Yapay zeka yüz değişimi ilkesini derinlemesine ortaya çıkarın, neden en gelişmiş sınıflandırıcılar bunu fark edemiyor?
Akıllı şeyler (genel hesap: zhidxcom) düzenlendi | Dong Wenshu
Smart Things 20 Nisan'da yapay zeka yüz değiştirmenin yeni bir şey olmadığını bildirdi.Mobil uygulama pazarında birçok yüz takas uygulaması var.Ayrıca, İnternet IP'nin genel seçim sırasında yıldızların ve kampanyacıların yüzleriyle sahte pornografik videolar yaptığı da ortaya çıktı. Yüz yanlış görüntü bilgisi verme vb.
Deepfake'in kötüye kullanımının neden olduğu zararlı sonuçlardan kaçınmak için birçok araştırmacı, kimlik sınıflandırıcıları geliştirmek için AI teknolojisini kullanmaya çalışıyor.
Bununla birlikte, Google ve California Üniversitesi, Berkeley'den araştırmacılar tarafından yapılan son araştırmalar, mevcut tanımlama teknolojisi seviyesinin yapay zeka yüz değiştiren işlerin% 100'ünü tanımlamak için yeterli olmadığını gösteriyor. California Üniversitesi, San Diego tarafından yürütülen bir başka çalışma da aynı sonuca vardı.
Bu araştırma sonuçları bizim için alarm verdi, yapay zeka tarafından üretilen yanlış bilgilere karşı uyanık olmalıyız.
Şu anda, Google ve California Üniversitesi, Berkeley'in araştırması arXiv akademik web sitesinde yayınlandı. Makalenin başlığı "Beyaz ve Kara Kutu Saldırıları ile Derin Sahte Görüntü Dedektörlerinden Kurtulmak".
Makaleye bağlantı: https://arxiv.org/pdf/2004.00622.pdf
1. Deney hazırlığı: 3 tür sınıflandırıcıyı eğitin ve bir kontrol grubu oluşturun
Yapay zekanın yüz değiştirmesini gerçekleştiren teknolojiye Deepfake denir ve ilke, üretici rakip ağlara (GAN) dayalı sahte görüntüleri sentezlemektir. GAN, üretici bir ağdan ve ayırt edici bir ağdan oluşur.
GAN modelinin öğrenme süreci, üretim ağı ile ayrımcılık ağı arasındaki karşılıklı oyun sürecidir: üretim ağı bir resmi rastgele sentezler ve ayrımcılık ağı resmin gerçekliğini değerlendirir ve ardından ayrımcılık ağı tarafından verilen geri bildirimlere dayanarak "sahte" yeteneği sürekli olarak geliştirir. , Ve sonunda sahte yapın.
Araştırmacılar, ikisi üçüncü taraf sınıflandırıcı ve biri karşılaştırma için araştırmacılar tarafından eğitilmiş bir sınıflandırıcı olmak üzere toplam 3 sınıflandırıcıyı test etti.
Seçilen üçüncü taraf sınıflandırıcılar iki farklı eğitim yöntemi kullanır.
İlk sınıflandırıcı modeli, derin artık ağ ResNet-50'ye (Derin artık ağ) dayanmaktadır.
Kullanılan ResNet-50, büyük bir görsel veritabanı olan ImageNet tarafından önceden eğitilmiştir ve ardından doğru ve yanlış görüntüleri ayırt etmek için eğitilmiştir. Yarısı gerçek görüntü, diğer yarısı ise ProGAN tarafından oluşturulan sentetik görüntü olmak üzere 720.000 eğitim görüntüsü ve 4000 doğrulama görüntüsü içeren bir eğitim seti kullanılmaktadır. Sentezlenen görüntü, uzamsal bulanıklık ve JEPG sıkıştırma yöntemi ile geliştirilmiştir.
Eğitimden sonra bu sınıflandırıcı, ProGAN tarafından oluşturulan görüntüleri doğru bir şekilde tanıyabilir ve diğer keşfedilmemiş görüntüleri de sınıflandırabilir.
İkinci tanımlama sınıflandırıcı, benzer bir öğrenmeye dayalı yöntemi kullanır. Eğitimden sonra, bu sınıflandırıcı, farklı üreticiler tarafından sentezlenen görüntüleri doğru bir şekilde tanıyabilir.
