KI-Fake-Face-Generatoren können zurückgespult werden, um die echten Gesichter zu enthüllen, auf die sie trainiert haben

gefälschte Person zurück zu echter Person

Frau Technik | Pexels, diese Person existiert nicht.com

Beschleunigungsmesser helfen Robotern, aufrecht zu bleiben.

Laden Sie die Website hoch Diese Person existiert nicht und es zeigt Ihnen ein menschliches Gesicht, nahezu perfekt in seinem Realismus, aber völlig falsch. Refresh und das neuronale Netzwerk hinter der Site werden eine weitere und eine weitere und eine weitere generieren. Die endlose Folge von KI-gefertigten Gesichtern wird von einem Generative Adversarial Network (GAN) erzeugt – einer Art von KI, die lernt, realistische, aber gefälschte Beispiele der Daten zu produzieren, auf denen sie trainiert wird.

Aber solche generierten Gesichter – die beginnen zu sein Wird in CGI-Filmen und Anzeigen verwendet – vielleicht nicht so einzigartig, wie sie scheinen. In einem Papier mit dem Titel Diese Person existiert (wahrscheinlich). , zeigen Forscher, dass viele von GANs erzeugte Gesichter eine verblüffende Ähnlichkeit mit tatsächlichen Personen aufweisen, die in den Trainingsdaten erscheinen. Die falschen Gesichter können die echten Gesichter, auf die das GAN trainiert wurde, effektiv entlarven, wodurch es möglich wird, die Identität dieser Personen aufzudecken. Die Arbeit ist die jüngste in einer Reihe von Studien, die die weit verbreitete Vorstellung in Frage stellen, dass neuronale Netze Black Boxes sind, die nichts darüber preisgeben, was im Inneren vor sich geht.



Die Leute vermieten ihre Gesichter, um Marketing-Klone im Deepfake-Stil zu werden

KI-gestützte Charaktere, die echten Menschen nachempfunden sind, können in Tausenden von Videos die Hauptrolle spielen und alles sagen, in jeder Sprache.

Um die verborgenen Trainingsdaten aufzudecken, verwendeten Ryan Webster und seine Kollegen von der Universität Caen in der Normandie in Frankreich eine Angriffsart namens Membership Attack, die verwendet werden kann, um herauszufinden, ob bestimmte Daten zum Trainieren eines neuronalen Netzwerkmodells verwendet wurden. Diese Angriffe nutzen in der Regel subtile Unterschiede zwischen der Art und Weise, wie ein Modell Daten behandelt, mit denen es trainiert wurde – und die es daher tausende Male zuvor gesehen hat – und unsichtbaren Daten.

Beispielsweise kann ein Modell ein zuvor ungesehenes Bild genau identifizieren, aber mit etwas weniger Vertrauen als eines, mit dem es trainiert wurde. Ein zweites, angreifendes Modell kann lernen, solche Tells im Verhalten des ersten Modells zu erkennen, und sie verwenden, um vorherzusagen, wann bestimmte Daten, z. B. ein Foto, im Trainingsdatensatz enthalten sind oder nicht.

Solche Angriffe können zu ernsthaften Sicherheitslücken führen. Wenn Sie beispielsweise herausfinden, dass die medizinischen Daten einer Person verwendet wurden, um ein Modell zu trainieren, das mit einer Krankheit in Verbindung steht, kann sich herausstellen, dass diese Person diese Krankheit hat.

Websters Team erweiterte diese Idee so, dass sie, anstatt die genauen Fotos zu identifizieren, die zum Trainieren eines GAN verwendet wurden, Fotos im Trainingsset des GAN identifizierten, die nicht identisch waren, aber anscheinend dieselbe Person abbildeten – mit anderen Worten, Gesichter mit derselben Identität. Dazu generierten die Forscher zunächst Gesichter mit dem GAN und verwendeten dann eine separate Gesichtserkennungs-KI, um festzustellen, ob die Identität dieser generierten Gesichter mit der Identität eines der in den Trainingsdaten gesehenen Gesichter übereinstimmte.

Die Ergebnisse sind beeindruckend. In vielen Fällen fand das Team mehrere Fotos von echten Menschen in den Trainingsdaten, die scheinbar mit den vom GAN generierten falschen Gesichtern übereinstimmten und die Identität von Personen enthüllten, auf die die KI trainiert worden war.

Die linke Spalte in jedem Block zeigt Gesichter, die von einem GAN erzeugt wurden. Diesen falschen Gesichtern folgen drei Fotos von echten Personen, die in den Trainingsdaten identifiziert wurden

UNIVERSITÄT CAEN NORMANDIE

Die Arbeit wirft einige ernsthafte Datenschutzbedenken auf. Die KI-Community hat ein trügerisches Sicherheitsgefühl, wenn sie trainierte Deep-Neural-Network-Modelle teilt, sagt Jan Kautz, Vice President of Learning and Perception Research bei Nvidia.

Theoretisch könnte diese Art von Angriff auch auf andere Daten angewendet werden, die mit einer Person verknüpft sind, wie z. B. biometrische oder medizinische Daten. Andererseits weist Webster darauf hin, dass Menschen mit der Technik auch prüfen könnten, ob ihre Daten ohne ihre Zustimmung zum Trainieren einer KI verwendet wurden.

