AI-generators voor nepgezichten kunnen worden teruggespoeld om de echte gezichten te onthullen waarop ze hebben getraind

nep persoon terugspoelen naar echte persoon

mevrouw Tech | Pexels, dezepersoonbestaat.com



hoe werkt moxie?

Laad de website op Deze persoon bestaat niet en het zal je een menselijk gezicht laten zien, bijna perfect in zijn realisme en toch volledig nep. Vernieuwen en het neurale netwerk achter de site genereert nog een, en nog een, en nog een. De eindeloze reeks AI-gemaakte gezichten wordt geproduceerd door een generatief adversarial netwerk (GAN) - een type AI dat leert realistische maar nepvoorbeelden te produceren van de gegevens waarop het is getraind.

Maar zulke gegenereerde gezichten - die beginnen... gebruikt in CGI-films en advertenties - misschien niet zo uniek zijn als ze lijken. In een paper getiteld Deze persoon bestaat (waarschijnlijk) , laten onderzoekers zien dat veel gezichten van GAN's een opvallende gelijkenis vertonen met echte mensen die in de trainingsgegevens voorkomen. De nepgezichten kunnen effectief de echte gezichten ontmaskeren waarop de GAN is getraind, waardoor het mogelijk wordt om de identiteit van die personen bloot te leggen. Het werk is het laatste in een reeks onderzoeken die het populaire idee in twijfel trekken dat neurale netwerken zwarte dozen zijn die niets onthullen over wat er binnenin gebeurt.





Mensen verhuren hun gezicht om deepfake-achtige marketingklonen te worden

AI-aangedreven personages op basis van echte mensen kunnen in duizenden video's schitteren en alles zeggen, in elke taal.

Om de verborgen trainingsgegevens bloot te leggen, gebruikten Ryan Webster en zijn collega's van de Universiteit van Caen Normandië in Frankrijk een soort aanval, een lidmaatschapsaanval genaamd, die kan worden gebruikt om erachter te komen of bepaalde gegevens zijn gebruikt om een ​​neuraal netwerkmodel te trainen. Deze aanvallen maken doorgaans gebruik van subtiele verschillen tussen de manier waarop een model gegevens behandelt waarop het is getraind - en dus duizenden keren eerder heeft gezien - en ongeziene gegevens.

Een model kan bijvoorbeeld een voorheen ongeziene afbeelding nauwkeurig identificeren, maar met iets minder vertrouwen dan een afbeelding waarop het is getraind. Een tweede, aanvallend model kan dergelijke signalen leren herkennen in het gedrag van het eerste model en ze gebruiken om te voorspellen wanneer bepaalde gegevens, zoals een foto, in de trainingsset zitten of niet.



Dergelijke aanvallen kunnen leiden tot ernstige beveiligingslekken. Als u er bijvoorbeeld achter komt dat iemands medische gegevens zijn gebruikt om een ​​model te trainen dat verband houdt met een ziekte, kan dit onthullen dat deze persoon die ziekte heeft.

Het team van Webster breidde dit idee uit, zodat in plaats van de exacte foto's te identificeren die werden gebruikt om een ​​GAN te trainen, ze foto's in de trainingsset van de GAN identificeerden die niet identiek waren, maar dezelfde persoon leken af ​​te beelden, met andere woorden, gezichten met dezelfde identiteit. Om dit te doen, genereerden de onderzoekers eerst gezichten met de GAN en gebruikten vervolgens een afzonderlijke gezichtsherkenning AI om te detecteren of de identiteit van deze gegenereerde gezichten overeenkwam met de identiteit van een van de gezichten die in de trainingsgegevens te zien waren.

De resultaten zijn opvallend. In veel gevallen vond het team meerdere foto's van echte mensen in de trainingsgegevens die overeenkwamen met de nepgezichten die door de GAN waren gegenereerd, waardoor de identiteit werd onthuld van personen op wie de AI was getraind.

De linkerkolom in elk blok toont gezichten die zijn gegenereerd door een GAN. Deze nepgezichten worden gevolgd door drie foto's van echte mensen die in de trainingsgegevens zijn geïdentificeerd



UNIVERSITEIT VAN CAEN NORMANDI

Het werk roept enkele ernstige privacyproblemen op. De AI-gemeenschap heeft een misleidend gevoel van veiligheid bij het delen van getrainde diepe neurale netwerkmodellen, zegt Jan Kautz, vice-president van leer- en perceptieonderzoek bij Nvidia.

In theorie zou dit soort aanvallen van toepassing kunnen zijn op andere gegevens die aan een persoon zijn gekoppeld, zoals biometrische of medische gegevens. Aan de andere kant wijst Webster erop dat mensen de techniek ook kunnen gebruiken om te controleren of hun gegevens zonder hun toestemming zijn gebruikt om een ​​AI te trainen.