Araştırma ekibi ayrıca yukarıda belirtilen iki tanımlama sınıflandırıcısının karşılaştırmalı bir örneği olarak kendi başına bir tanımlama sınıflandırıcı modeli oluşturdu. Bu sınıflandırıcı, eğitim için ProGAN tarafından oluşturulan 1 milyon görüntü kullanır; bunların yarısı doğru ve yanlış görüntüler. Makale, bu sınıflandırıcının eğitim hattının önceki ikisinden çok daha basit olduğuna, dolayısıyla hata oranının da daha yüksek olduğuna işaret etti.
Araştırmacılar, sınıflandırıcının erişim haklarını açıp açmadığına göre farklı saldırı yöntemleri seçmişlerdir. Erişim haklarını geliştiren sınıflandırıcılara beyaz kutu saldırıları kullanın; erişim haklarını açmayan sınıflandırıcılara kara kutu saldırıları kullanın.
Ek olarak, araştırmacılar sınıflandırıcının doğruluğunu değerlendirmek için alıcı çalışma karakteristik eğrisini (ROC eğrisi) kullandılar. Değerlendirme kriteri, eğrinin altındaki alanın (AUC) boyutudur. AUC'nin değer aralığı 0 ~ 1'dir, genel olarak AUC > 0.5, sınıflandırıcının tahmin değerine sahip olduğu ve AUC değeri ne kadar büyükse sınıflandırıcının doğruluğunun o kadar yüksek olduğu anlamına gelir.
2. AUC 0.085'e düşürülmüş dört beyaz kutu saldırı yöntemi
Açık erişim haklarına sahip sınıflandırıcılar için, araştırmacılar sağlamlıklarını değerlendirmek için beyaz kutu saldırıları kullandılar.
Beyaz kutu saldırısı, saldırganın sınıflandırıcı tarafından kullanılan algoritmayı ve algoritma tarafından kullanılan parametreleri öğrenebileceği anlamına gelir. Düşman saldırı verileri oluşturma sürecinde saldırgan, sınıflandırıcı sistemle etkileşime girebilir.
Saldırıda kullanılan tüm görüntüler 94036 görsellik bir görsel veritabanından geldi.
Beyaz kutu saldırısına başlamadan önce, bu veritabanına dayalı sınıflandırıcının AUC değeri 0,97 idi. Görüntü sentezi izlerini gizlemek için tipik temizleme stratejileri gerçekleştirdikten sonra bile, sınıflandırıcının AUC değeri 0,94'ün üzerinde kalır.
Ardından, araştırmacılar dört beyaz kutu saldırı yöntemi kullandılar. Bu dört saldırı, önceki rakip örneklerde incelenmiştir. Saldırının özel yöntemi, sınıflandırıcıyı yanlışlıkla gerçek olduklarına inandırmak için görüntüleri değiştirmektir.
Dört saldırıdan önce ve sonra sınıflandırıcının ROC eğri grafiği. Mavi düz çizgi, JPEG formatındaki bileşik görüntüyü temsil eder ve mavi noktalı çizgi, PNG formatındaki bileşik görüntüyü temsil eder
Birincisi, kompozit görüntüye küçük bir ek rahatsızlık ekleyen Bozulmayı En aza indiren Saldırıdır. Bir kompozit görüntünün x'in ilk önce sınıflandırıcı tarafından yanlış olarak değerlendirildiği varsayıldığında, pertürbasyon uygulandıktan sonra (x + ) doğru olarak değerlendirilecektir.
Sonuçlar, pikselin% 2'si çevrilirse, sahte görüntülerin% 71,3'ünün doğru olarak yanlış değerlendirileceğini; pikselin% 4'ü, sahte görüntülerin% 89,7'sinin doğru olarak yanlış değerlendirileceğini; piksel% 4 ~ 11 ters çevrilmiş, tümü yanlış olduğunu gösteriyor Görüntüler doğru olarak yanlış değerlendirilecek.
a: Sınıflandırıcı, sahte görüntüyü doğru olarak tanır; b: Sınıflandırıcı, gerçek görüntüyü yanlış olarak tanır. Pikseli% 1 oranında çevirirseniz, yanlış görüntünün yarısı doğru, pikseli% 7 çevirirseniz gerçek görüntünün yarısı yanlış olarak değerlendirilir.
