Běsné šíření deepfakes přináší značná rizika – od vytváření obrázků nahých nezletilých až po podvodné propagační akce s využitím deepfakes celebrit – schopnost rozlišit obsah generovaný umělou inteligencí (AIGC) od obsahu vytvořeného člověkem nebyla nikdy tak zásadní.
Jednou z metod identifikace takového obsahu je
Vodoznak, běžné opatření proti padělání, které se objevuje v dokumentech a penězích, s přidáním informací, které pomáhají odlišit obrázek vytvořený umělou inteligencí od obrázku nevytvořeného umělou inteligencí. Nedávná výzkumná práce však dospěla k závěru, že jednoduché nebo dokonce pokročilé metody vodoznaku nemusí skutečně stačit k tomu, aby se zabránilo rizikům spojeným s vydáváním materiálu vytvořeného umělou inteligencí za materiál vytvořený člověkem.
Výzkum provedl tým vědců z Nanyang Technological University, S-Lab, NTU, Chongqing University, Shannon.AI a Zhejiang University.
Jeden z autorů, Li Guanlin, řekl TCN, že „vodoznak může lidem pomoci poznat, zda je obsah vytvořen umělou inteligencí nebo lidmi“. Dodal však, že „pokud je vodoznak na AIGC snadno odstranitelný nebo padělatelný, můžeme přidáním vodoznaku ostatní libovolně přesvědčit, že umělecké dílo je generováno umělou inteligencí, nebo že AIGC je vytvořeno lidmi odstraněním vodoznaku“.
Článek zkoumal různé zranitelnosti současných metod vodoznaku.
„Schémata vodoznaku pro AIGC jsou zranitelná vůči útokům protivníka, který může odstranit vodoznak bez znalosti tajného klíče,“ uvádí se v něm. Tato zranitelnost má reálné důsledky, zejména pokud jde o dezinformace nebo zlomyslné používání obsahu vytvořeného umělou inteligencí.
„Pokud někteří zlomyslní uživatelé šíří po odstranění vodoznaků falešné snímky některých celebrit vygenerované umělou inteligencí, není možné prokázat, že snímky byly vygenerovány umělou inteligencí, protože nemáme dostatek důkazů,“ řekl Li pro TCN.
Li a jeho tým provedli řadu experimentů, při nichž testovali odolnost a integritu současných metod vodoznaků na obsahu generovaném umělou inteligencí. Použili různé techniky k odstranění nebo zfalšování vodoznaků a hodnotili snadnost a účinnost jednotlivých metod. Výsledky shodně ukázaly, že vodoznaky lze relativně snadno narušit.
Postup útoku použitý ve výzkumu. Obrázek: Arvix
Dále hodnotili potenciální reálné důsledky těchto zranitelností, zejména ve scénářích zahrnujících dezinformace nebo škodlivé použití obsahu generovaného umělou inteligencí. Souhrnné poznatky z těchto experimentů a analýz je vedly k závěru, že je naléhavě zapotřebí robustnějších mechanismů vodoznaků.
Přestože společnosti jako OpenAI oznámily, že vyvinuly metody pro detekci obsahu generovaného umělou inteligencí s 99% přesností, celková výzva zůstává. Současné metody identifikace, jako jsou metadata a neviditelné vodoznaky, mají svá omezení.
Li navrhuje, že „pro ochranu AIGC je lepší kombinovat některé kryptografické metody, jako je digitální podpis, se stávajícími schématy vodoznaku“, i když přesná implementace zůstává nejasná.
Jiní výzkumníci přišli s extrémnějším přístupem. Jak nedávno informoval TCN, tým MIT navrhl proměnit obrázky v „jed“ pro modely umělé inteligence. Pokud by se „otrávený“ obrázek použil jako vstup do tréninkové sady dat, výsledný model by poskytl špatné výsledky, protože by zachytil detaily, které nejsou lidským okem viditelné, ale mají velký vliv na proces trénování. Bylo by to jako smrtící vodoznak, který zabíjí model, který se trénuje.
Rychlý pokrok v oblasti umělé inteligence, na který upozornil generální ředitel společnosti OpenAI Sam Altman, naznačuje budoucnost, kdy by přirozené myšlenkové procesy umělé inteligence mohly odrážet lidskou logiku a intuici. S takovým pokrokem se potřeba robustních bezpečnostních opatření, jako je vodoznak, stává ještě naléhavější.
Li se domnívá, že „vodoznaky a správa obsahu jsou nezbytné, protože ve skutečnosti neovlivní běžné uživatele“, ale konflikt mezi tvůrci a protivníky přetrvává. „Vždycky to bude hra na kočku a myš… Proto musíme neustále aktualizovat naše schémata vodoznaků.“
