تحديد مصادر البيانات المزيفة باستخدام التagger القائم على الذكاء الاصطناعي

تعاون بين باحثين في الصين وسنغافورة والولايات المتحدة أنتج نظامًا متينًا للتعرف على الصور الشخصية بحيث يتم تضمينها بشكل متين بحيث لا تُدمر العلامات التعريفية أثناء عملية تدريب الصور المزيفة، مما يفتح الطريق لادعاءات حقوق النشر التي يمكن أن تضع خطًا في قدرة أنظمة توليد الصور المزيفة على “تعمية” بيانات المصدر التي تم حصدتها بشكل غير مشروع.

النظام، والمسمى FakeTagger، يستخدم عملية التشفير والفك التشفير لتحميل معلومات التعريف غير المرئية إلى الصور على مستوى منخفض بحيث يتم تفسير المعلومات المضمنة على أنها بيانات سمات الوجه الأساسية، وبالتالي يتم تمريرها عبر عمليات التنقيح سليمة، على سبيل المثال، مثل بيانات العين أو الفم.

مخطط لعمارة FakeTagger. يتم استخدام بيانات المصدر لإنشاء سمات الوجه الزائدة، مع تجاهل عناصر الخلفية التي ستتم масكها من خلال عملية مزيفة نمطية. يمكن استعادة الرسالة في الطرف الآخر من العملية، ويمكن التعرف عليها من خلال خوارزمية التعرف المناسبة. المصدر: http://xujuefei.com/felix_acmmm21_faketagger.pdf

ينشأ البحث من مدرسة العلوم والهندسة الإلكترونية في جامعة ووهان، ومختبر الأمن المعلوماتي والموثوقية التابع لوزارة التعليم في الصين، ومجموعة Alibaba في الولايات المتحدة، وجامعة نورث إيسترن في بوسطن، وجامعة نانيانغ التكنولوجية في سنغافورة.

تظهر النتائج التجريبية مع FakeTagger معدل إعادة التعرف يصل إلى ما يقرب من 95٪ عبر أربعة طرق شائعة لعمليات الصور المزيفة: تبادل الهوية (أي DeepFaceLab، FaceSwap); إعادة تمثيل الوجه؛ تحرير السمة؛ والتركيب الكامل.

نقاط الضعف في الكشف عن الصور المزيفة

على الرغم من أن السنوات الثلاث الماضية قد شهدت ظهورًا جديدًا لمناهج الكشف عن الصور المزيفة، فإن جميع هذه المناهج تعتمد على نقاط الضعف القابلة للإصلاح في عمليات الصور المزيفة، مثل اللمعان في العين في النماذج غير المدربة، ونقص الانتباه في الصور المزيفة السابقة ذات مجموعات الوجه غير المتنوعة. مع تحديد المفاتيح الجديدة، فإن مستودعات البرمجيات المفتوحة والمجانية قد حلت محلها، إما عمدًا أو كผล ثانوي لتحسينات في تقنيات الصور المزيفة.

تلاحظ الورقة الجديدة أن أكثر طريقة كشف بعد الحدث فعالة تم إنتاجها من مسابقة الكشف عن الصور المزيفة الأخيرة على فيسبوك (DFDC) محدودة بدقة 70٪، من حيث الكشف عن الصور المزيفة في البرية. ويعزى الباحثون هذا الفشل الممثل إلى التعميم السيئ ضد أنظمة الصور المزيفة الجديدة والمبتكرة والمتقدمة، وعلى جودة الصور المزيفة المنخفضة.

في الحالة الأخيرة، يمكن أن يكون هذا بسبب عمل منخفض الجودة من قبل صانعي الصور المزيفة، أو تشوهات الضغط عند تحميل مقاطع الفيديو إلى منصات المشاركة التي تسعى إلى تقييد تكاليف النطاق الترددي، واعادة ترميز مقاطع الفيديو بسرعات بت أقل بكثير من الإرسالات. ومن المضحك أن هذا التدهور في الصورة لا ي干ي من صحة الصورة المزيفة، بل يمكن أن يعزز الوهم، لأن مقطع الفيديو المزيف يندمج في لغة بصرية شائعة منخفضة الجودة يُعتبرها حقيقيًا.

التعرف على البقاء كمساعدة في عكس النموذج

التعرف على بيانات المصدر من مخرجات التعلم الآلي هو مجال جديد ونامي، ويمكّن من حقبة جديدة من الادعاءات القائمة على حقوق النشر، حيث تتطور اللوائح الحالية للحكومات حول حصد الشاشة (المصممة لعدم كبح البحث الوطني في مواجهة سباق التسلح الاصطناعي العالمي) إلى تشريعات أكثر صرامة مع تطور القطاع وتجاريته.

عكس النموذج يتعامل مع تعيين وتمييز بيانات المصدر من الإخراج الذي يتم إنشاؤه بواسطة أنظمة التوليد في عدد من المجالات، بما في ذلك توليد اللغة الطبيعية (NLG) وتوليد الصور. وعكس النموذج فعال بشكل خاص في إعادة التعرف على الوجوه التي تم تمييزها أو تقليل دقتها أو تمريرها من خلال عملية التنميط لشبكة توليد معادية أو نظام تحويل الشفرة/التشفير مثل DeepFaceLab.