İkincisi, birleşik görüntünün doğru olduğuna karar verme olasılığını en üst düzeye çıkarmak için daha basit bir hedef işlevi tanımlayan Kaybı Maksimize Eden Saldırıdır.
Sonuç, sıkıştırılmamış görüntünün piksellerinin% 40 oranında çevrilmesiyle AUC değerinin 0,966'dan 0,27'ye düşeceğini göstermektedir.
Üçüncü tür, Evrensel Düşman-Yama Saldırısıdır. Bozulmayı en aza indirme saldırı yönteminin bir sınırlaması vardır: saldırganın, her görüntü için saldırı yöntemini özelleştirmek için 0,1 saniye harcaması gerekir. Bu sınırlamayı telafi etmek için, araştırmacılar tek bir görsel gürültü şablonu yaması oluşturdular. Bu yama herhangi bir sahte görüntünün üzerine eklenebilir ve sahte görüntünün kafa karışıklığını etkili bir şekilde artırır.
Yamaları kapladıktan sonra sınıflandırıcının AUC değeri 0,966'dan 0,085'e düştü.
Sahte görüntüyü bozarak sınıflandırma sonuçlarını etkileyen önceki üç yöntemden farklı olarak, dördüncü saldırı yöntemi görüntünün gizli boşluğuna bir saldırı olan Evrensel Gizli-Uzay Saldırısıdır. Son olarak, sınıflandırıcının AUC değeri 0,99'dan 0,17'ye düşürülmüştür.
General a genel düşman yama saldırısı etkisidir, b ~ d genel gizli uzay saldırısı etkisidir. Resimdeki tüm sahte görüntüler, sınıflandırıcı tarafından doğru olarak yanlış değerlendirilir
3. Kara kutu saldırıları için kısıtlı koşullar, AUC değeri 0,22'nin altına düşer
Makale, sosyal ağ sitelerinin, tanışma sitelerinin vb. Gerçekte kimlik sınıflandırıcı algoritmalarını ifşa etmediğine, dolayısıyla yukarıda bahsedilen beyaz kutu saldırılarını gerçekleştirmenin zor olduğuna dikkat çekti.
Bu durumla karşı karşıya kalan araştırmacılar, kara kutu saldırısı düzenledi. Kara kutu saldırısı, rakibin saldırının varlığını bildiğini ve genel bir savunma stratejisine sahip olduğunu varsayar.
Araştırma sonuçları, bu tür kısıtlayıcı kara kutu saldırı koşullarında bile, tanımlama sınıflandırıcısının rakip faktörlerden kolayca etkilendiğini göstermektedir. Kara kutu saldırısından sonra, sınıflandırıcının AUC değeri 0.22'nin altına düştü.
Sonuç: Mevcut sınıflandırıcıların sınırlamaları vardır ve hala derinlemesine çalışılmaları gerekir
Google ve California Üniversitesi, Berkeley'deki araştırma ekibi, sahte resimler düzgün bir şekilde kullanıldığı sürece sınıflandırıcıyı "aldatabileceklerini" kanıtladı.
Bu fenomen endişe verici. Makalede şöyle diyor: "Böyle bir sınıflandırıcı kullanmak, onu dağıtmamaktan daha kötü. Yalnızca yanlış görüntünün kendisi çok gerçek görünmekle kalmıyor, aynı zamanda sınıflandırıcının yanlış yargısı da ona ekstra güvenilirlik sağlıyor."
Bu nedenle araştırmacılar, yeniden sıkıştırma, yeniden boyutlandırma ve çözünürlük azaltma gibi rahatsız edici yollarla işlenebilecek sahte görüntüleri incelemek için yeni bir tespit yöntemi geliştirmeyi önermektedir.
Facebook, Amazon Web Services ve diğer kuruluşlar gibi birçok kuruluşun şu anda bu işle uğraştığı ve daha iyi çözümler keşfetmeyi dört gözle bekleyen "Deepfake Identification Challenge" ı başlattıkları bildirildi.
Makale kaynağı: VentureBeat, arXiv
Okuduğunuz için teşekkürler. Gemide takip etmek ve sizi teknolojide ön plana çıkarmak için tıklayın ~
