深度揭秘AI换脸原理,为啥最先进分类器也认不出?

文章来源:VentureBeat,arXiv

智东西4月20日消息,AI换脸已不是新鲜事,手机应用市场中有多款换脸app,此前也曾曝出有网络IP用明星的面孔伪造色情影片、在大选期间用竞选者的脸制作虚假影像信息等。

为了规避Deepfake滥用带来的恶性后果,许多研究者尝试用AI技术开发鉴定分类器。

然而,谷歌公司和加州大学伯克利分校的研究人员最近的研究显示,现在的鉴定技术水平还不足以100%甄别出AI换脸作品。另一项由加州大学圣地亚哥分校主导的研究也得出了相同结论。

这些研究结果为我们敲响了警钟,要警惕AI换脸制作的虚假信息。

目前谷歌和加州大学伯克利分校的研究已经发表在学术网站arXiv上,论文标题为《用白盒、黑盒攻击绕过Deepfake图像鉴别工具(Evading Deepfake-Image Detectors with White- and Black-Box Attacks)》

论文链接:https://arxiv.org/pdf/2004.00622.pdf

实验准备:训练3种分类器,设置对照组

实现AI换脸的技术被称为Deepfake,原理是基于生成对抗网络(generative adversarial networks,GAN)合成虚假图片。GAN由一个生成网络和一个判别网络组成。

GAN模型的学习过程就是生成网络和判别网络的相互博弈的过程:生成网络随机合成一张图片,让判别网络判断这张图片的真假,继而根据判别网络给出的反馈不断提高“造假”能力,最终做到以假乱真。

研究人员共对3个分类器做了测试,其中两个为第三方分类器,一个为研究人员训练出的用于对照的分类器。

选用的第三方分类器分别采用两种不同训练方式。

第一个分类器模型基于深度残差网络ResNet-50(Deep residual network)。

用到的ResNet-50预先经过大型视觉数据库ImageNet训练,接下来再被训练用于辨别真假图像。采用包含720000个训练图像、4000个验证图像的训练集,其中一半为真实图像,另一半是用ProGAN生成的合成图像。合成图像采用空间模糊和JEPG压缩方法增强。

经过训练后,这个分类器能准确识别出ProGAN生成的图像,而且还能分类其他未被发现的图像。

第二个鉴定分类器采用的是基于相似性学习(similar learning-based)的方法。经过训练后这款分类器可以准确辨认出由不同生成器合成的图像。

研究团队还自己搭建了一个鉴定分类器模型,作为前述两个鉴定分类器的对照示例。这个分类器采用100万个ProGAN生成的图像进行训练,其中真假图像各占一半。论文中指出,这个分类器的训练管道比前述两种简单很多,因此错误率也更高。

研究人员根据分类器是否开放了访问权限,选用了不同的攻击方式。对开发访问权限的分类器采用白盒攻击;对不开放访问权限的分类器采用黑盒攻击。

另外,研究人员用接收者操作特征曲线(ROC曲线)评估分类器的正确率。评估标准是曲线下面积(AUC)的大小。AUC的取值范围为0~1,一般来说AUC>0.5即代表分类器有预测价值,AUC值越大代表分类器准确率越高。

4种白盒攻击方法,AUC最低被降至0.085

对于开放了访问权限的分类器,研究人员用白盒攻击评估其稳健性。

白盒攻击即攻击者能够获知分类器所使用的算法以及算法使用的参数。在产生对抗性攻击数据的过程中,攻击者能够与分类器系统产生交互。

攻击过程中用到的所有图像都来自一个包含94036张图像的视觉数据库。

开始白盒攻击之前,基于这个数据库的分类器的AUC数值为0.97。即使在执行典型的清洗策略隐藏图像合成痕迹后,分类器的AUC数值仍保持在0.94以上。

接下来研究人员使用了4种白盒攻击方法。这4种攻击在之前的对抗性示例中已有过研究。攻击的具体方式是对图像进行修改,使分类器误认为它们是真实的。

▲四种攻击前后,分类器的ROC曲线图。蓝色实线代表JPEG格式的合成图像,蓝色虚线代表PNG格式的合成图像

第一种是失真最小化攻击(Distortion-minimizing Attack),即对合成图像添加一个较小的加法扰动δ。假设一个合成图像x先被分类器判定为假,施加扰动后,(x+δ)就会被判定为真。

