Вместе с появлением моделей искусственного интеллекта, способных настолько искусно создавать и редактировать фотореалистичные изображения, что глаз человека не способен заметить разницу между реальностью и имитацией, растет количество подделок. Простые в использовании нейросети DALL-E или Midjourney предоставляют свои услуги всем желающим сгенерировать изображение по словесному описанию. Результаты могут быть совершенно невинными, а могут служить неблаговидным целям. Инженеры MIT придумали новый способ защиты общества от дезинформации.

Можно защитить изображение при помощи нанесения водяных знаков, но об этом нужно думать заранее. Желая предложить другое решение, инженеры из Лаборатории информатики и искусственного интеллекта MIT разработали систему PhotoGuard, которая использует пертурбации — мельчайшие изменения в значениях пикселей, невидимые человеческому глазу, но заметные компьютерной модели — которые успешно сопротивляются способности ИИ вносить правки в изображение.

«Подумайте об опасности мошеннического распространения ложных сообщений о катастрофах, , например, о взрыве на каком-нибудь важном объекте. Этот обман может повлиять на рынок ценных бумаг и настроения в обществе, но риски не ограничиваются общественной сферой. Личные изображения могут быть изменены неподобающим образом и использованы для шантажа, что может иметь значительные экономические последствия, если такое будет происходить повсеместно, — сказал Хади Салман, один из участников проекта. — В крайних случаях, эти модели могут имитировать голоса и фотографии непроисходивших преступлений, вызывая психологическое волнение и финансовые потери».

Проблему составляет скорость работы таких технологий. Даже если обман позже вскроется, репутационные, психологические и материальные потери уже состоялись.

Для создания этих пертурбаций PhotoGuard использует два разных метода «атаки»: более непосредственная атака кодированием воздействует на скрытое представление изображения в модели ИИ. ИИ-модели видят изображение не так, как люди. Для них оно — набор математических данных, описывающих цвет и положение каждого пикселя. Это и есть скрытое представление. Атака кодированием заставляет модель воспринимать изображение как случайную сущность. Она вносит мелкие изменения в эти данные, в результате которых модель практически теряет способность редактировать изображение. При этом, как пишет MIT News, для человека в изображении ничего не меняется, он не замечает такую защиту.

Более сложная (и более ресурсоемкая) атака диффузией направлена на весь цикл работы модели. Она определяет желаемое конечное изображение и запускает процесс оптимизации, который делает так, чтобы конечное изображение как можно ближе походило на то, которое было выбрано как отправное. В результате охраняемое изображение выглядит неизменно для человека.

Несмотря на потенциал PhotoGuard, этот метод — не панацея. Как только изображение попадает в сеть, злоумышленники могут попытаться обойти защитные меры, применив распространенные инструменты редактирования. Однако этому можно воспрепятствовать при помощи уже существующих методов.