211service.com
I generatori di volti falsi dell'IA possono essere riavvolti per rivelare i volti reali su cui si sono allenati
Signora Tech | Pexels, thispersondoesnotexist.com
Carica il sito web Questa persona non esiste e ti mostrerà un volto umano, quasi perfetto nel suo realismo ma totalmente falso. Aggiorna e la rete neurale dietro il sito ne genererà un altro, un altro e un altro ancora. La sequenza infinita di volti creati dall'intelligenza artificiale è prodotta da una rete contraddittoria generativa (GAN), un tipo di intelligenza artificiale che impara a produrre esempi realistici ma falsi dei dati su cui viene addestrata.
Ma tali volti generati, che stanno iniziando ad esserlo utilizzato nei film e negli annunci CGI —potrebbero non essere così unici come sembrano. In un articolo intitolato Questa persona (probabilmente) esiste , i ricercatori mostrano che molti volti prodotti dai GAN hanno una sorprendente somiglianza con le persone reali che appaiono nei dati di allenamento. I volti falsi possono smascherare efficacemente i volti reali su cui il GAN è stato addestrato, rendendo possibile esporre l'identità di quegli individui. Il lavoro è l'ultimo di una serie di studi che mettono in dubbio l'idea popolare che le reti neurali siano scatole nere che non rivelano nulla di ciò che accade all'interno.
Storia correlata
Le persone stanno assumendo i loro volti per diventare cloni di marketing in stile deepfake I personaggi basati sull'intelligenza artificiale basati su persone reali possono recitare in migliaia di video e dire qualsiasi cosa, in qualsiasi lingua.
Per esporre i dati di addestramento nascosti, Ryan Webster e i suoi colleghi dell'Università di Caen in Normandia in Francia hanno utilizzato un tipo di attacco chiamato attacco di appartenenza, che può essere utilizzato per scoprire se determinati dati sono stati utilizzati per addestrare un modello di rete neurale. Questi attacchi in genere sfruttano le sottili differenze tra il modo in cui un modello tratta i dati su cui è stato addestrato (e quindi ha visto migliaia di volte prima) e i dati invisibili.
Ad esempio, un modello potrebbe identificare con precisione un'immagine mai vista prima, ma con una sicurezza leggermente inferiore rispetto a quella su cui è stato addestrato. Un secondo modello attaccante può imparare a individuare tali segnali nel comportamento del primo modello e usarli per prevedere quando determinati dati, come una foto, sono nel set di addestramento o meno.
Tali attacchi possono portare a gravi perdite di sicurezza. Ad esempio, scoprire che i dati medici di qualcuno sono stati utilizzati per addestrare un modello associato a una malattia potrebbe rivelare che questa persona ha quella malattia.
Il team di Webster ha esteso questa idea in modo che invece di identificare le foto esatte utilizzate per addestrare un GAN, ha identificato le foto nel set di allenamento del GAN che non erano identiche ma sembravano ritrarre lo stesso individuo, in altre parole, volti con la stessa identità. Per fare ciò, i ricercatori hanno prima generato volti con il GAN e quindi hanno utilizzato un'IA separata per il riconoscimento facciale per rilevare se l'identità di questi volti generati corrispondeva all'identità di uno qualsiasi dei volti visti nei dati di addestramento.
I risultati sono sorprendenti. In molti casi, il team ha trovato più foto di persone reali nei dati di addestramento che sembravano corrispondere ai volti falsi generati dal GAN, rivelando l'identità degli individui su cui l'IA era stata addestrata.
La colonna di sinistra in ogni blocco mostra i volti generati da un GAN. Questi volti falsi sono seguiti da tre foto di persone reali identificate nei dati di allenamento
UNIVERSITÀ DI CAEN NORMANDIA
Il lavoro solleva seri problemi di privacy. La comunità dell'IA ha un senso di sicurezza fuorviante quando condivide modelli di rete neurale profonda addestrati, afferma Jan Kautz, vicepresidente della ricerca sull'apprendimento e la percezione di Nvidia.