结果显示,像素翻转2%,就会有71.3%的假图像被误判为真;像素翻转4%,会有89.7%的假图像被误判为真;像素翻转4~11%,所有的假图像都会被误判为真。

▲a:分类器把假图像识别为真;b:分类器把真图像识别为假。把像素翻转1%,就会有一半的假图像被判定为真;把像素翻转7%,就会有一半的真图像被判定为假。

第二种是损失最大化攻击(Loss-Maximizing Attack),即定义一个更简单的目标函数,更大限度地提升合成图像被判定为真的概率。

结果显示把未压缩图像的像素翻转40%,AUC值就会从0.966降到0.27。

第三种是通用对抗性补丁攻击(Universal Adversarial-Patch Attack)。失真最小化攻击方法有有一个局限性:攻击者需要花费0.1秒为每个图像定制攻击方式。为了弥补这一局限性,研究人员创建了一个单一的可视噪声模板补丁。这个补丁可以叠加在任何假图像上,有效增加了假图像的迷惑性。

叠加补丁后,分类器的AUC值从0.966降到0.085。

不同于之前三种方法通过对假图像施加扰动来影响分类结果,第四种攻击方法是通用潜空间攻击(Universal Latent-Space Attack),即对图像的潜在空间进行攻击。最终把分类器的AUC值从0.99降到0.17。

▲a为通用对抗性补丁攻击效果,b~d为通用潜空间攻击效果。图中所有假图像都被分类器误判为真

限制条件进行黑盒攻击,AUC值降至0.22以下

论文指出,现实中的社交网站、约会网站等,并不会公开其鉴定分类器的算法,因此很难进行前面所说的白盒攻击。

面对这种情况,研究人员进行了黑盒攻击。黑盒攻击假设对方知道攻击的存在,并且掌握了一般的防御策略。

研究结果显示,即使在这种限制性较强的黑盒攻击条件下,鉴定分类器也很容易受到对抗性因素影响。经过黑盒攻击,分类器的AUC数值下降到0.22以下。

结语:现有分类器有局限性,仍需深入研究

谷歌公司和加州大学伯克利分校研究团队证明,只要对虚假图片适当加以处理,就能使其“骗”过分类器。

这种现象令人担忧,论文中写道:“部署这样的分类器会比不部署还糟糕,不仅虚假图像本身显得十分真实,分类器的误判还会赋予它额外的可信度”。

因此,研究人员建议开创新的检测方法,研究出可以识别经过再压缩、调整大小、降低分辨率等扰动手段处理的假图像。

据悉,目前有许多机构正在从事这一工作,如脸书、亚马逊网络服务及其他机构联合发起了“Deepfake鉴别挑战”,期待能探索出更好的解决方案。

未来智能实验室的主要工作包括:建立AI智能系统智商评测体系,开展世界人工智能智商评测;开展互联网(城市)云脑研究计划,构建互联网(城市)云脑技术和企业图谱,为提升企业,行业与城市的智能水平服务。

  如果您对实验室的研究感兴趣,欢迎加入未来智能实验室线上平台。扫描以下二维码或点击本文左下角“阅读原文”

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/487981.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

中美德工业互联网路径比较

转自丨无锡情报所作者丨王喜文,九三学社中央促进技术创新工作委员会委员、九三学社中央科技委委员过去20年,互联网是改变社会、改变商业最重要的技术;如今,随着5G、物联网以及云计算和大数据、区块链、人工智能技术的迅速发展&…

不同浏览器隐藏默认表单样式

各种appearance: none; 转载于:https://www.cnblogs.com/haimingpro/p/7168738.html

jmeter file upload 变量_通达OA上传漏洞之变量覆盖分析

作者:kw0ng开始通达OA上传到包含漏洞分析的文章已经有很多,本文重点分析,文件上传处决定路径信息是否回显的UPLOAD_MODE参数是怎么传递的。代码分析触发文件上传点位于/ispirit/im/upload.php中,服务端在接收文件信息的同时还需要…

如果卷积神经网络存在根本性的缺陷,你会怎么看?

来源:人工智能头条作者 | Ben Dickson译者 | 香槟超新星经过一段漫长时期的沉寂之后,人工智能正在进入一个蓬勃发展的新时期,这主要得益于深度学习和人工神经网络近年来取得的长足发展。更准确地说,人们对深度学习产生的新的兴趣在…

产业|嵌入式传感器将是未来机器人等技术增长的核心

来源:EEWORLD移动即服务(MaaS)被认为是智能移动的一个关键要素,而机器人汽车技术将是智能移动的一个重要因素,它又高度依赖于嵌入式传感器。根据市场研究和战略咨询公司Yole development pement (Yole)的预测,在这种情况下&#x…

可观测宇宙中,我们可能是唯一的生命

图片来源:Pixabay长期以来,人类一直渴望在宇宙中找到地外生命的痕迹,但一项于今年早些时候发表的研究,给持有此类想法的人泼了一盆冷水。基于“自然发生”学说以及其中的“RNA世界”假说,研究人员认为在可观测宇宙中&a…

中国工程院发布“中国电子信息工程科技发展十六大挑战”

来源:通信世界全媒体通信世界网消息(CWW)为响应中央决策部署,推进我国新型数字基础设施建设,推动我国电子信息工程科技领域高质量发展,助力数字基建科学发展驱动壮大经济新动能。4月26日,中国工程院信息与电子学部、中…

Unix下5种I/O模型

Unix下I/O模型主要分为5种: (1)阻塞式I/O (2)非阻塞式I/O (3)I/O复用(select和poll) (4)信号驱动式I/O (5)异步I/O 1、阻塞式I/O模型 unix基本的套…

2019年智能科学与产业综述论文盘点

来源:计算机研究与发展2019年综述论文盘点1.智能芯片的评述和展望(韩栋,周聖元,支天,陈云霁,陈天石)2.闪存存储的重构与系统构建技术(陆游游,杨者,舒继武)3.基于动态权衡的新型非易失存储器件体系结构研究综述&#xf…

h命令可以获取mysql客户端的帮助信息_如何获取MySQL帮助信息

在开发或测试环境在碰到MySQL相关故障时,大多数朋友可能会通过论坛发帖,QQ群讨论方式来获取帮助。该方式是获取帮助的有效途径之一。然而如果在生产环境,在没有网络的环境下,这些方式就无助于问题的解决。无论何种数据库&#xff…

AI与人类围棋士的差距到底有多大?

来源:计算广告四年前,谷歌旗下DeepMind公司开发的围棋人工智能AlphaGo以4-1战胜韩国大国手李世乭九段。今天,AlphaGo在大众视野中掀起的惊涛骇浪已渐平息,AlphaGo和李世乭都已从江湖退隐。然而,围棋界因AlphaGo而起的沧…

mariadb使用mysql驱动_MariaDB安装与使用

下载相对应的电脑版本程序等待下载完成......安装教程:双击运行设置数据库的密码等待安装完成..这样就完成安装了。安装完成,会在桌面生成这个图标双击可以直接使用下面我通过两种方式来使用MariaDB数据库(可视化,命令行)通过可视化方式使用。…

脑机接口技术重大突破!首次帮助瘫痪男子恢复运动和触觉

来源:网易智能触觉是我们感受外部世界不可或缺的感官,但许多人却因脊髓损伤或因患病瘫痪而失去这种能力。不过,最近非营利组织巴特尔研究所的研究人员宣称,他们首次利用脑机接口(BCI)技术帮助一名美国瘫痪男…

python海龟图画龙珠_火影,海贼王,七龙珠,还在为漫画书发愁!我用Python一键生成电子漫画书...

小时候看漫画都是要买书的,一本好几块钱,成本那个高啊后来可以在线看漫画,感觉真是爽不过近几年新的问题又出现了:漫画网站广告太多,更重要的是越来越多的作品、章节出于各种原因被下架、限制观看。为了提升观看体验&a…

谷歌自揭“家丑”:医疗AI实验室表现超神,临床结果却不佳

来源:澎湃新闻在医疗领域,尤其是在医学影像筛查过程中,人工智能常被描述为完美的工作者。它们能准确识别疾病,拥有人类专家级的发现能力,还不知疲倦。但与许多技术一样,在实验室取得成功是一回事&#xff0…

mysql 移植ucos_基于STM32F767的UCOSIII移植学习

(一)移植前的准备1.HAL库基本工程模板新建一个工程模块,其中包含LED驱动和串口驱动程序即可,用于验证UCOS-III系统能够正常工作。2.UCOS-III源码准备去Micrium官网下载最新的UCOSIII源码,下载地址:Micrium官网下载地址&#xff0c…

美国5G到底怎么了?

来源:网优雇佣军美国司法部长威廉巴尔(William Barr)在2月6日应华盛顿智库“战略与国际研究中心”(CSIS, Center for Strategic & International Studies)邀请,参加了“中国倡议”会议(Chin…

SQL实践篇(一):使用WebSQL在H5中存储一个本地数据库

文章目录 简介本地存储都有哪些?如何使用WebSQL打开数据库事务操作SQL执行 在浏览器端做一个英雄的查询页面如何删除本地存储参考文献 简介 WebSQL是一种操作本地数据库的网页API接口,通过它,我们可以操作客户端的本地存储。 WebSQL曾经是H…

预计2024年之前载人登月!NASA授予马斯克贝索斯公司大单

来源:小小据外媒报道,当地时间周四,美国宇航局(NASA)宣布选中埃隆马斯克(Elon Musk)旗下美国太空探索技术公司SpaceX、杰夫贝索斯(Jeff Bezos)的蓝色起源公司(Blue Origin)和Dynetics为其设计和建造月球着陆系统&#…

java 遗传算法_[原]遗传算法Java实现源代码

【Title】[原]遗传算法Java实现源代码【Date】2013-04-07【Abstract】以前学习遗传算法时,用Java实现的遗传算法程序,现整理分享出来。【Keywords】wintys、遗传、算法、algorithm、种群、基因、个体、进化、染色体、适应度、Rosenbrock【Environment】W…