Connect with us

Ricercatori identificano un tratto resiliente dei Deepfake che potrebbe aiutare la rilevazione a lungo termine

Intelligenza artificiale

Ricercatori identificano un tratto resiliente dei Deepfake che potrebbe aiutare la rilevazione a lungo termine

mm
Published
Updated

Dall’emergere delle prime soluzioni di rilevamento dei deepfake nel 2018, il settore della ricerca sulla visione computerizzata e sulla sicurezza ha cercato di definire un caratteristica essenziale dei video deepfake – segnali che potrebbero resistere ai miglioramenti nelle tecnologie di sintesi facciale popolari (come i pacchetti di deepfake basati su autoencoder come DeepFaceLab e FaceSwap, e l’uso di Generative Adversarial Networks per ricreare, simulare o alterare i volti umani).

Molti dei ‘segni’ rivelatori, come la mancanza di battito delle palpebre, sono stati resi obsoleti dai miglioramenti nei deepfake, mentre il potenziale utilizzo di tecniche di provenienza digitale (come l’iniziativa Content Authenticity Initiative guidata da Adobe) – inclusi approcci basati su blockchain e filigrane digitali delle potenziali foto di origine – richiederebbero cambiamenti radicali e costosi nel corpo esistente di immagini di origine disponibili su Internet, o altrimenti richiederebbero uno sforzo cooperativo notevole tra nazioni e governi per creare sistemi di vigilanza e autenticazione.

Pertanto, sarebbe molto utile se un tratto fondamentale e resiliente potesse essere discernibile nel contenuto di immagini e video che presentano volti umani alterati, inventati o con identità scambiate; una caratteristica che potrebbe essere inferita direttamente da video falsificati, senza verifica su larga scala, hashing di asset crittografici, controllo del contesto, valutazione della plausibilità, routine di rilevamento basate su artifact, o altri approcci onerosi per il rilevamento dei deepfake.

Deepfakes nel quadro

Una nuova collaborazione di ricerca tra Cina e Australia ritiene di aver trovato questo ‘santo graal’, nella forma di disruption della regolarità.

Gli autori hanno ideato un metodo per confrontare l’integrità spaziale e la continuità temporale di video reali con quelli che contengono contenuto deepfake, e hanno scoperto che qualsiasi tipo di interferenza deepfake disturba la regolarità dell’immagine, per quanto impercettibilmente.

Ciò è dovuto in parte al fatto che il processo di deepfake divide il video di destinazione in frame e applica l’effetto di un modello di deepfake addestrato in ogni frame (sostituito). Le distribuzioni di deepfake popolari agiscono nello stesso modo degli animatori, in questo senso, prestando più attenzione all’autenticità di ogni frame che al contributo di ogni frame alla regolarità spaziale e temporale complessiva del video.

Dal paper: A) Differenze tra i tipi di dati. Qui vediamo che le perturbazioni di p-fake cambiano la qualità spazio-temporale dell'immagine nello stesso modo di un deepfake, senza sostituire l'identità. B) Analisi del rumore dei tre tipi di dati, mostrando come p-fake imita la disruption dei deepfake. C) Visualizzazione temporale dei tre tipi di dati, con dati reali che dimostrano una maggiore integrità nella fluttuazione. D) la visualizzazione T-SNE delle caratteristiche estratte per video reali, falsi e p-faked . Source: https://arxiv.org/pdf/2207.10402.pdf

Dal paper: A) Differenze tra i tipi di dati. Qui vediamo che le perturbazioni di p-fake cambiano la qualità spazio-temporale dell’immagine nello stesso modo di un deepfake, senza sostituire l’identità. B) Analisi del rumore dei tre tipi di dati, mostrando come p-fake imita la disruption dei deepfake. C) Visualizzazione temporale dei tre tipi di dati, con dati reali che dimostrano una maggiore integrità nella fluttuazione. D) la visualizzazione T-SNE delle caratteristiche estratte per video reali, falsi e p-faked. Source: https://arxiv.org/pdf/2207.10402.pdf

Ciò non è il modo in cui un codec video tratta una serie di frame quando si sta registrando o elaborando una registrazione originale. Al fine di risparmiare sulla dimensione del file o rendere un video adatto per lo streaming, una quantità enorme di informazioni viene scartata dal codec video. Anche con le impostazioni di qualità più elevate, il codec allocerà frame chiave (una variabile che può essere impostata dall’utente) – immagini intere, praticamente non compressi, che si verificano a intervalli prestabiliti nel video.

I frame intermedi tra i frame chiave sono, in una certa misura, stimati come varianti dei frame, e riutilizzeranno quanta più informazione possibile dai frame chiave adiacenti, piuttosto che essere frame completi in proprio diritto.