Kunstenaars zouden kunnen achterhalen of hun werk is gebruikt om een ​​GAN te trainen in een commerciële tool, zegt hij: Je zou een methode als de onze kunnen gebruiken voor bewijs van inbreuk op het auteursrecht.

Het proces kan ook worden gebruikt om ervoor te zorgen dat GAN's in de eerste plaats geen privégegevens vrijgeven. De GAN kon controleren of zijn creaties leken op echte voorbeelden in zijn trainingsgegevens, met behulp van dezelfde techniek die door de onderzoekers was ontwikkeld, voordat ze werden vrijgegeven.

Het jaar waarin deepfakes mainstream werden In 2020 begonnen AI-synthetische media zich te verwijderen van de donkere hoeken van het internet.

Maar dat veronderstelt dat je die trainingsgegevens kunt bemachtigen, zegt Kautz. Hij en zijn collega's bij Nvidia hebben een andere manier bedacht om privégegevens bloot te leggen, waaronder afbeeldingen van gezichten en andere objecten, medische gegevens en meer, waarvoor helemaal geen toegang tot trainingsgegevens nodig is.

tweede leven geld verdienen

In plaats daarvan ontwikkelden ze een algoritme dat de gegevens kan herscheppen waaraan een getraind model is blootgesteld door het omkeren van de stappen die het model doorloopt bij het verwerken van die gegevens. Neem een ​​getraind netwerk voor beeldherkenning: om te identificeren wat er in een afbeelding staat, stuurt het netwerk het door een reeks lagen kunstmatige neuronen. Elke laag extraheert verschillende niveaus van informatie, van randen tot vormen tot meer herkenbare kenmerken.

Het team van Kautz ontdekte dat ze een model in het midden van deze stappen konden onderbreken en de richting omkeren, waarbij het invoerbeeld opnieuw werd gecreëerd op basis van de interne gegevens van het model. Ze testten de techniek op verschillende gangbare beeldherkenningsmodellen en GAN's. In één test toonden ze aan dat ze afbeeldingen nauwkeurig opnieuw konden maken van ImageNet, een van de bekendste datasets voor beeldherkenning.

Afbeeldingen van ImageNet (boven) naast recreaties van die afbeeldingen gemaakt door een model terug te spoelen dat op ImageNet is getraind (onder)

NVIDIA

Net als in het werk van Webster lijken de opnieuw gemaakte afbeeldingen sterk op de echte. We waren verrast door de uiteindelijke kwaliteit, zegt Kautz.

De onderzoekers stellen dat dit soort aanvallen niet louter hypothetisch is. Smartphones en andere kleine apparaten beginnen meer AI te gebruiken. Vanwege batterij- en geheugenbeperkingen worden modellen soms slechts voor de helft verwerkt op het apparaat zelf en naar de cloud gestuurd voor het laatste computerprobleem, een benadering die bekend staat als split computing. De meeste onderzoekers gaan ervan uit dat split computing geen privégegevens van iemands telefoon onthult, omdat alleen het model wordt gedeeld, zegt Kautz. Maar zijn aanval toont aan dat dit niet het geval is.

Kautz en zijn collega's werken nu aan manieren om te voorkomen dat modellen privégegevens lekken. We wilden de risico's begrijpen, zodat we kwetsbaarheden kunnen minimaliseren, zegt hij.

Ook al gebruiken ze heel verschillende technieken, hij vindt dat zijn werk en dat van Webster elkaar goed aanvullen. Het team van Webster toonde aan dat privégegevens te vinden zijn in de uitvoer van een model; Het team van Kautz toonde aan dat privégegevens kunnen worden onthuld door in omgekeerde richting te gaan en de invoer opnieuw te creëren. Het verkennen van beide richtingen is belangrijk om beter te begrijpen hoe aanvallen kunnen worden voorkomen, zegt Kautz.

zich verstoppen

Werkelijke Technologieën

Categorie

Geen Categorie

Technologie

Biotechnologie

Technisch Beleid

Klimaatverandering

Mensen En Technologie

Siliconen Vallei

Computergebruik

Mit Nieuws Tijdschrift

Kunstmatige Intelligentie

Ruimte

Slimme Steden

Blockchain

Toekomst Verhaal

Alumni Profiel

Alumni Aansluiting

Mit Nieuws-Functie

1865

Mijn Uitzicht

Massaweg 77

Ontmoet De Auteur

Profielen In Vrijgevigheid

Gezien Op De Campus

Alumnibrieven

Nieuws

Verkiezingen 2020

Met Index

Onder De Koepel

Brandslang

Oneindige Verhalen

Pandemisch Technologieproject

Van De President

Coververhaal

Fotogallerij

Aanbevolen