodukálhatóak. A korszerű elemző rendszerek a gépi tanulási modellekre támaszkodnak a hamis videókban.

A digitális média platformjain óriási problémát jelentenek ezek a hamis videók, hiszen széles körben terjednek és szinte bárkihez eljutnak.

„Ha a támadóknak van némi ismerete a detektálórendszer és annak vakfoltjairól, akkor bemeneteket tervezhetnek azok megkerüléséhez" – mondta Paarth Neekhara, az UC San Diego informatikus hallgatója.

A kutatók a mélyhamisítás módszerét alkalmazzák a fejlesztések során, hogy a detektorok a lehető legellenállóbban tudjanak teljesíteni a manipulált videók felismerésében. Olyan deepfaket sikerült megalkotniuk, mely algoritmusa megbecsüli a bementei transzformáció halmazán, hogy a modell mi alapján dönteni el, hogy a képek valósak vagy hamisak. A művelet ezt a becslést használja, így hatékony a tömörítés és a dekompresszió után is. Ez után az arc módosított verziója beillesztésre kerül, melyet kiterjeszt az összes képkockára. Nem csupán az arcot módosítja, hanem alkalmazza a teljes videóképre. 

A kutató csoport a forráskódokat nem adja ki, hogy az ne kerülhessen ellenséges kezekbe.

A kutatók két forgatókönyvben tesztelték támadásaikat:

• Az egyikben a támadók teljes hozzáféréssel rendelkeznek a detektormodellhez. Itt a támadás sikere meghaladja a tömörítetlen videók 99 százalékát. A tömörített videók esetében ez 84,96 százalék volt.
• A másikban, a támadók csak a gépi tanulási modellt kérdezhetik meg, hogy kiderítsék annak valószínűségét, hogy egy keret valósnak vagy hamisnak minősül. A sikertelenség tömörítetlenül 86,43, a tömörített videóknál pedig 78,33 százalék volt.

Ez az első olyan munka, amely sikeres támadásokat mutat be a korszerű mélyhamis detektorok ellen.

„Azt mutatjuk be, hogy a mélyhamisítás észlelésének jelenlegi módszere könnyen megkerülhető, ha az ellenfél teljes vagy akár részleges ismeretekkel rendelkezik a detektorról" – mondták a kutatók.

A védekező rendszerek fejlesztése érdekében a kutatók az úgynevezett kontradiktórius, azaz egymásnak ellentmondó képzéshez hasonló megközelítéseket javasolnak. Ennek során az adaptív ellenfél továbbra is új mélyhamisításokat generál, amelyek a detektorok fejlődését eredményezik.