A sinistra, un frame chiave completo, o 'i-frame', viene memorizzato nel video compresso, a spese della dimensione del file; a destra, un frame intermedio 'delta' riutilizza qualsiasi parte applicabile del frame chiave più ricco di dati. Source: https://blog.video.ibm.com/streaming-video-tips/keyframes-interframe-video-compression/

A sinistra, un frame chiave completo, o ‘i-frame’, viene memorizzato nel video compresso, a spese della dimensione del file; a destra, un frame intermedio ‘delta’ riutilizza qualsiasi parte applicabile del frame chiave più ricco di dati. Source: https://blog.video.ibm.com/streaming-video-tips/keyframes-interframe-video-compression/

In questo modo, il blocco (contenente x numero di frame, a seconda delle impostazioni dei frame chiave) è arguibilmente l’unità più piccola considerata in un video compresso tipico, piuttosto che qualsiasi frame individuale. Anche il frame chiave stesso, noto come i-frame, fa parte di quell’unità.

In termini di animazione tradizionale dei cartoni, un codec sta eseguendo una specie di in-betweening, con i frame chiave che operano come tende per i frame intermedi derivati, noti come frame delta.

Al contrario, la sovrapposizione dei deepfake dedica un’attenzione e risorse enormi a ogni frame individuale, senza considerare il contesto più ampio del frame, e senza fare alcuna concessione al modo in cui la compressione e la codifica basata su blocchi influenzano le caratteristiche del video ‘autentico’.

Un'occhiata più da vicino alla discontinuità tra la qualità temporale di un video autentico (a sinistra) e lo stesso video quando è disturbato dai deepfake (a destra).

Un’occhiata più da vicino alla discontinuità tra la qualità temporale di un video autentico (a sinistra) e lo stesso video quando è disturbato dai deepfake (a destra).

Sebbene alcuni dei migliori deepfaker utilizzino un post-elaborazione estensiva, in pacchetti come After Effects, e sebbene la distribuzione DeepFaceLab abbia una certa capacità nativa di applicare procedure di ‘blending’ come il motion blur, tale abilità non influenza la mancanza di corrispondenza tra la qualità spaziale e temporale dei video autentici e quelli deepfake.

Il nuovo paper è intitolato Rilevamento di deepfake mediante creazione di disruption della regolarità spazio-temporale, e proviene da ricercatori dell’Università Tsinghua, del Dipartimento di Tecnologia di Visione Computerizzata (VIS) di Baidu Inc. e dell’Università di Melbourne

‘Fake’ video falsi

I ricercatori dietro il paper hanno incorporato la funzionalità della ricerca in un modulo plug-and-play chiamato Pseudo-fake Generator (P-fake Generator), che trasforma video reali in video falsi-fake, perturbando gli stessi nel modo in cui il processo di deepfake effettivo fa, senza effettivamente eseguire alcuna operazione di deepfake.

I test indicano che il modulo può essere aggiunto a tutti i sistemi di rilevamento dei deepfake esistenti a costo di risorse praticamente zero, e che migliora notevolmente le loro prestazioni.

La scoperta potrebbe aiutare a risolvere uno degli altri ostacoli nella ricerca sul rilevamento dei deepfake: la mancanza di set di dati autentici e aggiornati. Poiché la generazione di deepfake è un processo elaborato e lungo, la comunità ha sviluppato una serie di set di dati di deepfake negli ultimi cinque anni, molti dei quali sono piuttosto obsoleti.

Isolando la disruption della regolarità come un segnale agnostico dei deepfake per video alterati post-facto, il nuovo metodo rende possibile generare campioni e set di dati di video illimitati che si concentrano su questo aspetto dei deepfake.

Panoramica del blocco STE, dove la convoluzione temporale per canale viene utilizzata come stimolo per generare codici spazio-temporali migliorati, risultando nello stesso segnale che anche un deepfake molto convincente produrrà. Con questo metodo, 'fake' video falsi possono essere generati che presentano le stesse caratteristiche di segnale di qualsiasi video alterato, nello stile dei deepfake, e che non dipendono da distribuzioni particolari o da aspetti volatili come il comportamento delle caratteristiche o gli artifact algoritmici.

Panoramica del blocco STE, dove la convoluzione temporale per canale viene utilizzata come stimolo per generare codici spazio-temporali migliorati, risultando nello stesso segnale che anche un deepfake molto convincente produrrà. Con questo metodo, ‘fake’ video falsi possono essere generati che presentano le stesse caratteristiche di segnale di qualsiasi video alterato, nello stile dei deepfake, e che non dipendono da distribuzioni particolari o da aspetti volatili come il comportamento delle caratteristiche o gli artifact algoritmici.

