choses intellectuelles (numéro public: zhidxcom) Code | Dong Wen Shu
Chili choses Avril 20 nouvelles, greffe du visage AI n'est pas nouveau, le marché des applications mobiles a une variété d'applications de greffe du visage, il avait également exposé le réseau IP avec le visage de star film porno faux, lors de la campagne électorale par les candidats rendre l'information fausse image de visage.
Afin d'éviter les conséquences vicieuses abus Deepfake apporte, de nombreux chercheurs tentent d'utiliser classificateur d'évaluation du développement de la technologie AI.
Cependant, Google de recherches récentes et l'Université de Californie, Berkeley, les chercheurs ont montré que le niveau actuel de la technologie ne suffit pas d'identifier 100% préalable d'une greffe de visage fonctionne AI. Un autre à la même conclusion de l'étude menée par l'Université de Californie, San Diego.
Ces résultats appel de réveil pour nous d'être attentifs aux fausses informations production de greffe du visage AI.
La recherche actuelle Google et l'Université de Californie, Berkeley, publié sur le site scientifique arXiv, le document intitulé « boîte blanche, boîte noire attaque by-pass outil d'identification d'image Deepfake (refus Détecteurs Deepfake-Image avec des attaques blanc- et Black-Box) »
Documents lien: https: //arxiv.org/pdf/2004.00622.pdf
Tout d'abord, la préparation expérimentale: formation de trois types de classificateurs, un groupe témoin
AI technologie de greffe du visage est appelé Deepfake, il est basé sur le principe de la confrontation de génération de réseau (réseaux accusatoires génératives, GAN) synthèse fausse image. GAN généré par le réseau et un réseau d'un discriminant.
modèle de processus d'apprentissage GAN est de générer jeu entre le réseau et le processus d'identification du réseau: générer la synthèse de réseau aléatoire d'une image, permettent de déterminer le réseau la vérité de cette identification d'image, ce qui continue d'améliorer la capacité de discrimination « false » en fonction des commentaires donnés par le réseau et finalement atteindre les vrais.
Les chercheurs ont un total de trois classificateurs font le test, dans lequel les deux classificateur tiers, formé en tant que chercheur pour le contrôle du classificateur.
Sélection des classificateurs tiers ont reçu une formation de deux façons différentes.
Le premier modèle de classification basé sur la bande résiduelle profondeur ResNet-50 (réseau profond résiduelle).
ResNet-50 pré-utilisé après une grande bases de données visuelles formation IMAGEnet, la prochaine plus être formés pour distinguer entre les images vraies et fausses. 720000 en utilisant des images de formation comprenant l'ensemble d'apprentissage 4000 image de vérification, la moitié de l'image réelle, l'autre moitié est une image composite générée par PROGAN. le flou de l'image composite et un procédé de compression spatiale de l'amélioration de JEPG.
Après la formation, le classificateur peut identifier avec précision la PROGAN d'image générée, mais aussi autre classification d'image non détectée.
La deuxième méthode d'identification utilise une similarité d'apprentissage du classificateur (basé apprentissage similaire) sur la base. Après la formation de ce classificateur permet d'identifier avec précision la synthèse d'images par les différents générateurs.
L'équipe de recherche a également identifié lui-même construit un modèle de classification, comme un exemple de la commande précitée deux classificateur d'identification. Cette classification utilise 1 million d'images générées PROGAN pour la formation, où l'image vraie et fausse de chaque moitié. Le document fait remarquer que le pipeline de formation classificateur est beaucoup plus simple que ce qui précède deux, de sorte que le taux d'erreur est également plus élevé.
Les chercheurs se classificateur libre accès, le choix des différentes attaques. L'accès au développement du classificateur à l'aide attaque boîte blanche, ne consultons pas ouvert au classificateur à l'aide de la boîte noire attaque.
En outre, les chercheurs du récepteur avec le classificateur d'évaluation courbe caractéristique de fonctionnement correcte (courbe ROC). Critères d'évaluation est la taille de la courbe de la zone (AUC). AUC est dans la plage de 0 à 1, en général AUC > 0,5 ce qui représente une valeur prédictive classificateur, AUC plus élevée plus la valeur représentative de la précision du classificateur.
En second lieu, les quatre types d'attaques boîte blanche, l'ASC est réduit au minimum 0,085
Pour le classificateur accès ouvert, les chercheurs ont évalué la robustesse de son attaque boîte blanche.
attaque boîte blanche dans laquelle un attaquant peut connaître les paramètres de l'algorithme et l'algorithme utilisé dans le classificateur. En générant les données attaque antagoniste, un attaquant peut générer des classificateurs interagir avec le système.
Toutes les images utilisées dans le processus attaquent à partir d'une base de données visuelle de 94,036 images incluses.