In teoria questo tipo di attacco potrebbe applicarsi ad altri dati legati a un individuo, come dati biometrici o medici. D'altra parte, Webster sottolinea che le persone potrebbero anche utilizzare la tecnica per verificare se i loro dati sono stati utilizzati per addestrare un'IA senza il loro consenso.
Gli artisti potrebbero scoprire se il loro lavoro è stato utilizzato per formare un GAN in uno strumento commerciale, dice: Potresti usare un metodo come il nostro per provare la violazione del copyright.
Il processo potrebbe anche essere utilizzato per assicurarsi che i GAN non espongano dati privati in primo luogo. Il GAN potrebbe verificare se le sue creazioni assomigliano a esempi reali nei suoi dati di addestramento, utilizzando la stessa tecnica sviluppata dai ricercatori, prima di rilasciarli.
Storia correlata
L'anno in cui i deepfake sono diventati mainstream Nel 2020, i media sintetici di intelligenza artificiale hanno iniziato ad allontanarsi dagli angoli più bui di Internet.Tuttavia, questo presuppone che tu possa entrare in possesso di quei dati di allenamento, afferma Kautz. Lui e i suoi colleghi di Nvidia hanno escogitato un modo diverso per esporre i dati privati, comprese immagini di volti e altri oggetti, dati medici e altro, che non richiede affatto l'accesso ai dati di allenamento.
Invece, hanno sviluppato un algoritmo in grado di ricreare i dati a cui è stato esposto un modello addestrato invertire i passaggi che il modello attraversa durante l'elaborazione di tali dati. Prendi una rete addestrata di riconoscimento delle immagini: per identificare cosa c'è in un'immagine, la rete lo fa passare attraverso una serie di strati di neuroni artificiali. Ogni livello estrae diversi livelli di informazioni, dai bordi alle forme fino alle caratteristiche più riconoscibili.
Il team di Kautz ha scoperto che potevano interrompere un modello nel mezzo di questi passaggi e invertirne la direzione, ricreando l'immagine di input dai dati interni del modello. Hanno testato la tecnica su una varietà di modelli comuni di riconoscimento delle immagini e GAN. In un test, hanno dimostrato di poter ricreare accuratamente le immagini da ImageNet, uno dei set di dati di riconoscimento delle immagini più noti.
Immagini da ImageNet (in alto) insieme a ricreazioni di quelle immagini realizzate riavvolgendo un modello addestrato su ImageNet (in basso)
NVIDIACome nel lavoro di Webster, le immagini ricreate assomigliano molto a quelle reali. Siamo rimasti sorpresi dalla qualità finale, afferma Kautz.
I ricercatori sostengono che questo tipo di attacco non è semplicemente ipotetico. Smartphone e altri piccoli dispositivi stanno iniziando a utilizzare più intelligenza artificiale. A causa dei limiti della batteria e della memoria, i modelli a volte vengono elaborati solo per metà sul dispositivo stesso e inviati al cloud per l'elaborazione finale, un approccio noto come split computing. La maggior parte dei ricercatori presume che lo split computing non rivelerà alcun dato privato dal telefono di una persona perché solo il modello è condiviso, afferma Kautz. Ma il suo attacco mostra che non è così.
Kautz e i suoi colleghi stanno ora lavorando per trovare modi per impedire ai modelli di divulgare dati privati. Volevamo comprendere i rischi in modo da poter ridurre al minimo le vulnerabilità, afferma.
Anche se usano tecniche molto diverse, pensa che il suo lavoro e quello di Webster si completino bene a vicenda. Il team di Webster ha mostrato che i dati privati possono essere trovati nell'output di un modello; Il team di Kautz ha mostrato che i dati privati possono essere rivelati andando al contrario, ricreando l'input. Esplorare entrambe le direzioni è importante per capire meglio come prevenire gli attacchi, afferma Kautz.