Künstler könnten herausfinden, ob ihre Arbeit verwendet wurde, um einen GAN in einem kommerziellen Tool zu trainieren, sagt er: Sie könnten eine Methode wie unsere zum Nachweis einer Urheberrechtsverletzung verwenden.

Der Prozess könnte auch verwendet werden, um sicherzustellen, dass GANs private Daten gar nicht erst preisgeben. Das GAN konnte überprüfen, ob seine Kreationen in seinen Trainingsdaten echten Beispielen ähnelten, indem es dieselbe von den Forschern entwickelte Technik verwendete, bevor es sie freigab.

Das Jahr, in dem Deepfakes zum Mainstream wurden Im Jahr 2020 begannen KI-synthetische Medien, sich aus den dunkleren Ecken des Internets zu entfernen.

Das setzt aber voraus, dass man an die Trainingsdaten kommt, sagt Kautz. Er und seine Kollegen bei Nvidia haben eine andere Methode entwickelt, um private Daten offenzulegen, darunter Bilder von Gesichtern und anderen Objekten, medizinische Daten und mehr, die überhaupt keinen Zugriff auf Trainingsdaten erfordern.

3D-Karte der Milchstraße

Stattdessen entwickelten sie einen Algorithmus, der die Daten neu erstellen kann, denen ein trainiertes Modell ausgesetzt war Umkehrung der Schritte, die das Modell durchläuft bei der Verarbeitung dieser Daten. Nehmen Sie ein trainiertes Bilderkennungsnetzwerk: Um zu identifizieren, was sich in einem Bild befindet, leitet das Netzwerk es durch eine Reihe von Schichten künstlicher Neuronen. Jede Ebene extrahiert unterschiedliche Informationsebenen, von Kanten über Formen bis hin zu besser erkennbaren Merkmalen.

Das Team von Kautz stellte fest, dass es ein Modell mitten in diesen Schritten unterbrechen und seine Richtung umkehren konnte, wodurch das Eingabebild aus den internen Daten des Modells neu erstellt wurde. Sie testeten die Technik an einer Vielzahl gängiger Bilderkennungsmodelle und GANs. In einem Test zeigten sie, dass sie Bilder aus ImageNet, einem der bekanntesten Bilderkennungsdatensätze, genau reproduzieren konnten.

Bilder von ImageNet (oben) neben Nachbildungen dieser Bilder, die durch Zurückspulen eines auf ImageNet trainierten Modells (unten) erstellt wurden

Nvidia

Wie in Websters Arbeit ähneln die neu erstellten Bilder den echten sehr. Von der Endqualität waren wir überrascht, sagt Kautz.

Die Forscher argumentieren, dass diese Art von Angriff nicht einfach hypothetisch ist. Smartphones und andere kleine Geräte beginnen, mehr KI zu verwenden. Aufgrund von Batterie- und Speicherbeschränkungen werden Modelle manchmal nur zur Hälfte auf dem Gerät selbst verarbeitet und für die endgültige Rechenleistung in die Cloud gesendet, ein Ansatz, der als Split-Computing bekannt ist. Die meisten Forscher gehen davon aus, dass Split Computing keine privaten Daten vom Telefon einer Person preisgibt, weil nur das Modell geteilt wird, sagt Kautz. Aber sein Angriff zeigt, dass dies nicht der Fall ist.

Kautz und seine Kollegen arbeiten nun daran, Wege zu finden, um zu verhindern, dass Modelle private Daten preisgeben. Wir wollten die Risiken verstehen, damit wir Schwachstellen minimieren können, sagt er.

Obwohl sie sehr unterschiedliche Techniken verwenden, findet er, dass sich seine Arbeit und die von Webster gut ergänzen. Websters Team zeigte, dass private Daten in der Ausgabe eines Modells gefunden werden können; Das Team von Kautz zeigte, dass private Daten preisgegeben werden können, indem man umgekehrt vorgeht und die Eingabe neu erstellt. Beide Richtungen zu erforschen sei wichtig, um besser zu verstehen, wie man Angriffe verhindern könne, sagt Kautz.

verbergen

Tatsächliche Technologien

Kategorie

Unkategorisiert

Technologie

Biotechnologie

Technologierichtlinie

Klimawandel

Mensch Und Technik

Silicon Valley

Computer

Mit News Magazine

Künstliche Intelligenz

Platz

Intelligente Städte

Blockchain

Reportage

Alumni-Profil

Alumni-Verbindung

Mit News Feature

1865

Meine Sicht

77 Mass Avenue

Treffen Sie Den Autor

Profile In Großzügigkeit

Auf Dem Campus Gesehen

Lerne Den Autor Kennen

Alumni-Briefe

Nicht Kategorisiert

77 Massenallee

Rechnen

Tech-Richtlinie

Lernen Sie Den Autor Kennen

Nachrichten

Wahl 2020

Mit Index

Unter Der Kuppel

Feuerwehrschlauch

Unendliche Geschichten

Pandemie-Technologieprojekt

Vom Präsidenten

Titelstory

Fotogallerie

Empfohlen