هوش مصنوعی برای محافظت در مقابل دستکاری تصویر هوش مصنوعی فعال می شود

“PhotoGuard” که توسط محققان MIT CSAIL توسعه یافته است، از دستکاری غیرمجاز تصویر جلوگیری می کند و از اصالت در عصر مدل های پیشرفته تولیدی محافظت می کند.

با ورود به عصر جدیدی که در آن فناوری‌های مبتنی بر هوش مصنوعی می‌توانند تصاویر را با دقتی که مرز بین واقعیت و ساختگی را محو می‌کند، ایجاد و دستکاری کنند، شبح استفاده نادرست به چشم می‌خورد. اخیراً مدل‌های مولد پیشرفته‌ای مانند DALL-E و Midjourney که به دلیل دقت چشمگیر و رابط‌های کاربرپسندشان مشهور شده‌اند، تولید تصاویر فوق واقعی را نسبتاً بدون دردسر ساخته‌اند. با کاهش موانع ورود، حتی کاربران بی‌تجربه نیز می‌توانند تصاویر با کیفیت بالا را از توضیحات متنی ساده تولید و دستکاری کنند – از تغییرات بی‌گناه تصویر گرفته تا تغییرات مخرب. تکنیک‌هایی مانند واترمارکینگ راه‌حل امیدوارکننده‌ای هستند، اما استفاده نادرست نیاز به یک اقدام پیشگیرانه (برخلاف تنها پس از انجام کار) دارد.

در تلاش برای ایجاد چنین معیار جدیدی، محققان آزمایشگاه علوم کامپیوتر و هوش مصنوعی MIT (CSAIL) “PhotoGuard” را توسعه دادند، تکنیکی که از اختلالات استفاده می کند – تغییرات جزئی در مقادیر پیکسل نامرئی برای چشم انسان اما قابل تشخیص توسط مدل های کامپیوتری – که به طور موثر توانایی مدل را برای دستکاری تصویر مختل می کند.

PhotoGuard از دو روش مختلف “حمله” برای ایجاد این اختلالات استفاده می کند. حمله ساده تر «رمزگذار» نمایش پنهان تصویر را در مدل هوش مصنوعی هدف قرار می دهد و باعث می شود مدل تصویر را به عنوان یک موجودیت تصادفی درک کند. “نشر” پیچیده‌تر، تصویر هدف را تعریف می‌کند و اغتشاشات را بهینه می‌کند تا تصویر نهایی تا حد امکان شبیه به هدف باشد.

«احتمال انتشار متقلبانه رویدادهای فاجعه آمیز جعلی، مانند انفجار در یک نقطه عطف مهم را در نظر بگیرید. این فریب می تواند روند بازار و احساسات عمومی را دستکاری کند، اما خطرات آن به حوزه عمومی محدود نمی شود. هادی سلمان، دانشجوی کارشناسی ارشد MIT در رشته مهندسی برق و علوم کامپیوتر (EECS)، وابسته به MIT CSAIL، و نویسنده اصلی می‌گوید: تصاویر شخصی می‌توانند به‌طور نامناسب تغییر داده شوند و برای باج‌گیری مورد استفاده قرار گیرند، که منجر به پیامدهای مالی قابل توجهی در صورت اجرا در مقیاس بزرگ می‌شود. مقاله جدیدی در مورد PhotoGuard.

در سناریوهای شدیدتر، این مدل ها می توانند صداها و تصاویر را برای صحنه سازی جنایات دروغین، ایجاد ناراحتی روانی و ضرر مالی شبیه سازی کنند. ماهیت سریع این اقدامات مشکل را تشدید می کند. حتی زمانی که فریب در نهایت آشکار می شود، آسیب – اعم از شهرت، عاطفی یا مالی – اغلب قبلاً اتفاق افتاده است. این یک واقعیت برای قربانیان در همه سطوح است، از افرادی که در مدرسه مورد آزار و اذیت قرار می‌گیرند تا دستکاری در سطح جامعه.»

