جعل عمیق و کشمکش بین این فناوری و تشخیص‌دهنده‌های آن

جعل عمیق به زودی همانند فتوشاپ به صورت گسترده مورد استفاده همگان قرار می‌گیرد و از آنجایی که هنوز روش مناسبی برای تشخیص این فناوری وجود ندارد، نگرانی‌ها از در دسترس قرار گرفتن این تکنولوژی افزایش یافته است.

فیلم پر پیچ وتابی را تصور کنید که در آن سرکرده جنایت کاران با بزرگ‌ترین کاراگاه جهان وارد جنگ روانی شده است. این جنایتکار برآن شده است تا حقه‌ی سوار کند، یعنی با استفاده از تردستی و توانایی‌های غیرعادی خودش را به شکل هر کسی که می‌خواهد درآورد. آنقدر در کارش خوب بود که می‌توانست مردم را اغوا کند چیزهایی را که هرگز اتفاق نیافتاده بود باور کنند.

امّا کارگاه وارد ماجرا می‌شود. فردی باهوش، مصصم، که دست هر دزد و جنایتکاری را می‌خواند. هیچ چیز از چشمش پنهان نمی‌ماند و کوچک‌ترین رفتارها، از بالا رفتن ابرو گرفته تا لحن صدا، برای او حکم سرنخ را دارد. این کاراگاه تنها کسی است که توانسته است یک بار جنایتکار داستان ما را دستگیر کند و اکنون دوباره در تعقیب وی است.

البته یک مشکل وجود دارد: دزد داستان ما می‌داند که کاراگاه به دنبال چه نشانه‌هایی می‌گردد به همین دلیل روش خود را عوض کرده است و قهرمان داستان متوجه آن نیست.

مسئله جعل عمیق

این سناریو در اصل داستان جعل عمیق یا دیپ فیک و تشخیص‌دهنده‌های آن است. برنامه‌های جعل عمیق شکلی از رسانه‌ی ساختگی هستند که با آن می‌توان شباهت افراد را به صورت دیجیتالی تغییر داد (درست مانند اقتباسی از فیلم «تغییر چهره» که این‌بار به کارگردانی پژوهشگران هوش مصنوعی ساخته شده است). این برنامه‌ها از زمان حضور خود در صحنه در سال ۲۰۱۷ همواره باعث نگرانی بوده‌اند. اگرچه بسیاری از برنامه‌های جعل عمیق سرگرم کننده هستند (تغییر چهره آرنی با سیلوستر استالونه در فیلم نابودگر) لیکن آن‌ها تهدیدی ضمنی نیز محسوب می‌شوند. جعل عمیق در ساخت فیلم‌های مستهجن جعلی به کار می‌رود، فیلم‌هایی که واقعی به نظر می‌رسند، و همینطور از آنها در حقه‌های سیاسی و کلاهبرداری‌های مالی استفاده می‌شود.

از بیم اینکه نکند این حقه‌ها به مسئله بزرگ‌تری بدل شوند، باید یک نفر وارد عمل شود و راست و دروغ مسائل را دربیاورد.

«تشخیص‌دهنده‌های جعل عمیق با زیر و رو کردن تصویر و با پیدا کردن دره‌های وهمی و شناسایی کوچکترین اختلاف‌ها به دنبال جزئیاتی هستند که با عکس جور در نمی‌آید.»

پیدایش اولین تشخیص‌دهنده‌های جعل عمیق زیاد طول نکشید. یکی از اولین اقدامات برای شناسایی جعل عمیق در آوریل سال ۲۰۱۸ صورت گرفت. این تشخیص‌دهنده‌ توسط پژوهشگران دانشگاه فنی مونیخ طراحی شده بود و درست مانند فناوری جعل عمیق مبتنی بر هوش مصنوعی بود با این تفاوت که هوش مصنوعی این‌بار برای تشخیص جعل عمیق، و نه ساخت آن، به کار گرفته شد.