Test

I ricercatori hanno condotto esperimenti su sei set di dati noti utilizzati nella ricerca sul rilevamento dei deepfake: FaceForensics++ (FF++); WildDeepFake; Deepfake Detection Challenge preview (DFDCP); Celeb-DF; Deepfake Detection (DFD); e Face Shifter (FSh).

Per FF++, i ricercatori hanno addestrato il loro modello sul set di dati originale e hanno testato ciascuno dei quattro subset separatamente. Senza l’uso di alcun materiale di deepfake nell’addestramento, il nuovo metodo è stato in grado di superare i risultati dello stato dell’arte.

Il metodo ha anche preso il primo posto quando confrontato con il set di dati FF++ C23 compresso, che fornisce esempi che presentano gli artifact di compressione che sono credibili in ambienti di visualizzazione dei deepfake del mondo reale.

Gli autori commentano:

‘Le prestazioni all’interno di FF++ convalidano la fattibilità della nostra idea principale, mentre la generalizzabilità rimane un problema importante per i metodi di rilevamento dei deepfake esistenti, poiché le prestazioni non sono garantite quando si testano deepfake generati con tecniche non viste.

‘Considerando ulteriormente la realtà della corsa agli armamenti tra rilevatori e creatori di deepfake, la generalizzabilità è un criterio importante per misurare l’efficacia di un metodo di rilevamento nel mondo reale.’

Sebbene i ricercatori abbiano condotto una serie di sottotest (vedere il paper per i dettagli) su ‘robustezza’ e variando i tipi di video di input (ad esempio reali, falsi, p-faked, ecc.), i risultati più interessanti sono quelli del test per le prestazioni cross-dataset.

Per questo, gli autori hanno addestrato il loro modello sulla versione ‘del mondo reale’ c23 di FF++ e lo hanno testato contro quattro set di dati, ottenendo, affermano gli autori, prestazioni superiori in tutti e quattro.

Risultati dalla sfida cross-dataset. Il paper nota che SBI utilizza un approccio simile a quello degli autori, mentre, affermano i ricercatori, p-fake mostra prestazioni migliori per la disruption della regolarità spazio-temporale.

Risultati dalla sfida cross-dataset. Il paper nota che SBI utilizza un approccio simile a quello degli autori, mentre, affermano i ricercatori, p-fake mostra prestazioni migliori per la disruption della regolarità spazio-temporale.

Il paper afferma:

‘Nel più impegnativo Deepwild, il nostro metodo supera il metodo SOTA di circa 10 punti percentuali in termini di AUC%. Pensiamo che ciò sia dovuto alla grande diversità di deepfake in Deepwild, che fa fallire gli altri metodi nella generalizzazione dai deepfake visti.’

Le metriche utilizzate per i test sono state Accuracy Score (ACC), Area Under the Receiver Operating Characteristic Curve (AUC) e Equal Error Rate (EER).

Contro-attacchi?

Sebbene i media caratterizzino la tensione tra gli sviluppatori di deepfake e i ricercatori di rilevamento dei deepfake in termini di guerra tecnologica, è arguibile che i primi stiano semplicemente cercando di creare output più convincenti, e che la maggiore difficoltà di rilevamento dei deepfake sia un sottoprodotto circostanziale di questi sforzi.

Se gli sviluppatori cercheranno di affrontare questo nuovo punto debole dipenderà forse dal fatto che si sentano o meno che la disruption della regolarità possa essere percepita in un video deepfake, ad occhio nudo, come un segno di inautenticità, e che quindi questa metrica sia degna di essere affrontata da un punto di vista puramente qualitativo.

Sebbene siano trascorsi cinque anni dalla prima apparizione dei deepfake online, la tecnologia dei deepfake è ancora relativamente giovane, e la comunità è probabilmente più ossessionata dal dettaglio e dalla risoluzione che dal contesto corretto o dalla corrispondenza delle firme dei video compressi, entrambi i quali richiedono una certa ‘degradazione’ dell’output – proprio la cosa contro cui l’intera comunità dei deepfake sta attualmente lottando.

Se il consenso generale lì si rivelerà che la disruption della regolarità è una firma nascente che non influenza la qualità, potrebbe non esserci alcuno sforzo per compensarla – anche se può essere ‘annullata’ da alcune procedure di post-elaborazione o in-architettura, il che è ben lontano dall’essere chiaro.

 

Pubblicato per la prima volta il 22 luglio 2022.

mm

Scrittore su apprendimento automatico, specialista di dominio nella sintesi di immagini umane. Ex capo della ricerca contenuti presso Metaphysic.ai.