能把你伪造成色情电影主角的“换脸 AI”,可以用新方法两步破解了
近日,加州大学河滨分校的学者研究出了两步检测 Deepfake 伪造图像的新算法,在对抗 Deepfake 的网络安全竞赛里又前进了一步。
撰文 鲁婧涵
2019 年初,一张利用 AI 技术将杨幂换脸朱茵的动图刷屏朋友圈,获得了大众的广泛关注,关于换脸的微博话题阅读量达 1.3 亿。
杨幂“换脸”朱茵。来源:网络
这项换脸的 AI 技术正是 Deepfake。Deepfake 是英文“deep learning”(深度学习)和“fake”(伪造)的混成词,专指基于人工智能的图像合成技术。此技术可将已有的图像和影片叠加至目标图像或影片上。
在中国,Deepfake 因明星换脸被人熟知。而在国外,它已被大量应用,成为政坛、企业界、媒体圈和伦理界的又一大威胁。
“任何人成为这项技术的攻击目标只是时间问题。”《复仇者联盟》黑寡妇扮演者斯嘉丽·约翰逊在接受华盛顿邮报的采访中表示。2018 年,斯嘉丽·约翰逊已经被叠加到数十个性爱视频中,其中一个“走光”视频在某情色网站上的播放了超 150 万次。
2018 年 9 月,谷歌在其搜索引擎名单中添加了针对“非自愿合成色情视频”的屏蔽选项,但仍无法阻止这些色情视频的创作与传播。
奥巴马也成为了这项技术的应用对象。2018 年,演员兼导演乔丹·皮尔(Jordan Peele)用这种技术制作了一段病毒视频,视频中奥巴马说了一些关于特朗普的煽动性言论。
此外,企业公关、总统竞选等都可能被 Deepfake 伪造的视频和图像所影响。试想,在一个伪造的视频里一名政治候选人正涉嫌实施暴力犯罪,或者一段被篡改的视频里企业 CEO 承认其公司旗舰产品存在安全问题,会引发怎样的轩然大波。如果亚马逊创始人杰夫·贝佐斯(Jeff Bezos)在一段虚假视频中表示亚马逊的利润正在下降,这会导致大规模的股票操纵。
在极端情况下,Deepfake 产生的伪造品还可能引发军事冲突或其他现实生活中的动荡。
于是,对 Deepfake 伪造品的识别成为了科研学者、企业与政治家的重点研究对象。
据《华尔街日报》报道,美国初创公司、政府机构和学术界正在竞相打击 Deepfake 伪造品,因为人们担心,经过篡改的视频和照片将在明年美国总统大选前被用来制造恐慌。
学者表示,检测这些伪造品并不容易,因为伪造图像所需的技术正在迅速发展,而且越来越容易使用。随着智能手机让摄像头无处不在,社交媒体把个人变成了传播媒介,而且这种趋势仍在蔓延,运营社交平台的公司也不确定应该如何处理这个问题。
“虽然人工合成的视频仍然很容易被大多数人发现,但视频辨认窗口正在迅速关闭。” Truepic 首席执行官杰弗里·麦格雷戈(Jeffrey McGregor)表示。Truepic 总部位于圣地亚哥,正在开发图像验证技术。“社会将开始不信任他们看到的每一个内容。”
为了解决这个问题,英国社交网站 Serelay 创建了针对照片和视频的类似 Twitter 的账户验证系统,在照片被拍摄时将照片打上“正版”的标记。当拍摄照片或视频时,Serelay 可以捕捉到相机与手机信号塔或 GPS 卫星之间的关系等数据。
与此同时,美国国防部也在研究 Deepfake 伪造品的鉴证方法。他们的思路是寻找图片和视频中的不一致性,例如不一致的灯光、阴影和相机噪音。
对于更复杂的 Deepfake 伪造品,国防部也会观察图片或视频里人物面部表情和头部运动的不一致性,从而寻找证据。而且,他们试图将鉴证自动化,让计算机算法来检测。
目前,这种取证方法可以应用于数十年前的照片和视频,以及最近用智能手机或数码相机拍摄的照片和视频。
负责美国国防部高级研究计划局(Darpa)媒体取证项目的马特·塔瑞克(Matt Turek)表示,以上两种方法都是解决 Deepfake 造假问题的必要手段。
“我不认为有一个一招制敌的算法或技术解决方案,而是需要一套全局性的方案。”他说。
在最新的研究里,加州大学河滨分校的学者提出了检测 Deepfake 伪造图像的新算法。这种算法能识别未经修改的图像和单像素级图像里的假图像,鉴定准确率在 71% 到 95% 之间,具体鉴定情况取决于使用的样本数据集。但该算法未扩展到对 Deepfake 伪造视频的检测。
新算法的作者之一罗伊·乔杜里(Roy-Chowdhury)说,这项研究成果利用了一系列已经在论文中单独存在的概念,他们以新颖的方式重新结合了这些概念。
算法的一个组成部分是各种“递归神经网络”,它能将有问题的图像分割成小块,然后逐像素观察这些小块。神经网络经过训练可以检测出数千幅 Deepfake 图像,它找到了赝品在单像素水平上的一些特质。
算法结构框架(来源于论文)
乔杜里说,图像经过修改的部分周围的边界往往包含着操作过的痕迹,“如果一个物体被插入,它的边界区域通常具有某些特征。因此,篡改图像的人可能故意让边界变得平滑。我们发现被篡改的图像部分边界通常比自然图像更平滑。”
算法的另一部分是通过一系列编码滤波器传递整个图像。从数学意义上讲,这些滤波器使算法能够在更大、更全面的层次上考虑整个图像。
然后,该算法将逐像素的输出结果与更高层次的编码滤波器分析结果进行比较。当这些并行分析在图像的同一区域触发示警信号时,它就会被标记为可能为 Deepfake 伪造品。
例如,假设将一只鸟的普通图像粘贴到一个空树枝的图片上。
图片仅为示意。来源: Pixabay
在这种情况下,逐像素算法可能会将鸟爪周围的像素标记为有问题的,而编码器算法会在更大的图像中进行鉴别,识别更大范围内的异常。只要这两种神经网络标记出鸟周围图像的同一区域,乔杜里团队的算法就会把鸟和树枝的照片归类为可能的 Deepfake 照片。
这套算法发表于 7 月的 IEEE Transactions on Image Processing 期刊。
接下来,乔杜里团队将会扩展算法以检测 Deepfake 视频。其中包括图像如何逐帧变化,以及能否从变化中识别出可检测的模式。
乔杜里指出,Deepfake 实际上只是网络安全的一个新领域。网络安全是一场持续的的军备竞赛,坏人和好人都在不断进步。
乔杜里表示,这种检测算法能对抗社交媒体时代的新威胁。但他也警告称,对于这些算法,人们不能过度依赖。一个过度可信的检测算法能被试图传播虚假信息的人武器化。这些人利用可信算法的特殊弱点而精心设计的获得真实性验证的 Deepfake 伪造品将更具破坏性。
本文来自微信公众号“科研圈”。如需转载,请在“科研圈”后台回复“转载”,或通过公众号菜单与我们取得联系。
参考文献:
https://ieeexplore.ieee.org/stamp/stamp.jsp?arnumber=8626149
▽ 精彩回顾 ▽