http://www.wyfwuhgs.cn

深度揭秘AI换脸原理,为啥最先进分类器也认不出

  原标题:深度揭秘AI换脸原理,科技资讯为啥最先进分类器也认不出?

  智东西(:zhidxcom)

  编 董温淑

  智东西4月20日消息,AI换脸已不是新鲜事,手机应用市场中有多款换脸app,此前也曾曝出有网络IP用明星的面孔伪造、在期间用竞选者的脸制作虚假影像信息等。

  为了规避Deepke带来的恶性后果,许多研究者尝试用AI技术鉴定分类器。

  然而,谷和大学伯克利分校的研究人员最近的研究显示,现在的鉴定技术水平还不足以100%甄别出AI换脸作品。另一项由大学分校主导的研究也得出了相同结论。

  这些研究结果为我们敲响了警钟,要AI换脸制作的虚假信息。

  论文链接:

  一、实验准备:训练3种分类器,设置对照组

  实现AI换脸的技术被称为Deepke,原理是基于生成对抗网络(generative adversarial networks,GAN)合成虚假图片。GAN由一个生成网络和一个判别网络组成。

  GAN模型的学习过程就是生成网络和判别网络的相互博弈的过程:生成网络随机合成一张图片,让判别网络判断这张图片的,继而根据判别网络给出的反馈不断提高“造假”能力,最终做到以假乱线个分类器做了测试,其中两个为第三方分类器,科技资讯一个为研究人员训练出的用于对照的分类器。

  选用的第三方分类器分别采用两种不同训练方式。

  用到的ResNet-50预先经过大型视觉数据库IgeNet训练,接下来再被训练用于辨别线个验证图像的训练集,其中一半实图像,另一半是用ProGAN生成的合成图像。合成图像采用空间模糊和JEPG压缩方法增强。

  经过训练后,这个分类器能准确识别出ProGAN生成的图像,而且还能分类未被发现的图像。

  第二个鉴定分类器采用的是基于相似性学习(similar learning-based)的方法。经过训练后这款分类器可以准确辨认出由不同生成器合成的图像。

  研究团队还自己搭建了一个鉴定分类器模型,作为前述两个鉴定分类器的对照示例。这个分类器采用100万个ProGAN生成的图像进行训练,其中图像各占一半。论文中指出,这个分类器的训练管道比前述两种简单很多,因此错误率也更高。

  研究人员根据分类器是否了访问权限,选用了不同的方式。对访问权限的分类器采用白盒;对不访问权限的分类器采用黑盒。

  另外,研究人员用接收者操作特征曲线(ROC曲线)评估分类器的正确率。评估标准是曲线下(AUC)的大小。AUC的取值范围为0~1,一般来说AUC>0.5即代表分类器有预测价值,AUC值越大代表分类器准确率越高。

  二、4种白盒方法,AUC最低被降至0.085

  对于了访问权限的分类器,研究人员用白盒评估其稳健性。

  白盒即者能够获知分类器所使用的算法以及算法使用的参数。在产生对抗性数据的过程中,者能够与分类器系统产生交互。

  过程中用到的所有图像都来自一个包含94036张图像的视觉数据库。

  开始白盒之前,基于这个数据库的分类器的AUC数值为0.97。即使在执行典型的清洗策略隐藏图像合成痕迹后,分类器的AUC数值仍保持在0.94以上。

  接下来研究人员使用了4种白盒方法。这4种在之前的对抗性示例中已有过研究。的具体方式是对图像进行修改,使分类器误认为它们是真实的。

  ▲四种前后,分类器的ROC曲线图。蓝色实线代表JPEG格式的合成图像,蓝色虚线代表PNG格式的合成图像

  第一种是失真最小化(Distortion-minimizing Attack),即对合成图像添加一个较小的加法扰动δ。假设一个合成图像x先被分类器判定为假,扰动后,(x+δ)就会被判定。

  结果显示,像素翻转2%,就会有71.3%的假图像被误判为线%的假图像被误判为线%,所有的假图像都会被误判。

  ▲a:分类器把假图像识别;b:分类器把真图像识别为假。把像素翻转1%,就会有一半的假图像被判定为线%,就会有一半的真图像被判定为假。

  第二种是损失最大化(Loss-Maximizing Attack),即定义一个更简单的目标函数,更大限度地提升合成图像被判定的概率。

  结果显示把未压缩图像的像素翻转40%,AUC值就会从0.966降到0.27。

  第三种是通用对抗性补丁(Universal Adversarial-Patch Attack)。失真最小化方法有有一个局限性:者需要花费0.1秒为每个图像定制方式。为了弥补这一局限性,研究人员创建了一个单一的可视噪声模板补丁。这个补丁可以叠加在任何假图像上,有效增加了假图像的性。

  叠加补丁后,分类器的AUC值从0.966降到0.085。

  不同于之前三种方法通过对假图像扰动来影响分类结果,第四种方法是通用潜空间(Universal Latent-Space Attack),即对图像的潜在空间进行。最终把分类器的AUC值从0.99降到0.17。

  ▲a为通用对抗性补丁效果,b~d为通用潜空间效果。图中所有假图像都被分类器误判

  三、条件进行黑盒,AUC值降至0.22以下

  论文指出,现实中的社交网站、约会网站等,并不会公开其鉴定分类器的算法,因此很难进行前面所说的白盒。

  面对这种情况,研究人员进行了黑盒。黑盒假设对方知道的存在,并且掌握了一般的防御策略。科技资讯

  研究结果显示,即使在这种性较强的黑盒条件下,鉴定分类器也很容易受到对抗性因素影响。经过黑盒,分类器的AUC数值下降到0.22以下。

  结语:现有分类器有局限性,仍需深入研究

  谷和大学伯克利分校研究团队证明,只要对虚假图片适当加以处理,就能使其“骗”过分类器。

  这种现象令人担忧,论文中写道:“部署这样的分类器会比不部署还糟糕,不仅虚假图像本身显得十分真实,分类器的误判还会赋予它额外的可信度”。

  因此,研究人员开创新的检测方法,研究出可以识别经过再压缩、调整大小、降低分辨率等扰动手段处理的假图像。

  据悉,目前有许多机构正在从事这一工作,如脸书、亚马逊网络服务及机构联合发起了“Deepke鉴别挑战”,期待能探索出更好的解决方案。

原文标题:深度揭秘AI换脸原理,为啥最先进分类器也认不出 网址:http://www.wyfwuhgs.cn/kejizixun/2020/0604/12765.html

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。