إضافة التاغين المستهدف إلى الصور الشخصية الجديدة أو الحالية هو مساعد محتمل لتقنيات عكس النموذج، مع الترميز المائي كحقل ناشئ.

التاغين بعد الحدث

FakeTagger مُصمم كنهج بعد المعالجة. على سبيل المثال، عندما يُرفع مستخدم صورة إلى شبكة اجتماعية (التي تتضمن عادة بعض العمليات التحويلية، ونادرًا ما يتم نقل الصورة الأصلية مباشرة وغير معدلة)، سوف يعالج الخوارزمية الصورة لتطبيق سمات غير قابلة للمحو على الوجه.

بديلًا، يمكن تطبيق الخوارزمية على مجموعات الصور التاريخية، كما حدث في العديد من المرات خلال العشرين عامًا الماضية، حيث سعى مواقع الصور المخزنة والصور التجارية الكبيرة إلى طرق لتحديد المحتوى الذي تم إعادة استخدامه بدون إذن.

يستهدف FakeTagger تضمين سمات التعريف القابلة للاستعادة من عمليات الصور المزيفة المختلفة.

التطوير والاختبار

اختبر الباحثون FakeTagger ضد عدد من تطبيقات الصور المزيفة عبر النهج الأربعة المذكورة أعلاه، بما في ذلك المستودع الأكثر استخدامًا، DeepFaceLab؛ و Face2Face في ستانفورد، والتي يمكنها نقل تعابير الوجه عبر الصور والهويات؛ و STGAN، والتي يمكنها تحرير سمات الوجه.

تم إجراء الاختبار باستخدام CelebA-HQ، وهو مستودع عام شائع يحتوي على 30,000 صورة لوجوه المشاهير بدرجات مختلفة تصل إلى 1024 × 1024 بكسل.

كقاعدة، اختبر الباحثون في البداية تقنيات الترميز المائي التقليدية، لمعرفة ما إذا كانت العلامات المضمنة سوف تنجو من عمليات تدريب الصور المزيفة، ولكن الطرق فشلت عبر جميع النهج الأربعة.

تم حقن بيانات FakeTagger المضمنة في مرحلة التشفير في صور الوجه باستخدام هيكل يعتمد على شبكة U-Net التوليدية للتحويلات الحيوية، الصادرة في عام 2015. بعد ذلك، يتم تدريب قسم الفك التشفير من الإطار لfinding المعلومات المضمنة.

تم تجربة العملية في محاكي شبكة توليد معادية يستخدم التطبيقات والخوارزميات المفتوحة والمجانية المذكورة أعلاه، في إعداد أسود مع عدم الوصول المحدد أو الخاص إلى تدفقات العمل لكل نظام. تم ربط الإشارات العشوائية بالصور المشهورة، وسجلت كبيانات متعلقة بكل صورة.

في إعداد أسود، تمكنت FakeTagger من تحقيق دقة تتجاوز 88.95٪ عبر نهج التطبيقات الأربعة. في سيناريو أبيض متوازي، زادت الدقة إلى ما يقرب من 100٪. ومع ذلك، منذ أن يشير هذا إلى تكرارات مستقبلية لبرامج الصور المزيفة التي تدمج FakeTagger مباشرة، فمن غير المحتمل أن يحدث هذا في المستقبل القريب.

حساب التكلفة

يشير الباحثون إلى أن السيناريو الأكثر تحديًا لFakeTagger هو التوليد الكامل للصورة، مثل توليد المجرد القائم على CLIP، حيث يتم تطبيق عمليات التنميط الأعمق على بيانات التدريب. ومع ذلك، لا ينطبق هذا على تدفقات عمل الصور المزيفة التي هيمنت على العناوين الرئيسية خلال السنوات القليلة الماضية، حيث تعتمد على إعادة إنتاج سمات الوجه التي تحدد الهوية بدقة.

تلاحظ الورقة أيضًا أن المهاجمين المعاديين يمكنهم محاولة إضافة تشوهات، مثل الضوضاء والحد الجسدي، لتحريف نظام التاغين، على الرغم من أن هذا من المحتمل أن يكون له تأثير ضار على صحة مخرجات الصور المزيفة.

كما يشيرون إلى أن FakeTagger يحتاج إلى إضافة بيانات زائدة إلى الصور لضمان بقاء العلامات التي يضمنها، ويمكن أن يكون لهذا التكلفة الحسابية الملحوظة على نطاق واسع.

يختتم المؤلفون بالتأكيد على أن FakeTagger قد يكون له إمكانات لتعقب الأصل في مجالات أخرى، مثل الهجمات المضادة للمطر ونوعيات أخرى من الهجمات القائمة على الصور، مثل التعرض المضاد، الضبابية، التمويه، التصوير الفوتوغرافي، والتلاعب بالألوان.