使用基于AI的标记识别深度伪造数据源

中国、Singapore和美国的研究人员之间的合作产生了一个强大的系统，用于“标记”面部照片，使得识别标记不会在深度伪造训练过程中被破坏，这为可能对不正当地抓取源数据的合成图像生成系统的“匿名化”能力造成了损害铺平了道路。

该系统名为 FakeTagger，使用编码器/解码器过程将视觉上不可区分的ID信息嵌入图像，嵌入的信息会被解释为基本的面部特征数据，因此会被抽象过程完好无损地传递，例如，眼或嘴的数据。

FakeTagger架构概述。源数据用于生成“冗余”的面部特征，忽略背景元素，这些元素将通过典型的深度伪造工作流被屏蔽。消息可以在过程的另一端被恢复，并通过适当的识别算法被识别。来源：http://xujuefei.com/felix_acmmm21_faketagger.pdf

该研究来自武汉的网络科学与工程学院、中国教育部的航空信息安全与可信计算重点实验室、美国的阿里巴巴集团、波士顿的东北大学和新加坡的南洋理工大学。

使用FakeTagger的实验结果表明，在四种常见的深度伪造方法中，重新识别率最高可达95%：身份交换（即DeepFaceLab、FaceSwap）；面部重演；属性编辑；以及总合成。

深度伪造检测的不足

尽管过去三年出现了许多新的深度伪造识别方法，但所有这些方法都依赖于可以改进的深度伪造工作流程的缺陷，例如眼神闪烁在未充分训练的模型中，和眨眼不足在早期的深度伪造中，面部集不够多样化。随着新缺陷的发现，免费和开源软件仓库已经消除了它们，要么是故意的，要么是深度伪造技术改进的副产品。

新论文指出，Facebook最近的深度伪造检测比赛（DFDC）中最有效的后置检测方法仅限于70%的准确率，用于识别野外的深度伪造。研究人员将这种代表性失败归因于新颖和创新的GAN和编码器/解码器深度伪造系统，以及深度伪造替换的质量往往较差。

在后一种情况下，这可能是由于深度伪造者工作质量较低，或者当视频上传到共享平台时，由于平台试图限制带宽成本，视频被重新编码为比提交时的比特率大大降低，这可能会导致压缩伪影。讽刺的是，这种图像降级不仅不会干扰深度伪造的明显真实性，反而可能增强幻觉，因为深度伪造视频被归入一种常见的、低质量的视觉惯例，这被认为是真实的。

可存活标记作为模型逆转的辅助

从机器学习输出中识别源数据是一个相对较新的和不断增长的领域，它使得基于知识产权的诉讼成为可能，因为政府目前的宽松的屏幕抓取法规（旨在不扼杀国家在全球人工智能“军备竞赛”中研究的优势）将随着该领域的商业化而发展为更严格的立法。

模型逆转处理从合成系统的输出中识别源数据的映射和识别，在包括自然语言生成（NLG）和图像合成在内的多个领域。模型逆转在重新识别通过生成对抗网络或编码器/解码器转换系统（如DeepFaceLab）抽象过程或模糊、像素化的面部特征方面特别有效。

将有针对性的标记添加到新或现有的面部图像中，是模型逆转技术的一个潜在新辅助工具，水印是一个新兴领域。

事后标记

FakeTagger被设计为事后处理方法。例如，当用户将照片上传到社交网络（通常涉及某种优化过程，很少是原始图像的直接和未经修改的传输）时，算法将处理图像以应用假定的不可磨灭的特征到面部。

或者，算法可以应用于历史图像集合，就像过去二十年中多次发生的那样，大型股票照片和商业图像集合网站试图找到方法来识别未经许可重新使用的内容。

FakeTagger试图从各种深度伪造过程中嵌入可恢复的ID特征。

开发和测试

研究人员测试了FakeTagger针对多个深度伪造软件应用，包括最广泛使用的存储库DeepFaceLab；斯坦福的Face2Face，它可以在图像和身份之间传输面部表情；以及STGAN，它可以编辑面部属性。

测试使用CelebA-HQ进行，CelebA-HQ是一个流行的公开存储库，包含30,000张名人面部图像，分辨率最高可达1024 x 1024像素。

作为基线，研究人员最初测试了传统的图像水印技术，以查看是否可以在深度伪造工作流程的训练过程中存活标记，但这些方法在所有四种方法中都失败了。

FakeTagger的嵌入数据在编码阶段使用基于2015年发布的U-Net卷积网络的架构注入到面部图像中，用于生物医学图像分割。随后，框架的解码部分被训练以找到嵌入的信息。

该过程在模拟GAN的黑盒设置中进行，利用了上述FOSS应用程序/算法，并且没有任何特定的或特殊的访问权限。随机信号被附加到名人图像，并记录为每个图像的相关数据。

在黑盒设置中，FakeTagger能够在四个应用程序的方法中实现超过88.95%的准确率。在白盒场景中，准确率增加到几乎100%。然而，由于这表明未来深度伪造软件的迭代可能直接包含FakeTagger，因此这是一个不太可能在近期发生的场景。

计算成本

研究人员指出，对于FakeTagger来说，最具挑战性的场景是完整的图像合成，例如基于CLIP的抽象生成，因为输入训练数据在这种情况下会受到最深层次的抽象。然而，这并不适用于过去几年主导头条的深度伪造工作流程，因为这些工作流程依赖于忠实地复制定义身份的面部特征。

该论文还指出，敌对攻击者可以尝试添加扰动，例如人工噪声和颗粒，以破坏此类标记系统，尽管这可能会对深度伪造输出的真实性产生不利影响。

此外，他们指出，FakeTagger需要向图像添加冗余数据，以确保嵌入的标记的存活，这可能会在大规模上产生显著的计算成本。

作者们总结说，FakeTagger可能在其他领域（如对抗性雨攻击和其他类型的基于图像的攻击（如对抗性曝光、雾、模糊、渐暗和色彩抖动）中具有潜在的应用价值，用于追踪来源，并且这可能会在其他领域中具有重要意义， and that this could have a notable computational cost at scale. The authors conclude by noting that FakeTagger may have potential for provenance tracking in other domains, such as adversarial rain attacks and other types of image-based attacks, such as adversarial exposure, haze, blur, vignetting and color-jittering.