Głębokie podróbki: Neuroset został nauczony generowania podróbek dźwięku i obrazu

2024 Autor: Seth Attwood | [email protected]. Ostatnio zmodyfikowany: 2023-12-16 16:14

Aby stworzyć „indywidualny” obrazek dla każdego z nas i fałszować wybrane w nim doniesienia medialne, wystarczy dziś wysiłek jednego programisty. Specjaliści od sztucznej inteligencji i cyberbezpieczeństwa powiedzieli o tym Izwiestia.

Niedawno oszacowali, że wymaga to pracy wielu zespołów. Takie przyspieszenie stało się możliwe wraz z rozwojem technologii ataków na sieci neuronowe oraz generowaniem podróbek audio i wideo za pomocą programów do tworzenia „głębokich podróbek”. Gazeta Izwiestia została niedawno poddana podobnemu atakowi, kiedy trzy libijskie portale informacyjne jednocześnie opublikowały wiadomość, która rzekomo pojawiła się w jednym z numerów. Według ekspertów w ciągu 3-5 lat możemy spodziewać się inwazji robotycznych manipulatorów, które automatycznie będą w stanie stworzyć wiele podróbek.

Odważny nowy świat

Coraz więcej jest projektów, które dostosowują obraz informacyjny do percepcji konkretnych użytkowników. Przykładem ich pracy była niedawna akcja trzech libijskich portali, które opublikowały wiadomość rzekomo opublikowaną w numerze Izwiestia 20 listopada. Twórcy podróbki zmodyfikowali pierwszą stronę gazety, umieszczając na niej informację o negocjacjach feldmarszałka Chalify Haftara z premierem Rządu Zgody Narodowej (PNS) Fayezem Sarrajem. Fałszowi, pisanemu krojem pisma Izwiestija, towarzyszyło zdjęcie dwóch przywódców zrobione w maju 2017 roku. Etykieta z logo wydawnictwa została wycięta z aktualnego wydania z 20 listopada, a wszystkie pozostałe teksty na stronie z numeru 23 października.

Z punktu widzenia specjalistów, w dającej się przewidzieć przyszłości takie fałszerstwa mogą odbywać się automatycznie.

„Technologie sztucznej inteligencji są teraz całkowicie otwarte, a urządzenia do odbierania i przetwarzania danych ulegają miniaturyzacji i stają się coraz tańsze”, Yuri Vilsiter, doktor nauk fizycznych i matematycznych, profesor Rosyjskiej Akademii Nauk, kierownik wydziału FSUE „GosNIIAS” powiedział Izwiestia. - Jest więc bardzo prawdopodobne, że w niedalekiej przyszłości nawet państwo i wielkie korporacje, ale po prostu osoby prywatne będą mogły nas podsłuchiwać i szpiegować, a także manipulować rzeczywistością. W nadchodzących latach będzie można, analizując preferencje użytkownika, wpływać na niego poprzez news feedy i bardzo sprytne podróbki.

Według Jurija Vilsitera technologie, które można wykorzystać do takiej interwencji w środowisku psychicznym, już istnieją. Teoretycznie inwazji robotów-botów można się spodziewać za kilka lat – powiedział. Punktem ograniczającym może być tutaj konieczność zebrania dużych baz danych przykładów reakcji prawdziwych ludzi na sztuczne bodźce ze śledzeniem długofalowych konsekwencji. Takie śledzenie będzie prawdopodobnie wymagało jeszcze kilku lat badań, zanim ataki ukierunkowane będą konsekwentnie uzyskiwane.

Atak wizji

Alexey Parfentiev, szef działu analityki w SearchInform, również zgadza się z Yuri Vilsiter. Według niego eksperci już przewidują ataki na sieci neuronowe, choć obecnie takich przykładów praktycznie nie ma.

- Badacze z firmy Gartner uważają, że do 2022 r. 30% wszystkich cyberataków będzie miało na celu uszkodzenie danych, na których trenowana jest sieć neuronowa oraz kradzież gotowych modeli uczenia maszynowego. Wtedy np. bezzałogowe pojazdy mogą nagle zacząć mylić pieszych z innymi obiektami. I nie będziemy mówić o ryzyku finansowym czy reputacyjnym, ale o życiu i zdrowiu zwykłych ludzi – uważa ekspert.

W ramach badań prowadzone są obecnie ataki na komputerowe systemy wizyjne. Celem takich ataków jest sprawienie, by sieć neuronowa wykryła na obrazie coś, czego nie ma. Lub odwrotnie, nie zobaczyć, co zostało zaplanowane.

„Jednym z aktywnie rozwijających się tematów w dziedzinie szkolenia sieci neuronowych są tak zwane ataki kontradyktoryjne („ataki kontradyktoryjne” – Izwiestia)” – wyjaśnił Władysław Tushkanov, analityk internetowy w Kaspersky Lab. - W większości przypadków są skierowane do komputerowych systemów wizyjnych. Do przeprowadzenia takiego ataku w większości przypadków potrzebny jest pełny dostęp do sieci neuronowej (tzw. ataki białoskrzynkowe) lub wyników jej działania (ataki czarnoskrzynkowe). Nie ma metod, które mogą oszukać jakikolwiek komputerowy system wizyjny w 100% przypadków. Ponadto powstały już narzędzia, które pozwalają testować sieci neuronowe pod kątem odporności na ataki adwersarza i zwiększać ich odporność.

