研究人员测试人工智能水印–全部破解

Admin 2023-10-9 372 10/9

一个研究小组发现,规避当前的水印方法很容易,甚至可以在真实图像上添加假水印。

索海尔-费齐(SOHEIL FEIZI)认为自己是一个乐观的人。但这位马里兰大学计算机科学教授在总结人工智能图像水印的现状时却直言不讳。"他说:"目前我们还没有任何可靠的水印技术。"我们打破了所有的水印。

对于他在一项新研究中测试的两种人工智能水印中的一种--肉眼看不见的 "低扰动 "水印,他说得更直接:"没有希望了"。

费齐和他的合著者研究了坏人逃避水印尝试的难易程度(他称之为 "洗掉 "水印)。(他称之为 "洗掉 "水印。)除了展示攻击者如何去除水印外,该研究还展示了如何在人为生成的图像中添加水印,从而引发误报。这篇预印论文本周在网上发布,尚未经过同行评审,但费兹一直是人工智能检测领域的领军人物,因此即使在早期阶段也值得关注。

这是一项及时的研究。水印已成为识别人工智能生成的图像和文本的最有前途的策略之一。正如在纸币和邮票上嵌入物理水印以证明其真实性一样,数字水印也是为了追踪在线图像和文本的来源,帮助人们识别深度伪造的视频和机器人编写的书籍。2024 年美国总统大选在即,人们对被操纵的媒体高度关注,有些人已经上当受骗。例如,美国前总统唐纳德-特朗普(Donald Trump)就在他的 "真相社交 "平台上分享了一段假冒安德森-库珀(Anderson Cooper)的视频;库珀的声音是人工智能克隆的。

今年夏天,OpenAI、Alphabet、Meta、亚马逊和其他几家主要的人工智能公司承诺开发水印技术,以打击虚假信息。8 月底,谷歌的 DeepMind 发布了新水印工具 SynthID 的测试版。人们希望这些工具能在人工智能内容生成时对其进行标记,就像在印刷美元时对其进行实物水印认证一样。

这是一个稳健、直接的策略,但可能不会成功。这项研究并不是唯一一项指出水印主要缺点的研究。"加州大学伯克利分校信息学院教授哈尼-法里德(Hany Farid)说:"水印容易受到攻击,这一点已经得到公认。

今年 8 月,加州大学圣塔芭芭拉分校和卡内基梅隆大学的研究人员在进行了自己的实验性攻击后,共同撰写了另一篇论文,概述了类似的发现。"论文写道:"所有隐形水印都是脆弱的。这项最新研究走得更远。虽然一些研究人员对开发出能够抵御攻击的可见("高扰动")水印抱有希望,但费齐和他的同事们说,即使是这种更有希望的类型也可以被操纵。

水印的缺陷并没有让科技巨头们放弃将其作为一种解决方案,但人工智能检测领域的从业人员却对此保持警惕。"人工智能检测初创公司 Reality Defender 的首席执行官本-科尔曼(Ben Colman)说:"水印初听起来是一种高尚而有前途的解决方案,但在现实世界中,当水印很容易被伪造、移除或忽略时,它的应用从一开始就失败了。

"致力于帮助人们躲避人工智能探测器的初创公司 Undetectable 的联合创始人巴尔斯-尤哈斯(Bars Juhasz)补充说:"水印是无效的。"像我们这样的整个行业,都是为了确保它无效而兴起的。" 朱哈斯认为,像他这样的公司已经有能力提供快速去除水印的服务。

另一些人则认为,只要我们了解水印的局限性,它在人工智能检测中确实有一席之地。"法里德说:"重要的是要明白,没有人认为单靠水印就足够了。"但我相信,强大的水印是解决方案的一部分。他认为,改进水印技术,然后将其与其他技术结合使用,将使坏人更难制造出令人信服的假货。

费兹的一些同事也认为水印技术有其存在的价值。"马里兰大学的博士生温雨欣(Yuxin Wen)说:"这是否是对水印技术的打击,在很大程度上取决于对水印技术作为一种解决方案的假设和希望。对于温宇新和他的合作者(包括计算机科学教授汤姆-戈尔茨坦)来说,这项研究是一个重新审视人们对水印所寄予的期望的机会,而不是否定水印作为众多认证工具之一的理由。

"总有一些老练的行为者能够躲过检测,"戈德斯坦说。"拥有一个只能检测到某些东西的系统是没有问题的"。他认为水印是减少危害的一种形式,即使它无法阻止高级攻击,但对于捕捉较低级别的人工智能造假企图很有用。

这种期望值的降低可能已经在发生了。DeepMind 在宣布 SynthID 的博文中小心翼翼地规避风险,指出该工具 "并非万无一失","也并非完美无缺"。

对于像谷歌这样的公司来说,水印是一种很好的资源利用方式,费齐基本上持怀疑态度。"他说:"也许我们应该习惯这样一个事实:我们无法可靠地标记人工智能生成的图像。

不过,他的论文在结论上还是略显乐观。"根据我们的研究结果,设计稳健的水印是一项具有挑战性的任务,但未必是不可能完成的任务。

- THE END -
最后修改:2023年10月9日

非特殊说明,本博所有文章均为博主原创。