تشخیص‌دهنده‌های جعل عمیق با زیر و رو کردن تصویر و با پیدا کردن دره‌های وهمی و شناسایی کوچکترین اختلاف‌ها به دنبال جزئیاتی هستند که با عکس جور در نمی‌آید. تشخیص‌دهنده‌ اطلاعات چهره را از عکس برش می‌زند و آن را وارد یک شبکه عصبی می‌کند تا شبکه عصبی اصل بودن آن را بسنجد. برای مثال این شبکه ممکن است تشخیص دهد پلک زدن به درستی  باز آفرینی نشده است.

امّا اکنون محققان دانشگاه کالیفرنیا، سن دیگو به شگرد جدیدی دست‌یافته‌اند و می‌توانند با اضافه نمودن چیزی موسوم به «نمونه‌های متخاصم» به فریم ویدیو بر تشخیص‌دهنده‌های جعل عمیق غلبه کنند. نمونه‌های متخاصم اشتباه‌های جالب، و در عین حال ترسناک، در ماتریس‌ هوش مصنوعی هستند. نمونه‌های متخاصم می‌توانند حتی هوشمندترین سیستم‌های تشخیص‌دهنده را گول بزنند و باعث شوند برای مثال سامانه لاکپشت را اسلحه یا دستگاه اسپرسو را توپ بیسبال تشخیص دهد. آنها ماهرانه نویز به تصویر اضافه می‌کنند به طوری که باعث می‌شود شبکه های عصبی اشتباه طبقه‌بندی کند.

مثلاً تشخیص‌دهنده یک تفنگ را با یک خزنده، یا یک فیلم جعلی را با یک فیلم واقعی اشتباه می‌گیرد.

نمونه‌ای از جعل عمیق را می‌توانید در ویدئوی زیر تماشا کنید:

گول زدن تشخیص‌دهنده‌ها

«اخیراً بازار تولید جعل عمیقِ واقع گرایانه داغ شده است» (پارت نیخارا، دانشجوی مهندسی کامپیوتر تحصیلات تکمیلی دانشگاه سن دیگو). این دانشجو در مصاحبه با Digital Trends  گفت «از آنجا که می‌توان از این ویدیوها سوء استفاده کرد، تلاش‌های فراوانی در جهت توسعه تشخیصدهنده‌هایی صورت گرفته است که بتوانند قطع به یقین ویدیوهای جعل عمیق را شناسایی کنند. برای مثال فیس‌بوک اخیراً «چالش شناسایی جعل عمیق» را راه‌اندازی نمود تا به انجام پژوهش‌های صورت گرفته پیرامون توسعه تشخیص دهنده‌های جعل عمیق سرعت بخشد.

اگرچه تشخیص‌دهنده‌ها می‌توانند با دقت ۹۰ درصد در یک دیتاست ویدیوهای جعلی را از ویدیوهای واقعی تشخیص دهند، نتایج تحقیقات ما در دانشگاه سن دیگو حاکی از این است که به راحتی می‌توان تشخیص‌دهنده‌های جعل عمیق را با یک مهاجم دور زد. مهاجم می‌تواند نویزی را که ماهرانه طراحی شده است و برای انسان محسوس و قابل مشاهده نیست در فریم‌های یک ویدیو بگنجاند و در نتیجه آن، تشخیص دهنده محتوای ویدیو را اشتباه طبقه‌بندی می‌کند.»

چالش جعل عمیق فیس‌بوک

مهاجم‌ها حتی اگر در مورد معماری و پارامترهای تشخیص دهنده اطلاعات خاصی نداشته باشد می‌توانند این ویدیوها را تولید کنید و حتی پس از فشرده‌سازی ویدیو (مرحله‌ای که برای به اشتراک گذاشتن آنها در سامانه‌های برخط مانند یوتیوب اجرا می‌شود) می‌توانند نویز را به آن اضافه کنند.

پس از انجام تست مشخص گردید که اگر این روش به مدل تشخیص‌دهنده دسترسی داشته باشد در گول زدن این سیستم‌ها تا ۹۹% موفق خواهد بود. با این حال، حتی در پایین ترین سطح موفقیت خود (یعنی در ویدیوهای فشرده شده و زمانی که هیچ گونه اطلاعاتی در مورد تشخیص‌دهنده‌ها در اختیار ندارد) در ۳۳/۷۸ درصد موارد موفق به شکست تشخیص دهنده‌ها شد. که اصلاً خبر خوبی نیست.