PhotoGuard در عمل

مدل‌های هوش مصنوعی یک تصویر را متفاوت از نگاه انسان‌ها می‌بینند. این تصویر یک مجموعه پیچیده از نقاط داده ریاضی را می بیند که رنگ و موقعیت هر پیکسل را توصیف می کند – این نمایش نهفته تصویر است. حمله رمزگذار تنظیمات جزئی را در این نمایش ریاضی وارد می کند و باعث می شود مدل هوش مصنوعی تصویر را به عنوان یک موجودیت تصادفی درک کند. در نتیجه، هر گونه تلاش برای دستکاری تصویر با استفاده از مدل تقریبا غیرممکن می شود. تغییرات ارائه شده به قدری کوچک هستند که برای چشم انسان نامرئی هستند، بنابراین یکپارچگی بصری تصویر حفظ می شود و در عین حال محافظت از آن نیز تضمین می شود.

دومین و مشخصاً پیچیده‌تر حمله «گسترش» به طور استراتژیک کل مدل انتشار را از انتها به انتها هدف قرار می‌دهد. این شامل تعیین یک تصویر هدف مورد نظر، و سپس شروع یک فرآیند بهینه سازی با هدف تراز کردن تصویر تولید شده با این هدف از پیش انتخاب شده است.

در پیاده سازی، تیم آشفتگی هایی را در فضای ورودی تصویر اصلی ایجاد کرد. این اغتشاشات سپس در مرحله استنتاج مورد استفاده قرار می گیرند و روی تصاویر اعمال می شوند و دفاعی قوی در برابر دستکاری های غیرمجاز ارائه می دهند.

پروفسور EECS MIT و محقق اصلی CSAIL، الکساندر مادری، که همچنین نویسنده مقاله است، می‌گوید: «پیشرفت در هوش مصنوعی که شاهد آن هستیم واقعاً نفس‌گیر است، اما استفاده‌های سودمند و مخرب از هوش مصنوعی را ممکن می‌سازد. “بنابراین ضروری است که ما در جهت شناسایی و کاهش دومی کار کنیم. من PhotoGuard را سهم کوچک ما در این تلاش مهم می دانم.»

حمله انتشار از نظر محاسباتی فشرده تر از برادر ساده تر خود است و به حافظه GPU قابل توجهی نیاز دارد. این تیم می‌گوید که تقریب فرآیند انتشار با گام‌های کمتر، این مشکل را کاهش می‌دهد و در نتیجه این تکنیک را کاربردی‌تر می‌کند.

برای نشان دادن بهتر حمله، به عنوان مثال یک پروژه هنری را در نظر بگیرید. تصویر اصلی یک طراحی است و تصویر هدف یک نقاشی دیگر است که کاملاً متفاوت است. حمله انتشار مانند ایجاد تغییرات کوچک و نامرئی در نقاشی اول است به طوری که در یک مدل هوش مصنوعی، شروع به شبیه شدن به نقاشی دوم می کند. با این حال، برای چشم انسان، طراحی اصلی بدون تغییر باقی می ماند.

با انجام این کار، هر مدل هوش مصنوعی که تلاش می کند تصویر اصلی را تغییر دهد، اکنون به طور ناخواسته تغییراتی ایجاد می کند که گویی با تصویر هدف سروکار دارد و در نتیجه از تصویر اصلی در برابر دستکاری مورد نظر محافظت می کند. نتیجه تصویری است که از نظر بصری برای ناظران انسانی بدون تغییر باقی می‌ماند، اما در برابر ویرایش‌های غیرمجاز مدل‌های هوش مصنوعی محافظت می‌کند.

تا آنجا که یک مثال واقعی با PhotoGuard است، یک تصویر با چند چهره را در نظر بگیرید. می‌توانید چهره‌هایی را که نمی‌خواهید اصلاح کنید، بپوشانید، و سپس از «دو مرد در مراسم عروسی» درخواست کنید. پس از ارسال، سیستم تصویر را مطابق با آن تنظیم می کند و تصویری قابل قبول از دو مرد در حال شرکت در مراسم عروسی ایجاد می کند.

حال، محافظت از تصویر را از ویرایش در نظر بگیرید. اضافه کردن اغتشاشات به تصویر قبل از آپلود می تواند آن را در برابر تغییرات ایمن کند. در این حالت، خروجی نهایی در مقایسه با تصویر اصلی و غیر ایمن‌شده فاقد واقع‌گرایی خواهد بود.

