Naukowcy pokazują, jak łatwo można pokonać znaki wodne AI – Ars Technica

Jamesa Marshalla/Getty Images

Suhail Faizi uważa się za osobę optymistyczną. Jednak profesor informatyki na Uniwersytecie Maryland był bezceremonialny, podsumowując obecny stan znakowania wodnego obrazów AI. „W tej chwili nie mamy żadnego wiarygodnego znaku wodnego” – mówi. „Złamaliśmy ich wszystkich”.

Jeśli chodzi o jeden z dwóch typów znaków wodnych wykorzystujących sztuczną inteligencję, które przetestował w nowym badaniu – znaki wodne o „niskich turbulencjach”, które są niewidoczne gołym okiem – jest bardziej bezpośredni: „Nie ma nadziei”.

Veazey i jego współpracownicy sprawdzili, jak łatwo źli aktorzy mogą uniknąć prób znaku wodnego. (Nazywa to „myciem” znaku wodnego). Oprócz pokazania, w jaki sposób osoby atakujące mogą usuwać znaki wodne, badanie pokazuje, w jaki sposób można dodawać znaki wodne do obrazów generowanych przez człowieka, co prowadzi do fałszywych alarmów. Artykuł ten został opublikowany w Internecie w tym tygodniu i nie został jeszcze zrecenzowany; Fizzy jest wiodącą postacią w badaniu sposobu odkrywania sztucznej inteligencji, dlatego warto poświęcić temu badaniu uwagę nawet na tak wczesnym etapie.

To badania na czas. Znaki wodne okazały się jedną z obiecujących strategii identyfikacji obrazów i tekstu generowanego przez sztuczną inteligencję. Tak jak fizyczne znaki wodne umieszczane są na papierowych pieniądzach i znaczkach w celu potwierdzenia ich autentyczności, tak cyfrowe znaki wodne mają na celu śledzenie pochodzenia obrazów i tekstu w Internecie, pomagając ludziom wykrywać fałszywe filmy i książki autorstwa botów. W miarę zbliżania się wyborów prezydenckich w USA w 2024 r. rosną obawy dotyczące manipulacji mediami, a niektórzy ludzie już padają ofiarą oszustw. Na przykład były prezydent USA Donald Trump. abonent Fałszywe wideo Andersona Coopera na jego platformie społecznościowej Truth Social; Głos Coopera odtworzyła sztuczna inteligencja.

Tego lata OpenAI, Alphabet, Meta, Amazon i kilku innych głównych graczy w przestrzeni AI Zastaw Opracowanie technologii znaków wodnych w celu zwalczania dezinformacji. Pod koniec sierpnia Google DeepMind Wydano wersję beta nowego narzędzia do znakowania wodnego SynthID. Mamy nadzieję, że narzędzia te będą oznaczać treści AI już w trakcie ich tworzenia, w taki sam sposób, w jaki fizyczny znak wodny weryfikuje dolary podczas ich drukowania.

READ  Call Of Duty jest na PlayStation jeszcze kilka lat

To potężna i prosta strategia, ale może nie być zwycięska. Niniejsze badanie nie jest jedyną pracą wskazującą na główne wady znaku wodnego. „Powszechnie wiadomo, że znaki wodne mogą być podatne na ataki” – mówi Hani Farid, profesor w Szkole Informacji na Uniwersytecie Kalifornijskim w Berkeley.

W sierpniu ubiegłego roku naukowcy z Uniwersytetu Kalifornijskiego w Santa Barbara i Carnegie Mellon po przeprowadzeniu własnych ataków eksperymentalnych byli współautorami innego artykułu przedstawiającego podobne ustalenia. „Wszystkie niewidoczne znaki wodne są podatne na ataki.” czyta. To nowsze badanie idzie dalej. Chociaż niektórzy badacze wyrazili nadzieję, że widoczne znaki wodne („ekstremalne zakłócenia”) można wyewoluować, aby wytrzymać ataki, Vizi i jego współpracownicy twierdzą, że nawet tak obiecującym typem można manipulować.

Wady w znakach wodnych nie zniechęciły gigantów technologicznych do oferowania tego rozwiązania, ale ludzie pracujący w dziedzinie wykrywania sztucznej inteligencji są zaniepokojeni. „Znaki wodne początkowo wydają się szlachetnym i obiecującym rozwiązaniem, ale ich rzeczywiste zastosowania od samego początku zawodzą, ponieważ można je łatwo sfałszować, usunąć lub zignorować” – mówi Ben Coleman, dyrektor generalny startupu Reality Defender zajmującego się wykrywaniem sztucznej inteligencji.

„Znaki wodne nie są skuteczne” – dodaje Pars Juhasz, współzałożyciel Undetectable, startupu, którego celem jest pomaganie ludziom w unikaniu detektorów AI. „Wyrosły całe branże, takie jak nasza, aby upewnić się, że nie jest to skuteczne”. Według Juhasza firmy takie jak jego są już w stanie świadczyć usługi szybkiego usuwania znaków wodnych.

Inni uważają, że znaki wodne mają znaczenie w odkrywaniu sztucznej inteligencji, o ile rozumiemy ich ograniczenia. „Ważne jest, aby zrozumieć, że nikt nie uważa, że ​​same znaki wodne wystarczą” – mówi Freed. „Ale myślę, że mocne znaki wodne są częścią rozwiązania”. Uważa on, że ulepszanie znaków wodnych, a następnie używanie ich w połączeniu z innymi technikami utrudni złym aktorom stworzenie przekonujących podróbek.

READ  15 lat temu BioShock 2K szturmem podbił świat

Niektórzy koledzy Vizi uważają, że znaki wodne również mają swoje miejsce. „To, czy będzie to cios w znak wodny, zależy w dużej mierze od założeń i nadziei pokładanych w znaku wodnym jako rozwiązaniu” – mówi Yuxin Wen, doktorantka na Uniwersytecie Maryland, która jest współautorką niedawnego artykułu proponującego nową technologię znaku wodnego. Dla Wen i współautorów, w tym profesora informatyki Toma Goldsteina, badanie to stanowi okazję do ponownego rozważenia oczekiwań pokładanych w znaku wodnym, a nie powód do odrzucenia jego użycia jako jednego z wielu narzędzi uwierzytelniania.

„Zawsze znajdą się wyrafinowani aktorzy, którzy będą w stanie uniknąć wykrycia” – mówi Goldstein. „Nie ma nic złego w posiadaniu systemu, który może wykryć tylko niektóre rzeczy”. Postrzega znak wodny jako formę ograniczenia szkód i wartościową w wykrywaniu prób podrabiania sztucznej inteligencji na niższym poziomie, nawet jeśli nie jest w stanie zapobiec atakom na wysokim poziomie.

To złagodzenie oczekiwań mogło już nastąpić. Na swoim blogu ogłaszającym SynthID firma DeepMind ostrożnie zabezpiecza swoje zakłady, Wskazywanie Narzędzie to nie jest „niezawodne” i „nie doskonałe”.

Veezy jest bardzo sceptyczny, czy znaki wodne dobrze wykorzystują zasoby dla firm takich jak Google. „Może powinniśmy się przyzwyczaić, że nie będziemy w stanie wiarygodnie identyfikować obrazów generowanych przez sztuczną inteligencję” – mówi.

Jednak wnioski z jego badań są nieco bardziej optymistyczne. „Z naszych wyników wynika, że ​​zaprojektowanie solidnego znaku wodnego jest zadaniem trudnym, ale niekoniecznie niemożliwym” – stwierdza w piśmie.

Ta historia pierwotnie pojawiła się w Wired.com.

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *