Hitech logo

Искусственный интеллект

Новый метод защиты изображений от ИИ-подделок

TODO:
Георгий Голованов1 августа 2023 г., 13:15

Вместе с появлением моделей искусственного интеллекта, способных настолько искусно создавать и редактировать фотореалистичные изображения, что глаз человека не способен заметить разницу между реальностью и имитацией, растет количество подделок. Простые в использовании нейросети DALL-E или Midjourney предоставляют свои услуги всем желающим сгенерировать изображение по словесному описанию. Результаты могут быть совершенно невинными, а могут служить неблаговидным целям. Инженеры MIT придумали новый способ защиты общества от дезинформации.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Можно защитить изображение при помощи нанесения водяных знаков, но об этом нужно думать заранее. Желая предложить другое решение, инженеры из Лаборатории информатики и искусственного интеллекта MIT разработали систему PhotoGuard, которая использует пертурбации — мельчайшие изменения в значениях пикселей, невидимые человеческому глазу, но заметные компьютерной модели — которые успешно сопротивляются способности ИИ вносить правки в изображение.

«Подумайте об опасности мошеннического распространения ложных сообщений о катастрофах, , например, о взрыве на каком-нибудь важном объекте. Этот обман может повлиять на рынок ценных бумаг и настроения в обществе, но риски не ограничиваются общественной сферой. Личные изображения могут быть изменены неподобающим образом и использованы для шантажа, что может иметь значительные экономические последствия, если такое будет происходить повсеместно, — сказал Хади Салман, один из участников проекта. — В крайних случаях, эти модели могут имитировать голоса и фотографии непроисходивших преступлений, вызывая психологическое волнение и финансовые потери».

Проблему составляет скорость работы таких технологий. Даже если обман позже вскроется, репутационные, психологические и материальные потери уже состоялись.

Для создания этих пертурбаций PhotoGuard использует два разных метода «атаки»: более непосредственная атака кодированием воздействует на скрытое представление изображения в модели ИИ. ИИ-модели видят изображение не так, как люди. Для них оно — набор математических данных, описывающих цвет и положение каждого пикселя. Это и есть скрытое представление. Атака кодированием заставляет модель воспринимать изображение как случайную сущность. Она вносит мелкие изменения в эти данные, в результате которых модель практически теряет способность редактировать изображение. При этом, как пишет MIT News, для человека в изображении ничего не меняется, он не замечает такую защиту.

Более сложная (и более ресурсоемкая) атака диффузией направлена на весь цикл работы модели. Она определяет желаемое конечное изображение и запускает процесс оптимизации, который делает так, чтобы конечное изображение как можно ближе походило на то, которое было выбрано как отправное. В результате охраняемое изображение выглядит неизменно для человека.

Несмотря на потенциал PhotoGuard, этот метод — не панацея. Как только изображение попадает в сеть, злоумышленники могут попытаться обойти защитные меры, применив распространенные инструменты редактирования. Однако этому можно воспрепятствовать при помощи уже существующих методов.

В этом месяце Сбербанк представил новую версию своей генеративной модели — Kandinsky 2.2. Теперь пользователи могут создавать фотореалистичные изображения с более высоким разрешением и изменять соотношение сторон при генерации. Портреты, созданные нейросетью, стали намного качественнее.