همه دست روی عرشه

به گفته این تیم، متحدان کلیدی در مبارزه با دستکاری تصویر، خالقان مدل‌های ویرایش تصویر هستند. برای اینکه PhotoGuard موثر باشد، یک پاسخ یکپارچه از طرف همه ذینفعان ضروری است. «سیاست‌گذاران باید اجرای مقرراتی را در نظر بگیرند که شرکت‌ها را موظف می‌کند از داده‌های کاربران در برابر چنین دستکاری‌هایی محافظت کنند. توسعه دهندگان این مدل‌های هوش مصنوعی می‌توانند APIهایی طراحی کنند که به طور خودکار اختلالاتی را به تصاویر کاربران اضافه می‌کنند و لایه‌ای از محافظت در برابر ویرایش‌های غیرمجاز ارائه می‌دهند.

علیرغم وعده PhotoGuard، این یک نوشدارویی نیست. هنگامی که یک تصویر آنلاین می شود، افراد دارای نیت مخرب می توانند با اعمال نویز، برش یا چرخش تصویر، اقدامات حفاظتی را معکوس کنند. با این حال، بسیاری از کارهای قبلی از ادبیات نمونه های متخاصم وجود دارد که می توان در اینجا برای اجرای اختلالات قوی که در برابر دستکاری های رایج تصویر مقاومت می کنند، استفاده کرد.

یک رویکرد مشترک شامل توسعه دهندگان مدل، پلتفرم های رسانه های اجتماعی و سیاست گذاران، دفاعی قوی در برابر دستکاری تصویر غیرمجاز ارائه می دهد. سلمان می‌گوید کار روی این موضوع مهم امروز از اهمیت بالایی برخوردار است. “و در حالی که من خوشحالم که در این راه حل مشارکت می کنم، کار زیادی برای عملی کردن این محافظت لازم است. شرکت هایی که این مدل ها را توسعه می دهند باید در مهندسی ایمن سازی قوی در برابر تهدیدات احتمالی ناشی از این ابزارهای هوش مصنوعی سرمایه گذاری کنند. همانطور که وارد این دوره جدید از مدل‌های مولد می‌شویم، بیایید برای پتانسیل و محافظت در اقدامات برابر تلاش کنیم.»

Florian Tramèr، استادیار ETH Zürich می‌گوید: «چشم‌انداز استفاده از حملات به یادگیری ماشینی برای محافظت از ما در برابر استفاده‌های نادرست از این فناوری بسیار قانع‌کننده است. این مقاله بینش خوبی دارد مبنی بر اینکه توسعه دهندگان مدل های هوش مصنوعی مولد انگیزه های قوی برای ارائه چنین محافظت های ایمن سازی برای کاربران خود دارند، که حتی می تواند یک الزام قانونی در آینده باشد. با این حال، طراحی محافظ‌های تصویری که به طور موثر در برابر تلاش‌های دور زدن مقاومت می‌کنند، یک مشکل چالش برانگیز است: هنگامی که شرکت هوش مصنوعی متعهد به مکانیزم ایمن‌سازی شد و مردم شروع به اعمال آن بر روی تصاویر آنلاین خود کردند، باید اطمینان حاصل کنیم که این محافظت در برابر دشمنان با انگیزه که حتی ممکن است از مدل‌های هوش مصنوعی مولد بهتری که در آینده نزدیک توسعه یافته‌اند استفاده کنید. طراحی چنین حفاظت های قوی یک مشکل باز است و این مقاله یک مورد قانع کننده را نشان می دهد که شرکت های مولد هوش مصنوعی باید روی حل آن کار کنند.”

سلمان این مقاله را در کنار نویسندگان اصلی علاء خداج و گیوم لکلرک MS ’18، و همچنین اندرو ایلاس ’18، MEng ’18 نوشت. هر سه دانشجوی کارشناسی ارشد EECS و وابسته به MIT CSAIL هستند. کار این تیم تا حدی بر روی خوشه محاسباتی MIT Supercloud انجام شد که توسط کمک های مالی بنیاد ملی علوم ایالات متحده و بشردوستانه باز پشتیبانی می شد و بر اساس کار پشتیبانی شده توسط آژانس پروژه های تحقیقاتی پیشرفته دفاعی ایالات متحده انجام شد. در کنفرانس بین المللی یادگیری ماشینی در جولای امسال ارائه شد.