طبق گفته‌های نیخارا، محققان با انتشار کدهای خود موافق نبودند زیرا این کدها می‌توانست مورد سوءاستفاده قرار گیرد. «فیلم‌های متخاصمی که با استفاده از کدهای ما تولید می‌‍شوند به احتمال زیاد می‌توانند دیگر تشخیص‌دهنده‌های جعل‌ عمیق ناشناخته، یعنی تشخیص‌دهنده‌هایی که برای تولید محتوای رسانه‌های اجتماعی استفاده می‌شوند، را نیز گول بزنند». وی در ادامه سخنان خود گفت «در حال حاضر با تیم‌های مختلفی همکاری می‌کنیم که بر روی ساخت تشخیص‌دهنده‌های جعل‌ عمیق کار می‌کنند و با کمک نتایج پژوهش‌های ما به دنبال ساخت سیستم‌های شناسایی دقیق‌تری هستند.»

بازی موش و گربه جعل عمیق

البته، این پایان ماجرا نیست. برگردیم به مقایسه جعل عمیق با سناریوی فیلم. تا اینجای کار تنها بیست دقیقه از فیلم را دیده‌ایم. هنوز به صحنه‌ای که کاراگاه متوجه می‌شود بازی خورده است نرسیده‌ایم، یا به لحظه‌ای که جنایت‌کار متوجه می‌شود که کارگاه می‌داند جنایت‌کار از شیوه‌ی شناسایی او آگاه است. امیدوارم متوجه شده باشید.

همه افرادی که در حوزه امنیت سایبری فعالیت داشته‌اند کاملاً با بازی موش و گربه جعل‌ عمیق و تشخیص‌دهنده‌های آن آشنا هستند، بازی‌ای که احتمالاً تا ابد ادامه خواهد داشت. هکرهای بداندیش نقاط ضعف را پیدا می‌کنند، سپس برنامه نویس‌ها این نقاط ضعف را کور می‌کنند، و بعد هکرها نقاط ضعف نسخه‌های بعدی را کشف می‌کنند و باز برنامه نویس‌ها آنها را دست‌کاری می‌کنند و این بازی تا بینهایت ادامه پیدا می‌کند.

به گفته شِزین حسین، دانشجوی دکترای مهندسی کامپیوتر دانشگاه سن دیگو«سیستم‌های تولید و تشخیص جعل عمیق درست مانند مناسبات ویروس‌ها و آنتی‌ویروس‌ها هستند.» وی در ادامه صحبت‌های خود به Digital Trends گفت «در حال حاضر تشخیص‌دهنده‌های جعل عمیق با دیتاست‌هایی آموزش می‌بینند که متشکل از ویدیوهای واقعی و جعلی است و این ویدیوها با تکنیک‌های جعل عمیق کنونی ساخته شده‌اند. هیچ تضمینی وجود ندارد که این تشخیص‌دهنده‌ها در برابر سیستم‌های تولید جعل عمیق آتی مصون بمانند. برای پیروزی در جنگ تسلیحاتی، لازم است همواره تشخیص‌دهنده‌های جعل‌ عمیق را به‌روزرسانی کرده و با تکنیک‌های جدید ساخت جعل‌ عمیق آموزش دهیم. همچنین لازم است با گنجاندن ویدیوهای متخاصم طی روند آموزش تشخیص‌دهنده‌ها را در برابر «نمونه‌های متخاصم» مقاوم نماییم.»

مقاله‌ای با عنوان «جعل عمیق متخاصم: ارزیابی آسیب پذیری تشخیص‌دهنده‌های جعل عمیق در برابر  نمونه‌های متخاصم» که اخیراً در کنفرانس «کارگاه‌های آموزش کاربردهای بینایی کامپیوتر» (WACV Workshops on Application of Computer Vision) ارائه شده است به توضیح این رویکرد می‌پردازد.

انواع کاربردهای هوش مصنوعی در صنایع مختلف را در هوشیو بخوانید