Deepfake 新剋星:火眼金睛鑑假臉,還能推算造假模型的結構
6 月 18 日報道,看看下面這些人的照片,你能看出什麼問題嗎?
這些或微笑或笑容滿面的人,都是假的,由一個名為 StyleGAN 的著名人工智慧(AI)模型生成,現實生活中並不存在。
Deepfake 深度偽造技術愈發強大,令人們難以分辨它所偽造影象的真假,一旦這一技術被大規模用於惡意意圖,則將後患無窮。
對此,Facebook 與密歇根州立大學(MSU)合作,提出了一種新研究方法,不僅能檢測出假圖片,而且能通過逆向工程,發現偽造出這個假圖的 AI 生成模型是如何設計的。
值得注意的是,有些生成模型是此前從未見過的,通過一系列超引數分析,這種新研究方法仍能找出一些偽造圖片的共同來源。
這將幫助有效追蹤到各種社交網路上傳播的以假亂真的圖片,以及發現協同虛假資訊或使用深度偽造發起的其他惡意攻擊。
Facebook 研究科學家 Tal Hassner 稱:“在標準基準上,我們得到了最先進的結果。”
用“指紋”鑑定影象的來源
Facebook 的新 AI 方法,是如何工作的?
▲模型解析流程
研究人員首先通過指紋估計網路(FEN)運行了一組深度偽造影象,來估計 AI 生成模型留下的指紋細節。
什麼是指紋?
對於人類而言,指紋就像個人標識一樣,具有不變性、唯一性、可分類性。
具備類似特徵的標識也存在於裝置上。例如在數碼攝影中,因製造過程的不完善,特定裝置會在其產生的每張影象上留下獨特的圖案,可被用於識別產生影象的數碼相機。這種圖案被稱之為裝置指紋。
同樣,影象指紋是生成模型在生成的影象中留下的獨特圖案,能用來識別影象來自的生成模型。
在深度學習時代前,研究人員常用一套小型的、手工製作的、眾所周知的工具來生成圖片。這些生成模型的指紋通過其手工特徵來估計。而深度學習使得工具能無限生成影象,致使研究人員不可能通過手工特徵來識別指紋屬性。
由於可能性無窮無盡,研究人員決定根據指紋的一般屬性,使用不同的約束條件來估計指紋,這些屬性包括指紋大小、重複性質、頻率範圍和對稱頻率響應。
然後,這些約束通過不同的損失函式被反饋到 FEN 中,以強制生成的指紋具有這些所需的屬性。指紋生成完成後,就能用作模型解析的輸入。
通過識別這些影象中的獨特指紋,Facebook 的 AI 可以分辨出哪些偽造影象由同一個生成模型建立。
▲影象歸因:找出哪些影象由同一個生成模型產生
模擬超引數,推斷 deepfake 模型結構
每個生成模型,都有自己獨特的超引數。
超引數是被用於指導模型自學過程的變數。比如模型的網路結構、訓練損失函式型別的超引數設定,都會對生成影象的方式和結果產生影響。
如果能弄清楚各種超引數,則可以由此找出建立某一影象的生成模型。
為了更好地理解超引數,Facebook 團隊將生成模型比作是一種汽車,其超引數則是各種特定的發動機部件。不同的汽車可能看起來很相似,但在引擎蓋下,它們可以有非常不同的引擎和元件。
研究人員稱,其逆向工程技術有點像根據聲音來識別汽車的部件,即使此前從未聽說過這輛車。
▲逆向工程技術能找出未知模型的特徵
一旦系統能夠始終如一地將真指紋與深度偽造指紋分開,它就會將所有假指紋轉儲到一個解析模型中,以模擬出它們的各種超引數。
通過其模型解析方法,研究人員可以估計用於建立 deepfake 的模型網路結構,比如有多少層,或者被訓練了什麼損失函式。
為了便於訓練,他們對網路結構中的一些連續引數進行了歸一化處理,並對損失函式型別進行了層次學習。
由於生成模型在網路架構和訓練損失函式方面存在很大差異,從 deepfake 或生成影象到超引數空間的對映,使他們能夠批判性地理解用於建立它的模型的特徵。
▲通過模型解析,可以推斷出未知模型是如何設計的
從 100 個生成模型,合成 10 萬張假圖
為了測試這一方法,密歇根州立大學的研究團隊將從 100 個公開可獲得的生成模型中生成的 10 萬張合成影象,整合到一個偽造影象資料集中。
這 100 個生成模型中的每一個,都對應著一個由整個科學界研究人員開發和共享的開源專案。一些開源專案已經發布了偽造圖片。
在這種情況下,密歇根州立大學的研究團隊隨機挑選了 1000 張圖片。在開源專案沒有任何可用偽造影象的情況下,研究團隊執行他們釋出的程式碼,生成 1000 張合成影象。
考慮到測試影象可能來自現實世界中不可見的生成模型,研究團隊通過交叉驗證來模擬現實世界的應用,以訓練和評估其模型對資料集的不同分割。
▲從 100 個生成模型中每一個生成的影象在左邊產生一個估計的指紋,在右邊產生一個相應的頻譜。許多頻譜顯示出不同的高頻訊號,而有些頻譜看起來彼此相似。
除了模型解析,其 FEN 可以用於 deepfake 檢測和影象歸因。對於這兩個任務,研究人員添加了一個淺層網路,輸入估計的指紋並執行二值(深 deepfake 檢測)或多類分類(影象歸屬)。
雖然 Facebook 的指紋估計不是為這些任務量身定製的,但研究人員稱,他們仍然取得了具有競爭力的技術水平的結果,這表明其指紋估計具有出色的泛化能力。
來自 100 個生成模型的深度偽造影象的多樣化集合意味著其模型是通過代表性選擇建立的,具有更好的泛化跨人類和非人類表示的能力。
儘管一些用於生成深度偽造的原始影象是公開可用的人臉資料集中的真實個人影象,密歇根州立大學研究團隊開始了法醫風格的分析,使用深度偽造影象,而不是用於建立它們的原始影象。
由於該方法涉及將深度偽造影象解構到其指紋,研究團隊分析了該模型能否將指紋映射回原始影象內容。
結果表明,這種情況沒有發生,這證實了指紋主要包含生成模型留下的痕跡,而不是原始深度偽造的內容。
所有用於這項研究的假臉影象,以及逆向工程過程的所有實驗,都來自密歇根州立大學。
密歇根州立大學將向更廣泛的研究社群開放資料集、程式碼和訓練模型,以促進各個領域的研究,包括深度偽造檢測、影象歸因和生成模型的逆向工程。
結語:深偽 vs 防深偽,長期的貓鼠遊戲
Facebook 與密歇根州立大學的這一研究,推動了 deepfake 檢測的理解邊界,引入了更適合真實世界部署的模型解析概念。
這項工作將為研究人員和從業人員提供工具,以更好地調查協調虛假資訊事件,使用深度偽造,併為未來的研究開闢新的方向。
但值得注意的是,即便是最先進的結果,也未必全然可靠。去年 Facebook 舉辦深度檢測大賽,獲勝演算法只能檢測到 AI 操縱的視訊的 65.18%。
研究人員認為,使用演算法發現 deepfake,仍是一個“未解決的問題。”部分原因是,生成 AI 領域非常活躍,每天都有新的技術釋出,任何檢測器幾乎不可能完全跟上。
當被問及是否會出現這種新方法無法檢測到的生成模型時,Hassner 同意:“我預計會這樣。”他認為,deepfake 研發與 deepfake 檢測的研發,“將繼續是一場貓鼠遊戲”。