Los generadores de rostros falsos de IA se pueden rebobinar para revelar los rostros reales en los que se entrenaron

persona falsa rebobinar a persona real

Sra. Tecnología | Pexels, estapersonanoexiste.com





Cargar el sitio web Esta persona no existe y te mostrará un rostro humano, casi perfecto en su realismo pero totalmente falso. Actualizar y la red neuronal detrás del sitio generará otro, y otro, y otro. La secuencia interminable de caras creadas por IA es producida por una red antagónica generativa (GAN), un tipo de IA que aprende a producir ejemplos realistas pero falsos de los datos en los que se entrena.

Pero esos rostros generados, que empiezan a ser utilizado en películas y anuncios CGI —Puede que no sean tan únicos como parecen. En un trabajo titulado Esta persona (probablemente) existe , los investigadores muestran que muchas caras producidas por GAN tienen un parecido sorprendente con las personas reales que aparecen en los datos de entrenamiento. Los rostros falsos pueden desenmascarar efectivamente los rostros reales en los que se entrenó el GAN, lo que permite exponer la identidad de esas personas. El trabajo es el último de una serie de estudios que ponen en duda la idea popular de que las redes neuronales son cajas negras que no revelan nada sobre lo que sucede en su interior.

Las personas están alquilando sus rostros para convertirse en clones de marketing de estilo deepfake

Los personajes impulsados ​​por IA basados ​​en personas reales pueden protagonizar miles de videos y decir cualquier cosa, en cualquier idioma.



Para exponer los datos de entrenamiento ocultos, Ryan Webster y sus colegas de la Universidad de Caen Normandy en Francia usaron un tipo de ataque llamado ataque de membresía, que se puede usar para averiguar si ciertos datos se usaron para entrenar un modelo de red neuronal. Estos ataques suelen aprovechar las diferencias sutiles entre la forma en que un modelo trata los datos en los que se entrenó (y, por lo tanto, ha visto miles de veces antes) y los datos no vistos.

Por ejemplo, un modelo puede identificar con precisión una imagen nunca antes vista, pero con un poco menos de confianza que una en la que se entrenó. Un segundo modelo atacante puede aprender a detectar esas señales en el comportamiento del primer modelo y usarlas para predecir cuándo ciertos datos, como una foto, están en el conjunto de entrenamiento o no.

Estos ataques pueden dar lugar a graves filtraciones de seguridad. Por ejemplo, descubrir que los datos médicos de alguien se usaron para entrenar un modelo asociado con una enfermedad podría revelar que esta persona tiene esa enfermedad.



El equipo de Webster amplió esta idea de modo que, en lugar de identificar las fotos exactas que se usaron para entrenar una GAN, identificaron fotos en el conjunto de entrenamiento de la GAN que no eran idénticas pero parecían representar al mismo individuo; en otras palabras, rostros con la misma identidad. Para hacer esto, los investigadores primero generaron rostros con GAN y luego usaron una IA de reconocimiento facial separada para detectar si la identidad de estos rostros generados coincidía con la identidad de cualquiera de los rostros vistos en los datos de entrenamiento.

Los resultados son sorprendentes. En muchos casos, el equipo encontró varias fotos de personas reales en los datos de entrenamiento que parecían coincidir con los rostros falsos generados por la GAN, lo que revelaba la identidad de las personas en las que se había entrenado la IA.

La columna de la izquierda en cada bloque muestra las caras generadas por una GAN. Estas caras falsas van seguidas de tres fotos de personas reales identificadas en los datos de entrenamiento.



UNIVERSIDAD DE CAEN NORMANDÍA

El trabajo plantea algunas preocupaciones serias sobre la privacidad. La comunidad de IA tiene una sensación de seguridad engañosa cuando comparte modelos de redes neuronales profundas entrenados, dice Jan Kautz, vicepresidente de investigación de aprendizaje y percepción en Nvidia.

En teoría, este tipo de ataque podría aplicarse a otros datos vinculados a un individuo, como datos biométricos o médicos. Por otro lado, Webster señala que las personas también podrían utilizar la técnica para comprobar si sus datos se han utilizado para entrenar una IA sin su consentimiento.

Los artistas podrían averiguar si su trabajo se ha utilizado para entrenar a un GAN en una herramienta comercial, dice: podría usar un método como el nuestro como evidencia de infracción de derechos de autor.



El proceso también podría usarse para asegurarse de que las GAN no expongan datos privados en primer lugar. La GAN pudo verificar si sus creaciones se parecían a ejemplos reales en sus datos de entrenamiento, utilizando la misma técnica desarrollada por los investigadores, antes de publicarlos.

El año en que los deepfakes se generalizaron En 2020, los medios sintéticos de IA comenzaron a alejarse de los rincones más oscuros de Internet.

Sin embargo, esto supone que puede obtener esos datos de entrenamiento, dice Kautz. Él y sus colegas de Nvidia han ideado una forma diferente de exponer datos privados, incluidas imágenes de rostros y otros objetos, datos médicos y más, que no requiere acceso a datos de entrenamiento en absoluto.

En cambio, desarrollaron un algoritmo que puede recrear los datos a los que ha estado expuesto un modelo entrenado por invirtiendo los pasos por los que pasa el modelo al procesar esos datos. Tome una red de reconocimiento de imágenes entrenada: para identificar lo que hay en una imagen, la red lo pasa a través de una serie de capas de neuronas artificiales. Cada capa extrae diferentes niveles de información, desde bordes hasta formas y características más reconocibles.

El equipo de Kautz descubrió que podían interrumpir un modelo en medio de estos pasos e invertir su dirección, recreando la imagen de entrada a partir de los datos internos del modelo. Probaron la técnica en una variedad de modelos comunes de reconocimiento de imágenes y GAN. En una prueba, demostraron que podían recrear con precisión imágenes de ImageNet, uno de los conjuntos de datos de reconocimiento de imágenes más conocidos.

Imágenes de ImageNet (arriba) junto con recreaciones de esas imágenes hechas al rebobinar un modelo entrenado en ImageNet (abajo)

NVIDIA

Como en el trabajo de Webster, las imágenes recreadas se parecen mucho a las reales. Nos sorprendió la calidad final, dice Kautz.

Los investigadores argumentan que este tipo de ataque no es simplemente hipotético. Los teléfonos inteligentes y otros dispositivos pequeños están comenzando a usar más IA. Debido a las limitaciones de la batería y la memoria, los modelos a veces solo se procesan a medias en el propio dispositivo y se envían a la nube para la crisis informática final, un enfoque conocido como computación dividida. La mayoría de los investigadores suponen que la computación dividida no revelará ningún dato privado del teléfono de una persona porque solo se comparte el modelo, dice Kautz. Pero su ataque muestra que este no es el caso.

Kautz y sus colegas ahora están trabajando para encontrar formas de evitar que los modelos filtren datos privados. Queríamos comprender los riesgos para poder minimizar las vulnerabilidades, dice.

Aunque utilizan técnicas muy diferentes, él piensa que su trabajo y el de Webster se complementan bien. El equipo de Webster demostró que se podían encontrar datos privados en el resultado de un modelo; El equipo de Kautz demostró que los datos privados podían revelarse yendo a la inversa, recreando la entrada. Explorar ambas direcciones es importante para llegar a una mejor comprensión de cómo prevenir los ataques, dice Kautz.

esconder