AI防护AI图像篡改:保护您的图像真实性的智能解决方案
2023年08月01日 由 daydream 发表
226607
0
随着人工智能驱动的技术进入一个新时代,它们能够以近乎完美的精确度制作和操纵图像,模糊了现实与虚构之间的界线,而滥用的威胁也变得更加严重。
最近,像DALL-E和Midjourney这样的先进生成模型因其令人印象深刻的精度和用户友好的界面而受到赞誉,使得生成超写实图像变得相对轻松。随着门槛的降低,即使是没有经验的用户也可以根据简单的文本描述生成和操纵高质量的图像,从无害的图像修改到恶意修改逐渐增多。
诸如水印等技术提供了一种有前景的解决方案,但滥用需要采取预防性(而不仅仅是事后)措施。
在寻求创建这样新措施的过程中,麻省理工学院计算机科学与人工智能实验室(CSAIL)的研究人员开发了一种名为"PhotoGuard"的技术,它使用微小扰动——在人眼看不见但计算机模型可检测到的像素值变化,有效地干扰模型对图像的操纵能力。
PhotoGuard使用两种不同的“攻击”方法来生成这些扰动。更直接的“编码器”攻击针对AI模型中图像的潜在表示,使模型将图像视为随机实体。更复杂的“扩散”方法则定义了一个目标图像,并优化扰动,使最终的图像尽可能接近目标图像。
麻省理工学院电气工程和计算机科学(EECS)的研究生、麻省理工CSAIL的研究生和"PhotoGuard"论文的主要作者Hadi Salman表示:“想象一下虚假灾难性事件欺诈性传播的可能性,例如在重要地标发生爆炸。这种欺骗可以操纵市场趋势和公众情绪,但风险不仅限于公共领域。个人图像可能会被不恰当地更改并用于勒索,在大规模执行时会导致重大的财务影响。”
“在更极端的情况下,这些模型可以模拟声音和图像来制造虚假犯罪,给人们带来心理压力和经济损失。这种行为的迅速性加剧了问题的严重性。即使欺骗最终被揭穿,造成的损害——无论是声誉、情感还是财务损失——通常已发生。这是所有受害人都要面对的现实,从在学校受到欺凌的个人到对整个社会的操纵。”
实际应用中的PhotoGuard
人工智能模型与人类对图像的视角不同。它将图像视为一组描述每个像素颜色和位置的复杂数学数据点——这就是图像的潜在表示。编码器攻击对这种数学表示进行微小调整,导致AI模型将图像视为随机实体。
因此,使用该模型来操纵图像几乎变得不可能。引入的变化非常微小,人眼无法察觉,从而保持了图像的视觉完整性同时确保其受到保护。
第二种更为复杂的“扩散”攻击则从头到尾策略性地针对整个扩散模型。这包括确定所需的目标图像,然后发起优化过程,旨在使生成的图像与预选目标图像尽可能接近。
在实施中,团队在原始图像的输入空间内创建了扰动。这些扰动在推理阶段使用,并应用于图像,为未经授权的操作提供了强大的防御。
麻省理工学院电气工程和计算机科学教授、CSAIL负责人Aleksander Madry说:“我们目睹的人工智能的进步令人叹为观止,但它同时也使得AI的应用存在有益和恶意两种可能。因此,我们迫切需要努力去识别和减轻后者的影响。我认为PhotoGuard是我们对该重要工作的贡献之一。”
扩散攻击比较简单的攻击方式计算量更大,并且需要大量的GPU内存。研究团队称,通过减少扩散过程的步骤来近似处理可以减轻这个问题,从而使该技术更加实用。
为了更好地说明攻击方式,以艺术项目为例。原始图像是一幅绘画作品,目标图像是完全不同的另一幅绘画作品。扩散攻击就像对第一幅绘画进行微小而不可见的改变,使得对于一个AI模型来说,它开始类似于第二幅绘画作品。然而,对于人眼来说,原始绘画保持不变。
通过这样做,任何尝试修改原始图像的AI模型现在都会无意中做出与目标图像相应的改变,从而保护原始图像免受意图上的篡改。结果是,对于人眼观察者来说,图像仍然保持外观上的不变,但可以防止AI模型的未经授权编辑。
至于使用PhotoGuard的一个真实示例,考虑一张包含多个人脸的图像。你可以遮盖任何你不想修改的人脸,然后提示“两个男人参加婚礼”。提交后,系统会相应地调整图像,创建一个合理的描绘两个男人参加婚礼仪式的图像。
现在,考虑保护图像免受编辑,在上传之前向图像添加扰动可以使其免受修改。在这种情况下,与原始的非免疫图像相比,最终输出将缺乏真实感。
合力应对
研究团队表示,对抗图像篡改的关键盟友是图像编辑模型的创建者。为了使PhotoGuard发挥作用,需要各方共同努力。Salman表示:“决策者应考虑制定法规,要求公司保护用户数据免受这种篡改。这些AI模型的开发者可以设计API,自动向用户的图像添加扰动,提供对未经授权编辑的额外保护层。”
尽管PhotoGuard很有前景,但它并不是万灵药。一旦图像上传到网络上,具有恶意意图的个人可能尝试通过添加噪音、裁剪或旋转图像来逆向工程保护措施。然而,过去的对抗性示例研究中有很多工作可以在这里利用,以实施抵制常见图像篡改的鲁棒扰动。
Salman表示:“一个包括模型开发者、社交媒体平台和决策者在内的协作方式能够有效防范未经授权的图像篡改。解决这个紧迫问题至关重要。”
“虽然我很高兴能为这个解决方案做出贡献,但要使这种保护切实可行,还需要做很多工作。开发这些模型的公司需要投资设计强大的免疫装置,以应对这些人工智能工具可能带来的威胁。当我们踏入这个新时代的生成模型时,让我们努力追求潜力和保护的平衡。”
ETH苏黎世联邦理工学院助理教授Florian Tramèr表示:“利用机器学习攻击来抵御滥用技术的做法非常引人注目。这篇论文提供了一个有趣的见解,即生成AI模型的开发者有强烈的动机为其用户提供这种免疫保护,这也可能成为未来的法律要求。”
然而,设计有效抵抗绕过尝试的图像保护措施是一个具有挑战性的问题:一旦生成人工智能公司承诺采用免疫机制并且人们开始将其应用于他们的在线图像,我们需要确保这种保护将针对有动机的对手,他们甚至可能使用在不久的将来开发的更好的生成人工智能模型。设计如此强大的保护是一个难以解决的问题,本文提出了一个令人信服的案例,即生成式人工智能公司应该努力解决这个问题。
来源:https://techxplore.com/news/2023-07-ai-image.html