A kutatók bebizonyították, hogy a detektorok több fronton is legyőzhetőek, ha minden videó képkockába beillesztenek egymásnak ellentmondó elemeket. Az ellentétes elemek enyhén manipulált bemenetek. Ezek a mesterséges intelligencia rendszerek, melyek például a gépi tanulási modellek hibáját okozzák. Ezenkívül felfedezték, hogy a támadás a videó tömörítése után is működik.
„A munkánk azt mutatja, hogy a deepfake detektorok elleni támadások valós veszélyt jelenthetnek” – mondta Shehzeen Hussain, az UC San Diego-i számítástechnikai doktora.
Véleménye szerint az a jelenség még riasztóbb, hogy a támadónak nem kell ismernie a detektorok által használt teljes gépi tanulási modell belső működését ahhoz, hogy védekezni tudjon ellene.
A deepfake az alany arcát módosítja annak érdekében, hogy megtévesztő felvételeket produkáljon olyan eseményekről, melyek valójában meg sem történtek. Ezek kivédésére létrejött detektorok, bármely körültekintéssel is készültek nem elég hatásosak. A tipikus detektorok a szemmozgását és a pislogást figyelik elsősorban, mert ezek a mélyhamisítások során nem jól reprodukálhatóak. A korszerű elemző rendszerek a gépi tanulási modellekre támaszkodnak a hamis videókban.
A digitális média platformjain óriási problémát jelentenek ezek a hamis videók, hiszen széles körben terjednek és szinte bárkihez eljutnak.
„Ha a támadóknak van némi ismerete a detektálórendszer és annak vakfoltjairól, akkor bemeneteket tervezhetnek azok megkerüléséhez" – mondta Paarth Neekhara, az UC San Diego informatikus hallgatója.
A kutatók a mélyhamisítás módszerét alkalmazzák a fejlesztések során, hogy a detektorok a lehető legellenállóbban tudjanak teljesíteni a manipulált videók felismerésében. Olyan deepfaket sikerült megalkotniuk, mely algoritmusa megbecsüli a bementei transzformáció halmazán, hogy a modell mi alapján dönteni el, hogy a képek valósak vagy hamisak. A művelet ezt a becslést használja, így hatékony a tömörítés és a dekompresszió után is. Ez után az arc módosított verziója beillesztésre kerül, melyet kiterjeszt az összes képkockára. Nem csupán az arcot módosítja, hanem alkalmazza a teljes videóképre.
A kutató csoport a forráskódokat nem adja ki, hogy az ne kerülhessen ellenséges kezekbe.
A kutatók két forgatókönyvben tesztelték támadásaikat:
- Az egyikben a támadók teljes hozzáféréssel rendelkeznek a detektormodellhez. Itt a támadás sikere meghaladja a tömörítetlen videók 99 százalékát. A tömörített videók esetében ez 84,96 százalék volt.
- A másikban, a támadók csak a gépi tanulási modellt kérdezhetik meg, hogy kiderítsék annak valószínűségét, hogy egy keret valósnak vagy hamisnak minősül. A sikertelenség tömörítetlenül 86,43, a tömörített videóknál pedig 78,33 százalék volt.
Ez az első olyan munka, amely sikeres támadásokat mutat be a korszerű mélyhamis detektorok ellen.
„Azt mutatjuk be, hogy a mélyhamisítás észlelésének jelenlegi módszere könnyen megkerülhető, ha az ellenfél teljes vagy akár részleges ismeretekkel rendelkezik a detektorról" – mondták a kutatók.