Avant le début de l'attaque boîte blanche, basée sur la base de données de classificateur valeurs AUC est 0,97. Même après la mise en uvre d'une stratégie de nettoyage typique des traces de peau d'images de synthèse, les valeurs d'AUC classificateur est resté à 0,94.
Ensuite, les chercheurs ont utilisé quatre attaques boîte blanche. A été étudié dans les quatre attaques conflictuel exemples précédents. manière spécifique à l'attaque est de modifier l'image, le classificateur croient à tort qu'elles sont vraies.
quatre types avant et après l'attaque, classificateur courbe ROC. La ligne continue représente l'image de synthèse bleu format JPEG, représentant d'images de synthèse bleu pointillé du format PNG
La première attaque est de minimiser la distorsion (distorsion en minimisant attaque), on ajoute un petit plus de la de perturbation de l'image de synthèse. X est supposé qu'une image combinée est déterminée à faux est classée, la perturbation appliquée, (x + ) sera déterminé comme vrai.
Les résultats ont montré que 2% de l'inversion de pixel, aura 71,3% de la fausse image est mal identifiée comme de véritables; pixels retourné 4%, 89,7% sera confondu avec une fausse image vraie; pixels retourné 4 à 11%, tout faux l'image sera erronée pour de vrai.
a: le classificateur de reconnaissance d'image faux est vrai; b: le vrai classificateur de reconnaissance d'image est fausse. Le pixel de retournement 1%, aura la moitié de l'image est déterminée en tant que vrai faux; 7% inversant les pixels, il y aura la moitié de l'image réelle est déterminée comme étant faux.
La seconde est de maximiser la perte d'attaque (perte maximisent d'attaque), à savoir la définition d'une fonction plus simple objectif une plus grande mesure pour améliorer l'image composite est déterminé à être vraie probabilité.
Les résultats montrent que la bascule de pixel d'image non compressée 40%, les valeurs d'AUC sera réduit à 0,966 de 0,27.
Le troisième est un patch universel des attaques de confrontation (Universal accusatoire-Patch attaque). Distortion méthode de minimisation de l'attaque présente une limitation: l'attaquant prend 0,1 secondes pour chaque attaque de personnalisation de l'image. Pour compenser cette limitation, les chercheurs ont créé un patch modèle de bruit visuel. Ce patch peut être superposé sur une image fausse, ce qui augmente efficacement la confusion fausse image.
Après le patch de recouvrement, les valeurs d'AUC de classificateur de 0,966 jusqu'à 0,085.
Trois méthodes en appliquant différentes qu'auparavant sur la perturbation de l'image fausse d'influer sur les résultats de la classification, la quatrième attaque est une attaque spatiale latente commune (Universal Latent-Space Attack), qui est, le potentiel de l'espace d'image à l'attaque. Le classement final des valeurs de l'ASC de 0,99 jusqu'à 0,17.
un effet antagoniste d'attaque générique du patch, b ~ d pour l'attaque d'espace commun effet latent. Tous les chiffres sont fausses images pour vrai classificateur erreur
En troisième lieu, les restrictions étaient une boîte noire attaque, la valeur AUC tombe à 0,22
points de papier que, dans la réalité, les sites de réseaux sociaux, sites de rencontres, etc., et ne divulguera pas son algorithme de classification d'identification, il est difficile de dire avant l'attaque boîte blanche.
Face à cette situation, les chercheurs ont mené une attaque de boîte noire. Black Box attaque supposer l'existence de l'autre partie de cette attaque, et une stratégie générale de défense.
Les résultats montrent que, même dans une boîte noire attaque des conditions plus restrictives, l'identification et la classification est facilement influencés par des facteurs antagonistes. Après l'attaque boîte noire, les valeurs d'AUC classificateur jusqu'à 0,22 ou moins.
Conclusion: La classification actuelle a des limites, encore besoin d'autres études
Google et l'Université de Californie, Berkeley équipe de recherche a prouvé que, tant que le traitement approprié de la fausse image, il sera en mesure de « tricher » sur classificateur.
Ce phénomène est inquiétant, écrit le journal: « Le déploiement de la classification telle sera pire que de ne pas déployée, non seulement fausse image elle-même semble être très réelle, une fausse couche classificateur de la justice lui donnera une crédibilité supplémentaire. »
Par conséquent, les chercheurs ont recommandé ouvert jusqu'à nouvelle méthode de détection mis au point peut être identifié par recompression, Redimensionnement, réduire la fausse résolution d'image et d'autres moyens pour faire face à la perturbation.
Il est rapporté qu'il ya de nombreuses institutions sont engagées dans ce travail, tels que Facebook, Amazon Web Services et d'autres organismes ont lancé conjointement le « défi d'identification Deepfake », avant d'explorer à la recherche d'une meilleure solution.
Source: VentureBeat, arXiv
Merci pour la lecture. Cliquez préoccupations à bord avec vous agitez à la pointe de la technologie -