Immagina un film tortuoso su un maestro criminale bloccato in una guerra di ingegni con il più grande detective del mondo.
Il criminale cerca di tirare fuori un enorme trucco di fiducia, usando un gioco di prestigio esperto e una straordinaria capacità di travestirsi praticamente da chiunque sul pianeta. È così bravo in quello che fa che può far credere alle persone di aver visto cose che in realtà non sono mai accadute.
Ma poi incontriamo il detective. È un tipo brillante, fermo davanti a nulla, in grado di individuare il “racconto” di qualsiasi ladro. Sa esattamente cosa cercare, e anche il più piccolo comportamento – un sopracciglio alzato qui, una vocale abbassata là – è sufficiente per avvisarla quando qualcosa non va. È l’unica persona che abbia mai catturato il nostro antagonista, e ora è di nuovo sulle sue tracce.
Tuttavia, c’è un problema: il nostro ladro sa che lei sa cosa cercare. Di conseguenza, ha cambiato il suo gioco, senza che il protagonista se ne accorgesse.
Il problema del deepfake
Questa è, in sostanza, la storia dei deepfake e del rilevamento dei deepfake fino ad ora. Deepfakes, una forma di media sintetici in cui le sembianze delle persone possono essere alterate digitalmente come un remake Face / Off diretto da ricercatori di intelligenza artificiale, sono stati motivo di preoccupazione da quando sono apparsi sulla scena nel 2017. Mentre molti deepfake sono spensierati, rappresentano anche una potenziale minaccia. I deepfake sono stati utilizzati per creare falsi video pornografici che sembrano reali e sono stati utilizzati in bufale politiche, nonché in frodi finanziarie.
Affinché tali bufale diventino un problema ancora più grande, qualcuno deve essere in grado di intervenire e dire, in modo definitivo, quando viene utilizzato un deepfake e quando non lo è.
“I rilevatori di deepfake funzionano cercando quei dettagli di un deepfake che non sono del tutto corretti perlustrando le immagini non solo per le valli misteriose, ma anche per le più piccole buche misteriose.”
I rilevatori di deepfake funzionano cercando quei dettagli di un deepfake che non sono del tutto corretti perlustrando le immagini non solo per le valli misteriose, ma anche per le più piccole buche misteriose. Ritagliano i dati del viso dalle immagini e poi li trasmettono attraverso una rete neurale per scoprirne la legittimità. I dettagli in regalo potrebbero includere cose come il battito delle palpebre riprodotto male.
Ma ora i ricercatori dell’Università della California di San Diego hanno escogitato un modo per sconfiggere i rilevatori di deepfake inserendo quelli che vengono chiamati esempi di contraddittorio nei fotogrammi video. Gli esempi di contraddittorio sono un affascinante – ma terrificante – glitch nella matrice dell’IA. Sono in grado di ingannare anche il più intelligente dei sistemi di riconoscimento, ad esempio, pensando che una tartaruga sia una pistola o un espresso sia una palla da baseball. Lo fanno aggiungendo sottilmente del rumore a un’immagine in modo che la rete neurale faccia la classificazione sbagliata.
Come scambiare un fucile per un rettile bombardato. O un video falso per uno vero.
Ingannare i rilevatori
Facebook ha recentemente lanciato la Deepfake Detection Challenge per accelerare la ricerca sullo sviluppo di rilevatori deepfake. Ma sebbene questi metodi di rilevamento possano raggiungere una precisione superiore al 90% su un set di dati di video falsi e reali, il nostro lavoro mostra che possono essere facilmente aggirati da un aggressore. Un malintenzionato può iniettare un rumore accuratamente predisposto, che è abbastanza impercettibile per l’occhio umano, in ogni fotogramma di un video in modo che venga classificato erroneamente da un rilevatore di vittime.
Gli aggressori possono creare questi video anche se non possiedono una conoscenza specifica dell’architettura e dei parametri del rilevatore. Questi attacchi funzionano anche dopo la compressione dei video, come accadrebbe se fossero condivisi online su una piattaforma come YouTube.
Quando è stato testato, il metodo è stato più del 99% in grado di ingannare i sistemi di rilevamento quando gli è stato concesso l’accesso al modello del rilevatore. Tuttavia, anche ai livelli di successo più bassi – per i video compressi in cui non erano note informazioni sui modelli di rilevatore – li ha comunque sconfitti nel 78,33% delle volte. Non è una gran notizia.