W trakcie takiego ataku atakujący próbuje jakoś zmienić rozpoznany obraz, aby sieć neuronowa nie działała. Często na zdjęcie nakłada się szum, podobny do tego, który pojawia się podczas fotografowania w słabo oświetlonym pomieszczeniu. Człowiek zwykle nie zauważa dobrze takich zakłóceń, ale sieć neuronowa zaczyna działać nieprawidłowo. Jednak aby przeprowadzić taki atak, atakujący potrzebuje dostępu do algorytmu.

Według Stanislava Ashmanova, dyrektora generalnego Neuroset Ashmanov, obecnie nie ma metod radzenia sobie z tym problemem. Ponadto ta technologia jest dostępna dla każdego: przeciętny programista może z niej korzystać, pobierając niezbędne oprogramowanie open source z usługi Github.

– Atak na sieć neuronową to technika i algorytmy służące do oszukiwania sieci neuronowej, które powodują, że daje ona fałszywe wyniki, a w rzeczywistości łamie ją jak zamek do drzwi – uważa Ashmanov. - Na przykład teraz dość łatwo sprawić, by system rozpoznawania twarzy pomyślał, że to nie ty, ale Arnold Schwarzenegger przed nim - odbywa się to poprzez mieszanie dodatków niezauważalnych dla ludzkiego oka z danymi przychodzącymi do sieci neuronowej. Te same ataki są możliwe w przypadku systemów rozpoznawania i analizy mowy.

Ekspert jest przekonany, że będzie tylko gorzej – te technologie trafiły do mas, oszuści już z nich korzystają i nie ma przed nimi ochrony. Ponieważ nie ma ochrony przed automatycznym tworzeniem fałszerstw wideo i audio.

Głębokie podróbki

Technologie Deepfake oparte na Deep Learning (technologie głębokiego uczenia sieci neuronowych. - Izwiestia) już teraz stanowią realne zagrożenie. Podróbki wideo lub audio powstają poprzez edycję lub nakładanie twarzy sławnych osób, które rzekomo wymawiają niezbędny tekst i odgrywają niezbędną rolę w fabule.

„Deepfake pozwala zastąpić ruchy ust i ludzką mowę wideo, co stwarza poczucie realizmu tego, co się dzieje”, mówi Andrey Busargin, dyrektor departamentu ochrony innowacyjnej marki i własności intelektualnej w Group-IB. - Fałszywe gwiazdy „oferują” użytkownikom w sieciach społecznościowych udział w losowaniu cennych nagród (smartfony, samochody, sumy pieniędzy) itp. Linki z takich publikacji wideo często prowadzą do oszukańczych i phishingowych witryn, w których użytkownicy są proszeni o podanie danych osobowych, w tym danych karty bankowej. Takie schematy stanowią zagrożenie zarówno dla zwykłych użytkowników, jak i osób publicznych, o których mowa w reklamach. Ten rodzaj oszustwa zaczyna kojarzyć zdjęcia celebrytów z oszustwami lub reklamowanymi towarami, i to jest miejsce, w którym spotykamy się z uszkodzeniem marki osobistej, mówi.

Kolejne zagrożenie wiąże się z wykorzystywaniem „fałszywych głosów” do oszustw telefonicznych. Na przykład w Niemczech cyberprzestępcy wykorzystali technologię Voice Deepfake, aby zmusić szefa brytyjskiej filii do pilnego przekazania 220 000 euro w rozmowie telefonicznej, udając kierownika firmy.na konto węgierskiego dostawcy. Szef brytyjskiej firmy podejrzewał podstęp, gdy jego „szef” poprosił o drugie zlecenie pieniężne, ale połączenie pochodziło z austriackiego numeru. W tym czasie pierwsza transza została już przekazana na konto na Węgrzech, skąd pieniądze zostały wypłacone do Meksyku.

Okazuje się, że obecne technologie pozwalają na stworzenie indywidualnego obrazu informacyjnego wypełnionego fałszywymi wiadomościami. Co więcej, wkrótce będzie można odróżnić podróbki od prawdziwego obrazu i dźwięku tylko za pomocą sprzętu. Zdaniem ekspertów środki zakazujące rozwoju sieci neuronowych raczej nie będą skuteczne. Dlatego już niedługo będziemy żyć w świecie, w którym konieczne będzie ciągłe sprawdzanie wszystkiego.

„Musimy się do tego przygotować i trzeba to zaakceptować” – podkreślił Jurij Vilsiter. - Ludzkość nie po raz pierwszy przechodzi z jednej rzeczywistości do drugiej. Nasz świat, sposób życia i wartości są radykalnie różne od świata, w którym żyli nasi przodkowie 60 000 lat temu, 5000 lat temu, 2000 lat temu, a nawet 200-100 lat temu. W niedalekiej przyszłości dana osoba zostanie w dużej mierze pozbawiona prywatności, a zatem zmuszona do niczego nie ukrywać i postępować uczciwie. Jednocześnie niczego w otaczającej rzeczywistości i we własnej osobowości nie da się przyjąć na wiarę, wszystko trzeba będzie kwestionować i ciągle na nowo sprawdzać. Ale czy ta przyszła rzeczywistość będzie straszna? Nie. Po prostu będzie zupełnie inaczej.